Техника на mitre.org

T1098.002: Выдача доп. прав учетной записи эл. почты

Злоумышленники могут предоставлять дополнительные уровни разрешений для сохранения постоянного доступа к контролируемой ими учетной записи электронной почты.

Например, командлет Add-MailboxPermission PowerShell, доступный в локальной среде Exchange и в облачной службе Microsoft 365, добавляет разрешения к почтовому ящику. В Google Workspace можно включить делегирование через консоль Google Admin, а пользователи могут делегировать доступ к учетным записям через настройки Gmail.

Злоумышленники также могут назначать разрешения для папок почтовых ящиков, используя разрешения для отдельных папок или роли. В средах Microsoft 365 злоумышленники могут назначать корневой папке, "Входящим" и другим папкам почтовых ящиков разрешения (или роли) для аутентифицированных пользователей по умолчанию и для анонимных пользователей. Назначив разрешения папки для одного или обоих указанных выше типов пользователей, злоумышленник может использовать любую другую учетную запись в том же тенанте, чтобы поддерживать постоянный доступ к папкам почтового ящика нужного пользователя.

Эта техника может использоваться в APT-атаках, а также в инцидентах с компрометацией корпоративной электронной почты (BEC), когда злоумышленник может добавить дополнительные облачные роли к учетным записям, которые ему нужно скомпрометировать. Ее применение может позволить использовать дополнительные техники для получения доступа к системам. Например, скомпрометированные корпоративные учетные записи часто используются для отправки сообщений другим учетным записям в сети атакуемой бизнес-организации; при этом создаются правила обработки входящих сообщений (например, для внутреннего целевого фишинга) с тем, чтобы эти сообщения пропускались средствами обнаружения спама/фишинга.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Мониторинг событий с идентификаторами 4103 и 4104 (Microsoft-Windows-PowerShell/Operational), в которых запускается командлет Add-MailboxPermission

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

ID	DS0036	Источник и компонент данных	Группа: Изменение параметров группы	Описание	Отслеживайте необычные изменения разрешений в учетных записях электронной почты Exchange и Microsoft 365, свидетельствующие о том, что скомпрометированным учетным записям предоставляются слишком широкие полномочия (в том числе членство в привилегированных группах).

ID	DS0015	Источник и компонент данных	Журналы приложений: Содержимое журналов приложений	Описание	Включите действие UpdateFolderPermissions для всех типов входа в систему. Журнал аудита почтового ящика будет пересылать события изменения разрешений для папок в единый журнал аудита. Создайте правила оповещения об операциях ModifyFolderPermissions в случаях, когда анонимный пользователь или пользователь по умолчанию получает разрешения, отличные от None. Нетипично большой объем писем, отправленных учетной записью, а также фишинговые письма, отправленные существующими учетными записями, подключенными к сети, могут быть признаками компрометации учетной записи и попыток изменить разрешения учетной записи для доступа к ресурсам.

ID	DS0002	Источник и компонент данных	Учетная запись пользователя: Изменения в учетной записи	Описание	Отслеживайте необычные изменения разрешений в учетных записях электронной почты Exchange и Microsoft 365, свидетельствующие о том, что скомпрометированным учетным записям предоставляются слишком широкие полномочия.

ID	Источник и компонент данных	Описание
DS0036	Группа: Изменение параметров группы	Отслеживайте необычные изменения разрешений в учетных записях электронной почты Exchange и Microsoft 365, свидетельствующие о том, что скомпрометированным учетным записям предоставляются слишком широкие полномочия (в том числе членство в привилегированных группах).
DS0015	Журналы приложений: Содержимое журналов приложений	Включите действие UpdateFolderPermissions для всех типов входа в систему. Журнал аудита почтового ящика будет пересылать события изменения разрешений для папок в единый журнал аудита. Создайте правила оповещения об операциях ModifyFolderPermissions в случаях, когда анонимный пользователь или пользователь по умолчанию получает разрешения, отличные от None. Нетипично большой объем писем, отправленных учетной записью, а также фишинговые письма, отправленные существующими учетными записями, подключенными к сети, могут быть признаками компрометации учетной записи и попыток изменить разрешения учетной записи для доступа к ресурсам.
DS0002	Учетная запись пользователя: Изменения в учетной записи	Отслеживайте необычные изменения разрешений в учетных записях электронной почты Exchange и Microsoft 365, свидетельствующие о том, что скомпрометированным учетным записям предоставляются слишком широкие полномочия.

Меры противодействия

ID	M1032	Название	Многофакторная аутентификация	Описание	Используйте многофакторную аутентификацию для обычных и привилегированных учетных записей.

ID	M1026	Название	Управление привилегированными учетными записями	Описание	Не позволяйте использовать учетные записи администраторов домена для повседневных операций, которые могут подвергнуть их воздействию потенциальных злоумышленников в непривилегированных системах.

ID	M1042	Название	Отключение или удаление компонента или программы	Описание	Если делегирование электронной почты не требуется, отключите его. В Google Workspace это можно сделать через консоль Google Admin.

ID	Название	Описание
M1032	Многофакторная аутентификация	Используйте многофакторную аутентификацию для обычных и привилегированных учетных записей.
M1026	Управление привилегированными учетными записями	Не позволяйте использовать учетные записи администраторов домена для повседневных операций, которые могут подвергнуть их воздействию потенциальных злоумышленников в непривилегированных системах.
M1042	Отключение или удаление компонента или программы	Если делегирование электронной почты не требуется, отключите его. В Google Workspace это можно сделать через консоль Google Admin.