MaxPatrol EDR

Защищает конечные точки со всеми популярными ОС от сложных и целевых атак

T1114.001: Сбор эл. почты (локально)

Злоумышленники могут использовать электронную почту пользователей в локальных системах для сбора конфиденциальной информации. Файлы с данными электронной почты могут быть извлечены из локальной системы пользователя, например из хранилища Outlook или файлов кэша.

Outlook хранит свои данные локально в файлах с расширением .ost. Outlook 2010 и более поздние версии поддерживают файлы .ost размером до 50 ГБ, а более ранние версии Outlook — до 20 ГБ. В учетных записях IMAP в Outlook 2013 (и более ранних версиях) и учетных записях POP используются файлы данных Outlook с расширением .pst, а не .ost, в то время как в учетных записях IMAP в Outlook 2016 (и более поздних версиях) используются файлы .ost. Файлы данных Outlook обоих типов обычно хранятся в каталоге C:\Users\\<имя пользователя>\Documents\Outlook Files или C:\Users\\<имя пользователя>\AppData\Local\Microsoft\Outlook.

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Доступ к файлуОписание

Monitor for unusual processes accessing local email files that may target user email on local systems to collect sensitive information.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments for actions that could be taken to gather local email files. Remote access tools with built-in features may interact directly with the Windows API to gather information. Information may also be acquired through Windows system management tools such as Windows Management Instrumentation and PowerShell.

Меры противодействия

IDM1041НазваниеШифрование важной информацииОписание

Use of encryption provides an added layer of security to sensitive information sent over email. Encryption using public key cryptography requires the adversary to obtain the private certificate along with an encryption key to decrypt messages.