T1114.001: Сбор эл. почты (локально)
Злоумышленники могут использовать электронную почту пользователей в локальных системах для сбора конфиденциальной информации. Файлы с данными электронной почты могут быть извлечены из локальной системы пользователя, например из хранилища Outlook или файлов кэша.
Outlook хранит свои данные локально в файлах с расширением .ost. Outlook 2010 и более поздние версии поддерживают файлы .ost размером до 50 ГБ, а более ранние версии Outlook — до 20 ГБ. В учетных записях IMAP в Outlook 2013 (и более ранних версиях) и учетных записях POP используются файлы данных Outlook с расширением .pst, а не .ost, в то время как в учетных записях IMAP в Outlook 2016 (и более поздних версиях) используются файлы .ost. Файлы данных Outlook обоих типов обычно хранятся в каталоге C:\Users\\<имя пользователя>\Documents\Outlook Files
или C:\Users\\<имя пользователя>\AppData\Local\Microsoft\Outlook
.
Какие продукты Positive Technologies покрывают технику
Описание методов обнаружения техники пока недоступно
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Доступ к файлу | Описание | Monitor for unusual processes accessing local email files that may target user email on local systems to collect sensitive information. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor executed commands and arguments for actions that could be taken to gather local email files. Remote access tools with built-in features may interact directly with the Windows API to gather information. Information may also be acquired through Windows system management tools such as Windows Management Instrumentation and PowerShell. |
---|
Меры противодействия
ID | M1041 | Название | Шифрование важной информации | Описание | Use of encryption provides an added layer of security to sensitive information sent over email. Encryption using public key cryptography requires the adversary to obtain the private certificate along with an encryption key to decrypt messages. |
---|