T1505.002: Агенты транспорта Microsoft Exchange
Злоумышленники могут использовать агенты транспорта Microsoft Exchange для закрепления в системе. Агенты транспорта Microsoft Exchange могут обрабатывать сообщения электронной почты, проходящие через транспортный конвейер, выполняя различные задачи, такие как фильтрация спама и вредоносных вложений, журналирование или добавление корпоративной подписи в конец всех исходящих сообщений электронной почты. Агенты транспорта могут быть написаны разработчиками приложений и скомпилированы в .NET-сборки, которые затем регистрируются на сервере Exchange. Агенты транспорта вызываются на определенном этапе обработки электронной почты и выполняют задачи, определенные разработчиком.
Злоумышленники могут зарегистрировать вредоносный агент транспорта, обеспечивающий механизм закрепления на сервере Exchange; этот механизм может быть запущен специальными событиями электронной почты, заданными злоумышленниками. Вредоносный агент транспорта может вызываться для всех писем, проходящих через транспортный конвейер Exchange, однако его можно настроить на выполнение только определенных задач в соответствии с критериями, заданными злоумышленниками. Например, агент транспорта может выполнять такие действия, как копирование и сохранение вложений проходящих сообщений с их последующей эксфильтрацией в том случае, если адрес электронной почты получателя присутствует в списке, предоставленном злоумышленниками.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
Мониторинг событий с идентификаторами 4103 и 4104 (Microsoft-Windows-PowerShell/Operational), в которых запускаются командлеты Install-TransportAgent и Enable-TransportAgent
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
| ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | По возможности отслеживайте местоположение файлов, которые связаны с установкой новых программных компонентов приложения, включая пути, из которых приложение обычно загружает подобные расширяемые компоненты. |
|---|
| ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на использование агентов транспорта Microsoft для закрепления в системе. По возможности отслеживайте в журналах приложений аномальное поведение, которое может указывать на установку опасных компонентов приложений. |
|---|
Меры противодействия
| ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Не позволяйте использовать учетные записи администраторов с правами на добавление компонентного программного обеспечения в этих службах для повседневных операций, которые могут подвергнуть их воздействию потенциальных злоумышленников на непривилегированных системах. |
|---|
| ID | M1047 | Название | Аудит | Описание | Чтобы контролировать целостность систем, регулярно проверяйте на неожиданные изменения программные компоненты критически важных служб, которые злоумышленники могут использовать для закрепления в системе. |
|---|
| ID | M1045 | Название | Подпись исполняемого кода | Описание | Проследите, чтобы все бинарные файлы компонентов приложения были подписаны правильными разработчиками приложения. |
|---|