T1087.003: Учетная запись эл. почты
Злоумышленники могут попытаться получить список адресов и учетных записей электронной почты. Злоумышленники могут попытаться получить дампы списков адресов Exchange, например глобальных списков адресов (GAL).
В локальной версии Exchange и в Exchange Online командлет PowerShellGet-GlobalAddressList
может использоваться из сеанса аутентифицированного пользователя для получения с домена списка адресов и учетных записей электронной почты.
В Google Workspace глобальный список адресов доступен пользователям Microsoft Outlook через службу Google Workspace Sync for Microsoft Outlook (GWSMO). Кроме того, Google Workspace Directory позволяет пользователю получить список других пользователей в организации.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_discovery: PT-CR-658: Access_to_Exchange_OAB_File: Пользователь запросил автономную адресную книгу и получил код ответа сервера
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Monitor for newly executed processes, such as Windows Management Instrumentation and PowerShell , with arguments that can be used to enumerate email addresses and accounts. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor for execution of commands and arguments associated with enumeration or information gathering of email addresses and accounts such as |
---|