Техника на mitre.org

T1114.001: Сбор эл. почты (локально)

Злоумышленники могут использовать электронную почту пользователей в локальных системах для сбора конфиденциальной информации. Файлы с данными электронной почты могут быть извлечены из локальной системы пользователя, например из хранилища Outlook или файлов кэша.

Outlook хранит свои данные локально в файлах с расширением .ost. Outlook 2010 и более поздние версии поддерживают файлы .ost размером до 50 ГБ, а более ранние версии Outlook — до 20 ГБ. В учетных записях IMAP в Outlook 2013 (и более ранних версиях) и учетных записях POP используются файлы данных Outlook с расширением .pst, а не .ost, в то время как в учетных записях IMAP в Outlook 2016 (и более поздних версиях) используются файлы .ost. Файлы данных Outlook обоих типов обычно хранятся в каталоге C:\Users\<имя пользователя>\Documents\Outlook Files или C:\Users\<имя пользователя>\AppData\Local\Microsoft\Outlook.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

— Мониторинг событий запуска процессов, в командной строке которых выполняется команда «copy» для файлов .pst или .ost (часто эти файлы расположены в директориях C:\Users<username>\Documents\Outlook Files и C:\Users<username>\AppData\Local\Microsoft\Outlook). — Мониторинг событий запуска командлетов PowerShell, в командной строке которых одновременно содержатся фрагменты «Microsoft.Office.Interop.Outlook», «olFolderInBox» и «Select-Object -Property»

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

ID	DS0022	Источник и компонент данных	Файл: Доступ к файлу	Описание	Отслеживайте нетипичные процессы, которые пытаются получить доступ к файлам электронной почты в локальной системе, — злоумышленники могут использовать электронную почту пользователей в локальных системах для получения важной или конфиденциальной информации.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для сбора локальных файлов электронной почты. Средства удаленного доступа со встроенными функциями могут напрямую взаимодействовать с API Windows для сбора информации. Для сбора информации также могут использоваться системные средства администрирования, такие как инструментарий управления Windows и PowerShell.

ID	Источник и компонент данных	Описание
DS0022	Файл: Доступ к файлу	Отслеживайте нетипичные процессы, которые пытаются получить доступ к файлам электронной почты в локальной системе, — злоумышленники могут использовать электронную почту пользователей в локальных системах для получения важной или конфиденциальной информации.
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для сбора локальных файлов электронной почты. Средства удаленного доступа со встроенными функциями могут напрямую взаимодействовать с API Windows для сбора информации. Для сбора информации также могут использоваться системные средства администрирования, такие как инструментарий управления Windows и PowerShell.

Меры противодействия

ID	M1041	Название	Шифрование важной информации	Описание	Использование шифрования обеспечивает дополнительный уровень безопасности конфиденциальной информации, отправляемой по электронной почте. Для расшифровки сообщений с помощью криптографии с открытым ключом злоумышленнику необходимо получить личный сертификат вместе с ключом шифрования.

ID	Название	Описание
M1041	Шифрование важной информации	Использование шифрования обеспечивает дополнительный уровень безопасности конфиденциальной информации, отправляемой по электронной почте. Для расшифровки сообщений с помощью криптографии с открытым ключом злоумышленнику необходимо получить личный сертификат вместе с ключом шифрования.