T1114.002: Сбор эл. почты (удаленно)
Злоумышленники могут использовать сервер Exchange, Microsoft 365 или Google Workspace для сбора конфиденциальной информации. Злоумышленники могут, используя учетные данные пользователя, напрямую взаимодействовать с сервером Exchange для получения информации из сети. Злоумышленники также могут воспользоваться службами Exchange, Microsoft 365 или Google Workspace, имеющими внешний интерфейс, чтобы получить доступ к электронной почте с помощью учетных данных или токенов доступа. Для автоматизации поиска по определенным ключевым словам могут использоваться такие инструменты, как MailSniper.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
microsoft_exchange: PT-CR-494: Exchange_PST_upload_via_Administrator: Попытка выгрузить PST-файлы при помощи консоли Exchange и удалить данные об этом microsoft_exchange: PT-CR-2501: Exchange_Self_Mail_Search: Пользователь собрал много писем из почтового ящика Exchange за короткий промежуток времени. Это может быть действием злоумышленника с целью повысить привилегии после получения из писем учетных данных пользователя или обнаружить конфиденциальные данные для пользователя, не являющегося администратором
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Отслеживайте создание сетевых соединений с недоверенными узлами. |
---|
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | В средах Microsoft 365 по возможности используйте PurviewAudit для сбора событий MailItemsAccessed и мониторинга нетипичных случаев доступа к почте. |
---|
ID | DS0028 | Источник и компонент данных | Сеанс входа в систему: Создание сеанса входа в систему | Описание | Отслеживайте нетипичные попытки входа в систему из неизвестных или аномальных точек. Особое внимание уделяйте учетным записям с высокими привилегиями (например, учетной записи администратора Exchange). |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для сбора конфиденциальной информации с сервера Exchange, из приложений Microsoft 365 или Google Workspace. |
---|
Меры противодействия
ID | M1041 | Название | Шифрование важной информации | Описание | Использование шифрования обеспечивает дополнительный уровень безопасности конфиденциальной информации, отправляемой по электронной почте. Для расшифровки сообщений с помощью криптографии с открытым ключом злоумышленнику необходимо получить личный сертификат вместе с ключом шифрования. |
---|
ID | M1032 | Название | Многофакторная аутентификация | Описание | Использование многофакторной аутентификации на публичных серверах веб-почты — это рекомендуемая передовая практика, позволяющая свести к минимуму полезность имен пользователей и паролей для злоумышленников. |
---|