T1087.003: Учетная запись эл. почты
Злоумышленники могут попытаться получить список адресов и учетных записей электронной почты. Злоумышленники могут попытаться получить дампы списков адресов Exchange, например глобальных списков адресов (GAL).
В локальной версии Exchange и в Exchange Online командлет PowerShellGet-GlobalAddressList может использоваться из сеанса аутентифицированного пользователя для получения с домена списка адресов и учетных записей электронной почты.
В Google Workspace глобальный список адресов доступен пользователям Microsoft Outlook через службу Google Workspace Sync for Microsoft Outlook (GWSMO). Кроме того, Google Workspace Directory позволяет пользователю получить список других пользователей в организации.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
microsoft_exchange: PT-CR-658: Exchange_Get_Global_Address_List: Пользователь собрал адреса электронной почты из глобального списка адресов Exchange active_directory_attacks: PT-CR-2550: LDAP_Discovery: Пользователь выполнил подозрительный LDAP-запрос, который может свидетельствовать о разведке в домене
Способы обнаружения
| ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, например инструментария управления Windows и PowerShell, с аргументами, которые могут использоваться для получения списка адресов и учетных записей электронной почты. |
|---|
| ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для получения списков адресов и учетных записей электронной почты или сбора информации о них, например |
|---|