T1114: Сбор эл. почты

Злоумышленники могут использовать электронную почту пользователей для получения конфиденциальной информации. Электронные письма могут содержать конфиденциальную информацию (в частности, коммерческую тайну или личную информацию), которая может оказаться ценной для злоумышленников. Злоумышленники могут собирать или пересылать электронную почту с почтовых серверов или почтовых клиентов.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Подтехники

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

В Windows отслеживайте создание подозрительных правил для папки "Входящие" с помощью таких командлетов PowerShell, как New-InboxRule, Set-InboxRule, New-TransportRule и Set-TransportRule.

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Отслеживайте создание сетевых соединений с недоверенными узлами.

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Отслеживать такие случаи довольно сложно, поскольку автоматически переадресованные письма выглядят так же, как и пересланные вручную. Кроме того, пользователь может не знать о включении правила автоматической переадресации и не подозревать о компрометации учетной записи, так как изменение этих правил не влияет на обычное использование почты. Это особенно актуально в случаях, когда применяются правила скрытой автоматической переадресации. Существует лишь два надежных способа обнаружения скрытых правил автоматической переадресации: проверка журналов отслеживания сообщений и поиск измененных значений свойств правила с помощью редактора MAPI. Автоматически переадресованные сообщения обычно содержат определяемые артефакты, например, в заголовке, и их тип зависит от применяемой платформы. Примеры: X-MS-Exchange-Organization-AutoForwarded со значением true, X-MailFwdBy и X-Forwarded-To. При переадресации используется параметр forwardingSMTPAddress, менять который могут только администраторы. Все сообщения переадресовываются из почтового ящика на SMTP-адрес. Такие сообщения не помечаются как переадресованные, как это было бы с типовыми клиентскими правилами, и выглядят как отправленные напрямую на указанный адрес. Несоответствие между количеством сообщений с заголовком X-MS-Exchange-Organization-AutoForwarded (указывающим на автоматическую переадресацию) и количеством писем, помеченных как переадресованные, может потребовать расследования на уровне администратора, а не пользователя.

В средах с Exchange отслеживайте записи журналов, указывающие на создание или изменение правил обработки потоков почты.

IDDS0028Источник и компонент данныхСеанс входа в систему: Создание сеанса входа в системуОписание

Отслеживайте нетипичные попытки входа в систему из неизвестных или аномальных точек. Особое внимание уделяйте учетным записям с высокими привилегиями (например, учетной записи администратора Exchange).

IDDS0022Источник и компонент данныхФайл: Доступ к файлуОписание

Отслеживайте нетипичные процессы, которые пытаются получить доступ к файлам электронной почты в локальной системе — злоумышленники могут использовать электронную почту пользователей в локальных системах для получения важной или конфиденциальной информации.

Меры противодействия

IDM1032НазваниеМногофакторная аутентификацияОписание

Использование многофакторной аутентификации на публичных серверах веб-почты — это рекомендуемая передовая практика, позволяющая свести к минимуму полезность имен пользователей и паролей для злоумышленников.

IDM1041НазваниеШифрование важной информацииОписание

Использование шифрования обеспечивает дополнительный уровень безопасности конфиденциальной информации, отправляемой по электронной почте. Для расшифровки сообщений с помощью криптографии с открытым ключом злоумышленнику необходимо получить личный сертификат вместе с ключом шифрования.

IDM1047НазваниеАудитОписание

Корпоративные почтовые решения имеют механизмы мониторинга, которые могут включать возможность регулярного аудита правил автопереадресации.

В среде Exchange администраторы могут использовать Get-InboxRule / Remove-InboxRule и Get-TransportRule / Remove-TransportRule для обнаружения и удаления потенциально вредоносных правил автопереадресации и транспортировки. В дополнение к этому можно использовать MAPI Editor для изучения основной структуры базы данных и обнаружения любых изменений/подделок свойств правил автопереадресации.