T1114.003: Правила пересылки эл. почты
Злоумышленники могут настроить правила пересылки электронной почты для сбора конфиденциальной информации. Злоумышленники могут использовать правила пересылки электронной почты для отслеживания действий жертвы, кражи данных и дальнейшего сбора информации о жертве или ее организации, а затем могут использовать эту информацию в дальнейших эксплойтах или операциях. Более того, правила пересылки электронной почты могут позволить злоумышленникам сохранить постоянный доступ к электронной почте жертвы даже после того, как ее скомпрометированные учетные данные будут сброшены администратором. Большинство почтовых клиентов позволяют пользователям создавать правила для входящих сообщений электронной почты, выполняющие различные функции, включая пересылку другому получателю. Эти правила могут быть созданы с помощью локального почтового приложения, веб-интерфейса или интерфейса командной строки. Сообщения можно пересылать как внутренним, так и внешним адресатам, и такие правила можно составлять без каких-либо ограничений. Правила пересылки для учетных записей пользователей также могут создавать администраторы, руководствуясь теми же соображениями и целями.
Любой пользователь или администратор в организации (или злоумышленник с действительными учетными данными) может создавать такие правила, например для автоматической пересылки всех получаемых сообщений другому адресату или пересылки писем в разные места в зависимости от отправителя. Злоумышленники также могут скрыть правило, изменив его свойства с помощью Microsoft Messaging API (MAPI) так, чтобы оно было невидимым из Outlook, OWA и большинства средств администрирования Exchange.
В некоторых средах администраторы могут устанавливать правила пересылки электронной почты, которые применяются ко всей организации, а не только к отдельным почтовым ящикам. Например, в Microsoft Exchange можно использовать транспортные правила, которые проверяют всю входящую почту организации на соответствие пользовательским условиям и выполняют с ней указанные действия, если эти условия выполняются. Злоумышленники, использующие такие функции, могут включить пересылку всех или только определенных электронных писем, поступающих в организацию.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
microsoft_exchange: PT-CR-2352: Exchange_Transport_Rule_Actions: Пользователь выполнил действие с правилом транспорта в системе Exchange. Это может быть действием злоумышленника с целью получить конфиденциальную информацию или нарушить доступность системных и сетевых ресурсов
Способы обнаружения
| ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | В Windows отслеживайте создание подозрительных правил для папки "Входящие" с помощью таких командлетов PowerShell, как |
|---|
| ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Отслеживать такие случаи довольно сложно, поскольку автоматически переадресованные письма выглядят так же, как и пересланные вручную. Кроме того, пользователь может не знать о включении правила автоматической переадресации и не подозревать о компрометации учетной записи, так как изменение этих правил не влияет на обычное использование почты. Это особенно актуально в случаях, когда применяются правила скрытой автоматической переадресации. Существует лишь два надежных способа обнаружения скрытых правил автоматической переадресации: проверка журналов отслеживания сообщений и поиск измененных значений свойств правила с помощью редактора MAPI. У автоматически переадресованных сообщений обычно есть специфические артефакты в заголовке, зависящие от платформы. Примеры: X-MS-Exchange-Organization-AutoForwarded со значением true, X-MailFwdBy и X-Forwarded-To. При переадресации используется параметр forwardingSMTPAddress, менять который могут только администраторы. Все сообщения переадресовываются из почтового ящика на SMTP-адрес. Такие сообщения не помечаются как переадресованные, как это было бы с типовыми клиентскими правилами, и выглядят как отправленные напрямую на указанный адрес. Несоответствие между количеством сообщений с заголовком X-MS-Exchange-Organization-AutoForwarded (указывающим на автоматическую переадресацию) и количеством писем, помеченных как переадресованные, может потребовать расследования на уровне администратора, а не пользователя. В средах с Exchange отслеживайте записи журналов, указывающие на создание или изменение правил обработки потоков почты. |
|---|
Меры противодействия
| ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | По возможности отключите переадресацию внешней почты. |
|---|
| ID | M1041 | Название | Шифрование важной информации | Описание | Использование шифрования обеспечивает дополнительный уровень безопасности конфиденциальной информации, отправляемой по электронной почте. Для расшифровки сообщений с помощью криптографии с открытым ключом злоумышленнику необходимо получить личный сертификат вместе с ключом шифрования. |
|---|
| ID | M1047 | Название | Аудит | Описание | Корпоративные почтовые решения имеют механизмы мониторинга, которые могут включать возможность регулярного аудита правил автопереадресации. В среде Exchange администраторы могут использовать |
|---|