T1070.008: Удаление данных, связанных с эл. почтой

Злоумышленники могут изменить данные электронной почты и почтовых приложений, чтобы удалить следы своей активности. Почтовые приложения позволяют пользователям и другим программам экспортировать и удалять данные, связанные с электронной почтой, с помощью инструментов командной строки или через API. К таким данным относятся, в частности, электронные письма, их метаданные и журналы, созданные приложением или операционной системой, например журналы запросов на экспорт.

Злоумышленники могут манипулировать электронными письмами и данными, связанными с электронной почтой, чтобы удалить журналы, артефакты и метаданные, в частности признаки фишинга/внутреннего целевого фишинга, сбора эл. почты, использования протоколов эл. почты для взаимодействия с командным сервером или эксфильтрации данных через электронную почту, в частности эксфильтрации по альтернативному протоколу. Например, для удаления признаков вредоносной активности с серверов Exchange злоумышленники использовали модуль PowerShell ExchangePowerShell — в частности, командлет Remove-MailboxExportRequest для удаления следов экспорта данных электронной почты. В Linux и macOS злоумышленники могут удалить электронные письма с помощью утилиты командной строки mail или использовать AppleScript для взаимодействия с API в macOS.

Злоумышленники могут также удалять электронные письма и метаданные или заголовки, указывающие на спам или подозрительную активность (например, с помощью общекорпоративных правил обработки потоков почты), чтобы снизить вероятность обнаружения вредоносных писем защитными решениями.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

microsoft_exchange: PT-CR-494: Exchange_PST_upload_via_Administrator: Попытка выгрузить PST-файлы при помощи консоли Exchange и удалить данные об этом

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Удаление файлаОписание

Отслеживайте случаи удаления артефактов, созданных на узле, включая журналы и изолированные файлы, например помещенные в карантин электронные письма.

В Windows 10 данные электронной почты хранятся в каталоге C:\Users\Username\AppData\Local\Comms\Unistore\data. В Linux они хранятся в каталоге /var/spool/mail или /var/mail. В macOS они хранятся в каталоге ~/Library/Mail.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте изменения в артефактах, созданных на узле, включая журналы и изолированные файлы, например помещенные в карантин электронные письма.

В Windows 10 данные электронной почты хранятся в каталоге C:\Users\Username\AppData\Local\Comms\Unistore\data. В Linux они хранятся в каталоге /var/spool/mail или /var/mail. В macOS они хранятся в каталоге ~/Library/Mail.

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

В средах с Exchange отслеживайте записи журналов, указывающие на создание или изменение параметров обработки почты, например правил транспорта.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут удалять или изменять созданные на узле артефакты, включая журналы и изолированные файлы, например помещенные в карантин электронные письма. В средах Exchange отслеживайте использование командлетов PowerShell, которые могут создавать или менять правила обработки потоков почты, такие как New-TransportRule и Set-TransportRule.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов с аргументами, которые могут удалять или изменять созданные на узле артефакты, включая журналы и изолированные файлы, например помещенные в карантин электронные письма.

Меры противодействия

IDM1029НазваниеУдаленное хранение данныхОписание

Автоматическая пересылка почтовых данных и событий на сервер журналов или в хранилище данных для предотвращения ситуаций, в которых злоумышленник может обнаружить данные в локальной системе и манипулировать ими. По возможности минимизируйте временную задержку при создании отчетов о событиях, чтобы избежать длительного хранения данных в локальной системе.

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Защитите сгенерированные файлы событий, которые хранятся локально с надлежащими разрешениями и аутентификацией, и ограничьте возможности злоумышленников по повышению привилегий, предотвратив возможность эскалации привилегий.

IDM1047НазваниеАудитОписание

В среде Exchange администраторы могут использовать Get-TransportRule и Remove-TransportRule для обнаружения и удаления потенциально вредоносных транспортных правил.