T1114.002: Сбор эл. почты (удаленно)

Злоумышленники могут использовать сервер Exchange, Microsoft 365 или Google Workspace для сбора конфиденциальной информации. Злоумышленники могут, используя учетные данные пользователя, напрямую взаимодействовать с сервером Exchange для получения информации из сети. Злоумышленники также могут воспользоваться службами Exchange, Microsoft 365 или Google Workspace, имеющими внешний интерфейс, чтобы получить доступ к электронной почте с помощью учетных данных или токенов доступа. Для автоматизации поиска по определенным ключевым словам могут использоваться такие инструменты, как MailSniper.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

microsoft_exchange: PT-CR-494: Exchange_PST_upload_via_Administrator: Попытка выгрузить PST-файлы при помощи консоли Exchange и удалить данные об этом microsoft_exchange: PT-CR-2501: Exchange_Self_Mail_Search: Пользователь собрал много писем из почтового ящика Exchange за короткий промежуток времени. Это может быть действием злоумышленника с целью повысить привилегии после получения из писем учетных данных пользователя или обнаружить конфиденциальные данные для пользователя, не являющегося администратором

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Отслеживайте создание сетевых соединений с недоверенными узлами.

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

В средах Microsoft 365 по возможности используйте PurviewAudit для сбора событий MailItemsAccessed и мониторинга нетипичных случаев доступа к почте.

IDDS0028Источник и компонент данныхСеанс входа в систему: Создание сеанса входа в системуОписание

Отслеживайте нетипичные попытки входа в систему из неизвестных или аномальных точек. Особое внимание уделяйте учетным записям с высокими привилегиями (например, учетной записи администратора Exchange).

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для сбора конфиденциальной информации с сервера Exchange, из приложений Microsoft 365 или Google Workspace.

Меры противодействия

IDM1041НазваниеШифрование важной информацииОписание

Использование шифрования обеспечивает дополнительный уровень безопасности конфиденциальной информации, отправляемой по электронной почте. Для расшифровки сообщений с помощью криптографии с открытым ключом злоумышленнику необходимо получить личный сертификат вместе с ключом шифрования.

IDM1032НазваниеМногофакторная аутентификацияОписание

Использование многофакторной аутентификации на публичных серверах веб-почты — это рекомендуемая передовая практика, позволяющая свести к минимуму полезность имен пользователей и паролей для злоумышленников.