T1114: Сбор эл. почты
Злоумышленники могут использовать электронную почту пользователей для получения конфиденциальной информации. Электронные письма могут содержать конфиденциальную информацию (в частности, коммерческую тайну или личную информацию), которая может оказаться ценной для злоумышленников. Злоумышленники могут собирать или пересылать электронную почту с почтовых серверов или почтовых клиентов.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
Подтехники
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | В Windows отслеживайте создание подозрительных правил для папки "Входящие" с помощью таких командлетов PowerShell, как |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Отслеживайте создание сетевых соединений с недоверенными узлами. |
---|
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Отслеживать такие случаи довольно сложно, поскольку автоматически переадресованные письма выглядят так же, как и пересланные вручную. Кроме того, пользователь может не знать о включении правила автоматической переадресации и не подозревать о компрометации учетной записи, так как изменение этих правил не влияет на обычное использование почты. Это особенно актуально в случаях, когда применяются правила скрытой автоматической переадресации. Существует лишь два надежных способа обнаружения скрытых правил автоматической переадресации: проверка журналов отслеживания сообщений и поиск измененных значений свойств правила с помощью редактора MAPI. Автоматически переадресованные сообщения обычно содержат определяемые артефакты, например, в заголовке, и их тип зависит от применяемой платформы. Примеры: X-MS-Exchange-Organization-AutoForwarded со значением true, X-MailFwdBy и X-Forwarded-To. При переадресации используется параметр forwardingSMTPAddress, менять который могут только администраторы. Все сообщения переадресовываются из почтового ящика на SMTP-адрес. Такие сообщения не помечаются как переадресованные, как это было бы с типовыми клиентскими правилами, и выглядят как отправленные напрямую на указанный адрес. Несоответствие между количеством сообщений с заголовком X-MS-Exchange-Organization-AutoForwarded (указывающим на автоматическую переадресацию) и количеством писем, помеченных как переадресованные, может потребовать расследования на уровне администратора, а не пользователя. В средах с Exchange отслеживайте записи журналов, указывающие на создание или изменение правил обработки потоков почты. |
---|
ID | DS0028 | Источник и компонент данных | Сеанс входа в систему: Создание сеанса входа в систему | Описание | Отслеживайте нетипичные попытки входа в систему из неизвестных или аномальных точек. Особое внимание уделяйте учетным записям с высокими привилегиями (например, учетной записи администратора Exchange). |
---|
ID | DS0022 | Источник и компонент данных | Файл: Доступ к файлу | Описание | Отслеживайте нетипичные процессы, которые пытаются получить доступ к файлам электронной почты в локальной системе — злоумышленники могут использовать электронную почту пользователей в локальных системах для получения важной или конфиденциальной информации. |
---|
Меры противодействия
ID | M1032 | Название | Многофакторная аутентификация | Описание | Использование многофакторной аутентификации на публичных серверах веб-почты — это рекомендуемая передовая практика, позволяющая свести к минимуму полезность имен пользователей и паролей для злоумышленников. |
---|
ID | M1041 | Название | Шифрование важной информации | Описание | Использование шифрования обеспечивает дополнительный уровень безопасности конфиденциальной информации, отправляемой по электронной почте. Для расшифровки сообщений с помощью криптографии с открытым ключом злоумышленнику необходимо получить личный сертификат вместе с ключом шифрования. |
---|
ID | M1047 | Название | Аудит | Описание | Корпоративные почтовые решения имеют механизмы мониторинга, которые могут включать возможность регулярного аудита правил автопереадресации. В среде Exchange администраторы могут использовать |
---|