Техника на mitre.org

T1137.005: Правила Outlook

Злоумышленники могут использовать правила Microsoft Outlook, чтобы закрепиться в скомпрометированной системе. Правила Outlook позволяют пользователю задавать автоматически выполняемые действия для управления почтовыми сообщениями. Например, легитимное правило может автоматически перемещать электронное письмо в определенную папку Outlook, если оно содержит определенные слова и получено от определенного отправителя. Могут быть созданы вредоносные правила Outlook, которые инициируют выполнение кода, когда злоумышленник отправляет данному пользователю специальным образом подготовленное письмо.

После добавления вредоносных правил в почтовый ящик пользователя они будут загружаться при запуске Outlook. Вредоносные правила будут активироваться, когда злоумышленник отправит пользователю специальным образом подготовленное письмо.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_persistence: PT-CR-2702: Outlook_Malicious_Actions: Изменение наиболее опасных параметров в клиенте Outlook путем редактирования разделов реестра. Злоумышленник может изменить параметры в Outlook, чтобы выполнить произвольный код, повысить привилегии или закрепиться в системе

Способы обнаружения

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для закрепления в скомпрометированной системе с помощью правил Microsoft Outlook. Microsoft выпустила сценарий PowerShell для безопасного сбора правил переадресации электронной почты и пользовательских форм, используемых в вашей среде, а также инструкции по интерпретации полученных данных. Этот сценарий не подходит для сбора правил со свойствами PR_RULE_MSG_NAME и PR_RULE_MSG_PROVIDER, измененными злоумышленниками с помощью Microsoft Exchange Server Messaging API Editor (редактор MAPI), поэтому для обнаружения таких правил переадресации почты следует использовать средство администрирования Exchange MFCMapi.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск новых процессов, в которых могут использоваться правила Microsoft Outlook для закрепления злоумышленников в скомпрометированной системе.

ID	DS0015	Источник и компонент данных	Журналы приложений: Содержимое журналов приложений	Описание	Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на использование злоумышленниками правил Microsoft Outlook для закрепления в скомпрометированной системе. Компания SensePost, чей инструмент Ruler может использоваться для атак с применением вредоносных правил, форм и домашних страниц, также разработала средство, позволяющее обнаружить использование Ruler.

ID	Источник и компонент данных	Описание
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для закрепления в скомпрометированной системе с помощью правил Microsoft Outlook. Microsoft выпустила сценарий PowerShell для безопасного сбора правил переадресации электронной почты и пользовательских форм, используемых в вашей среде, а также инструкции по интерпретации полученных данных. Этот сценарий не подходит для сбора правил со свойствами PR_RULE_MSG_NAME и PR_RULE_MSG_PROVIDER, измененными злоумышленниками с помощью Microsoft Exchange Server Messaging API Editor (редактор MAPI), поэтому для обнаружения таких правил переадресации почты следует использовать средство администрирования Exchange MFCMapi.
DS0009	Процесс: Создание процесса	Отслеживайте запуск новых процессов, в которых могут использоваться правила Microsoft Outlook для закрепления злоумышленников в скомпрометированной системе.
DS0015	Журналы приложений: Содержимое журналов приложений	Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на использование злоумышленниками правил Microsoft Outlook для закрепления в скомпрометированной системе. Компания SensePost, чей инструмент Ruler может использоваться для атак с применением вредоносных правил, форм и домашних страниц, также разработала средство, позволяющее обнаружить использование Ruler.

Меры противодействия

ID	M1051	Название	Обновление ПО	Описание	Для методов Outlook блокировка макросов может оказаться неэффективной, поскольку движок Visual Basic, используемый для этих функций, отделен от движка макросценариев. Microsoft выпустила исправления, чтобы попытаться решить каждую проблему. Проследите, чтобы к системам применялись исправления: KB3191938, блокирующее Outlook Visual Basic и выводящее предупреждение о вредоносном коде, KB4011091, отключающее пользовательские формы по умолчанию, и KB4011162, удаляющее устаревшую функцию домашней страницы.

ID	M1040	Название	Предотвращение некорректного поведения	Описание	Включите правила Attack Surface Reduction (ASR) в Windows 10, чтобы предотвратить создание дочерних процессов приложениями Office и запись потенциально вредоносного исполняемого содержимого на диск .

ID	Название	Описание
M1051	Обновление ПО	Для методов Outlook блокировка макросов может оказаться неэффективной, поскольку движок Visual Basic, используемый для этих функций, отделен от движка макросценариев. Microsoft выпустила исправления, чтобы попытаться решить каждую проблему. Проследите, чтобы к системам применялись исправления: KB3191938, блокирующее Outlook Visual Basic и выводящее предупреждение о вредоносном коде, KB4011091, отключающее пользовательские формы по умолчанию, и KB4011162, удаляющее устаревшую функцию домашней страницы.
M1040	Предотвращение некорректного поведения	Включите правила Attack Surface Reduction (ASR) в Windows 10, чтобы предотвратить создание дочерних процессов приложениями Office и запись потенциально вредоносного исполняемого содержимого на диск .