Техника на mitre.org

T1098.002: Выдача доп. прав учетной записи эл. почты

Злоумышленники могут предоставлять дополнительные уровни разрешений для сохранения постоянного доступа к контролируемой ими учетной записи электронной почты.

Например, командлет Add-MailboxPermission PowerShell, доступный в локальной среде Exchange и в облачной службе Microsoft 365, добавляет разрешения к почтовому ящику. В Google Workspace можно включить делегирование через консоль Google Admin, а пользователи могут делегировать доступ к учетным записям через настройки Gmail.

Злоумышленники также могут назначать разрешения для папок почтовых ящиков, используя разрешения для отдельных папок или роли. В средах Microsoft 365 злоумышленники могут назначать корневой папке, "Входящим" и другим папкам почтовых ящиков разрешения (или роли) для аутентифицированных пользователей по умолчанию и для анонимных пользователей. Назначив разрешения папки для одного или обоих указанных выше типов пользователей, злоумышленник может использовать любую другую учетную запись в том же тенанте, чтобы поддерживать постоянный доступ к папкам почтового ящика нужного пользователя.

Эта техника может использоваться в APT-атаках, а также в инцидентах с компрометацией корпоративной электронной почты (BEC), когда злоумышленник может добавить дополнительные облачные роли к учетным записям, которые ему нужно скомпрометировать. Ее применение может позволить использовать дополнительные техники для получения доступа к системам. Например, скомпрометированные корпоративные учетные записи часто используются для отправки сообщений другим учетным записям в сети атакуемой бизнес-организации; при этом создаются правила обработки входящих сообщений (например, для внутреннего целевого фишинга) с тем, чтобы эти сообщения пропускались средствами обнаружения спама/фишинга.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Мониторинг событий с идентификаторами 4103 и 4104 (Microsoft-Windows-PowerShell/Operational), в которых запускается командлет Add-MailboxPermission

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

ID	DS0036	Источник и компонент данных	Группа: Изменение параметров группы	Описание	Отслеживайте необычные изменения разрешений в учетных записях электронной почты Exchange и Microsoft 365, свидетельствующие о том, что скомпрометированным учетным записям предоставляются слишком широкие полномочия (в том числе членство в привилегированных группах).

ID	DS0015	Источник и компонент данных	Журналы приложений: Содержимое журналов приложений	Описание	Включите действие UpdateFolderPermissions для всех типов входа в систему. Журнал аудита почтового ящика будет пересылать события изменения разрешений для папок в единый журнал аудита. Создайте правила оповещения об операциях ModifyFolderPermissions в случаях, когда анонимный пользователь или пользователь по умолчанию получает разрешения, отличные от None. Нетипично большой объем писем, отправленных учетной записью, а также фишинговые письма, отправленные существующими учетными записями, подключенными к сети, могут быть признаками компрометации учетной записи и попыток изменить разрешения учетной записи для доступа к ресурсам.

ID	DS0002	Источник и компонент данных	Учетная запись пользователя: Изменения в учетной записи	Описание	Отслеживайте необычные изменения разрешений в учетных записях электронной почты Exchange и Microsoft 365, свидетельствующие о том, что скомпрометированным учетным записям предоставляются слишком широкие полномочия.

ID	Источник и компонент данных	Описание
DS0036	Группа: Изменение параметров группы	Отслеживайте необычные изменения разрешений в учетных записях электронной почты Exchange и Microsoft 365, свидетельствующие о том, что скомпрометированным учетным записям предоставляются слишком широкие полномочия (в том числе членство в привилегированных группах).
DS0015	Журналы приложений: Содержимое журналов приложений	Включите действие UpdateFolderPermissions для всех типов входа в систему. Журнал аудита почтового ящика будет пересылать события изменения разрешений для папок в единый журнал аудита. Создайте правила оповещения об операциях ModifyFolderPermissions в случаях, когда анонимный пользователь или пользователь по умолчанию получает разрешения, отличные от None. Нетипично большой объем писем, отправленных учетной записью, а также фишинговые письма, отправленные существующими учетными записями, подключенными к сети, могут быть признаками компрометации учетной записи и попыток изменить разрешения учетной записи для доступа к ресурсам.
DS0002	Учетная запись пользователя: Изменения в учетной записи	Отслеживайте необычные изменения разрешений в учетных записях электронной почты Exchange и Microsoft 365, свидетельствующие о том, что скомпрометированным учетным записям предоставляются слишком широкие полномочия.

Меры противодействия

ID	M1026	Название	Управление привилегированными учетными записями	Описание	Не позволяйте использовать учетные записи администраторов домена для повседневных операций, которые могут подвергнуть их воздействию потенциальных злоумышленников в непривилегированных системах.

ID	M1032	Название	Многофакторная аутентификация	Описание	Используйте многофакторную аутентификацию для обычных и привилегированных учетных записей.

ID	M1042	Название	Отключение или удаление компонента или программы	Описание	Если делегирование электронной почты не требуется, отключите его. В Google Workspace это можно сделать через консоль Google Admin.

ID	Название	Описание
M1026	Управление привилегированными учетными записями	Не позволяйте использовать учетные записи администраторов домена для повседневных операций, которые могут подвергнуть их воздействию потенциальных злоумышленников в непривилегированных системах.
M1032	Многофакторная аутентификация	Используйте многофакторную аутентификацию для обычных и привилегированных учетных записей.
M1042	Отключение или удаление компонента или программы	Если делегирование электронной почты не требуется, отключите его. В Google Workspace это можно сделать через консоль Google Admin.