T1098.002: Выдача доп. прав учетной записи эл. почты
Злоумышленники могут предоставлять дополнительные уровни разрешений для сохранения постоянного доступа к контролируемой ими учетной записи электронной почты.
Например, командлет Add-MailboxPermission
PowerShell, доступный в локальной среде Exchange и в облачной службе Microsoft 365, добавляет разрешения к почтовому ящику. В Google Workspace можно включить делегирование через консоль Google Admin, а пользователи могут делегировать доступ к учетным записям через настройки Gmail.
Злоумышленники также могут назначать разрешения для папок почтовых ящиков, используя разрешения для отдельных папок или роли. В средах Microsoft 365 злоумышленники могут назначать корневой папке, "Входящим" и другим папкам почтовых ящиков разрешения (или роли) для аутентифицированных пользователей по умолчанию и для анонимных пользователей. Назначив разрешения папки для одного или обоих указанных выше типов пользователей, злоумышленник может использовать любую другую учетную запись в том же тенанте, чтобы поддерживать постоянный доступ к папкам почтового ящика нужного пользователя.
Эта техника может использоваться в APT-атаках, а также в инцидентах с компрометацией корпоративной электронной почты (BEC), когда злоумышленник может добавить дополнительные облачные роли к учетным записям, которые ему нужно скомпрометировать. Ее применение может позволить использовать дополнительные техники для получения доступа к системам. Например, скомпрометированные корпоративные учетные записи часто используются для отправки сообщений другим учетным записям в сети атакуемой бизнес-организации; при этом создаются правила обработки входящих сообщений (например, для внутреннего целевого фишинга) с тем, чтобы эти сообщения пропускались средствами обнаружения спама/фишинга.
Способы обнаружения
ID | DS0002 | Источник и компонент данных | Учетная запись пользователя: Изменения в учетной записи | Описание | Monitor for unusual Exchange and Office 365 email account permissions changes that may indicate excessively broad permissions being granted to compromised accounts. |
---|
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Enable the UpdateFolderPermissions action for all logon types. The mailbox audit log will forward folder permission modification events to the Unified Audit Log. Create rules to alert on ModifyFolderPermissions operations where the Anonymous or Default user is assigned permissions other than None. A larger than normal volume of emails sent from an account and similar phishing emails sent from real accounts within a network may be a sign that an account was compromised and attempts to leverage access with modified email permissions is occurring. |
---|
ID | DS0036 | Источник и компонент данных | Группа: Изменение параметров группы | Описание | Monitor for unusual Exchange and Office 365 email account permissions changes that may indicate excessively broad permissions (including memberships in privileged groups) being granted to compromised accounts. |
---|
Меры противодействия
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Do not allow domain administrator accounts to be used for day-to-day operations that may expose them to potential adversaries on unprivileged systems. |
---|
ID | M1032 | Название | Многофакторная аутентификация | Описание | Use multi-factor authentication for user and privileged accounts. |
---|
ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | If email delegation is not required, disable it. In Google Workspace this can be accomplished through the Google Admin console. |
---|