T1070.008: Удаление данных, связанных с эл. почтой
Злоумышленники могут изменить данные электронной почты и почтовых приложений, чтобы удалить следы своей активности. Почтовые приложения позволяют пользователям и другим программам экспортировать и удалять данные, связанные с электронной почтой, с помощью инструментов командной строки или через API. К таким данным относятся, в частности, электронные письма, их метаданные и журналы, созданные приложением или операционной системой, например журналы запросов на экспорт.
Злоумышленники могут манипулировать электронными письмами и данными, связанными с электронной почтой, чтобы удалить журналы, артефакты и метаданные, в частности признаки фишинга/внутреннего целевого фишинга, сбора эл. почты, использования протоколов эл. почты для взаимодействия с командным сервером или эксфильтрации данных через электронную почту, в частности эксфильтрации по альтернативному протоколу. Например, для удаления признаков вредоносной активности с серверов Exchange злоумышленники использовали модуль PowerShell ExchangePowerShell
— в частности, командлет Remove-MailboxExportRequest
для удаления следов экспорта данных электронной почты. В Linux и macOS злоумышленники могут удалить электронные письма с помощью утилиты командной строки mail
или использовать AppleScript для взаимодействия с API в macOS.
Злоумышленники могут также удалять электронные письма и метаданные или заголовки, указывающие на спам или подозрительную активность (например, с помощью общекорпоративных правил обработки потоков почты), чтобы снизить вероятность обнаружения вредоносных писем защитными решениями.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
microsoft_exchange: PT-CR-494: Exchange_PST_upload_via_Administrator: Попытка выгрузить PST-файлы при помощи консоли Exchange и удалить данные об этом
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Удаление файла | Описание | Отслеживайте случаи удаления артефактов, созданных на узле, включая журналы и изолированные файлы, например помещенные в карантин электронные письма. В Windows 10 данные электронной почты хранятся в каталоге |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте изменения в артефактах, созданных на узле, включая журналы и изолированные файлы, например помещенные в карантин электронные письма. В Windows 10 данные электронной почты хранятся в каталоге |
---|
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | В средах с Exchange отслеживайте записи журналов, указывающие на создание или изменение параметров обработки почты, например правил транспорта. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут удалять или изменять созданные на узле артефакты, включая журналы и изолированные файлы, например помещенные в карантин электронные письма. В средах Exchange отслеживайте использование командлетов PowerShell, которые могут создавать или менять правила обработки потоков почты, такие как |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов с аргументами, которые могут удалять или изменять созданные на узле артефакты, включая журналы и изолированные файлы, например помещенные в карантин электронные письма. |
---|
Меры противодействия
ID | M1029 | Название | Удаленное хранение данных | Описание | Автоматическая пересылка почтовых данных и событий на сервер журналов или в хранилище данных для предотвращения ситуаций, в которых злоумышленник может обнаружить данные в локальной системе и манипулировать ими. По возможности минимизируйте временную задержку при создании отчетов о событиях, чтобы избежать длительного хранения данных в локальной системе. |
---|
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Защитите сгенерированные файлы событий, которые хранятся локально с надлежащими разрешениями и аутентификацией, и ограничьте возможности злоумышленников по повышению привилегий, предотвратив возможность эскалации привилегий. |
---|
ID | M1047 | Название | Аудит | Описание | В среде Exchange администраторы могут использовать |
---|