Техника на mitre.org

T1589.002: Адреса эл. почты

Злоумышленники могут собирать адреса электронной почты, чтобы использовать их для атак. Даже при наличии внутренней почтовой службы у организаций могут быть общедоступные серверы электронной почты и адреса для сотрудников.

Злоумышленники могут легко собирать адреса электронной почты, так как их часто можно найти в интернете или других доступных источниках (например, в социальных сетях или на сайтах атакуемой организации). Адреса электронной почты также можно собирать более активными методами (техника Активное сканирование), например путем анализа ответов служб аутентификации на запросы, специально сформулированные для выявления действительных имен пользователей в системе. Например, злоумышленники могут выяснить, какие адреса электронной почты в среде Microsoft 365 являются действительными, путем запросов к общедоступным конечным точкам API, таким как GetCredentialType и службы автообнаружения.

Сбор этой информации может открыть дополнительные возможности для разведки (например, поиска на общедоступных сайтах или фишинга с целью сбора сведений) и способствовать получению операционных ресурсов (в частности, учетных записей эл. почты) и (или) обеспечению первоначального доступа (например, путем фишинга или использования метода перебора через внешние службы удаленного доступа).

Какие продукты Positive Technologies покрывают технику

Как детектировать

PT AF может обнаруживать утечки данных, содержащие адреса электронной почты и осуществляющиеся через HTTP.

Примеры правил обнаружения:

exchange_active_sync
lync_address_book_reading
exchange_oab_reading.

Способы обнаружения

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Отслеживайте подозрительный сетевой трафик, который может свидетельствовать о поиске адресов электронной почты и (или) имен пользователей, например многочисленные и повторяющиеся запросы на аутентификацию, исходящие из одного источника (особенно если известно, что этот источник связан со злоумышленником или ботнетом). Анализ метаданных веб-страниц позволяет обнаружить артефакты, потенциально связанные с вредоносной активностью, такие как поля HTTP- и HTTPS-заголовков Referer или User-Agent.

ID	Источник и компонент данных	Описание
DS0029	Сетевой трафик: Содержимое сетевого трафика	Отслеживайте подозрительный сетевой трафик, который может свидетельствовать о поиске адресов электронной почты и (или) имен пользователей, например многочисленные и повторяющиеся запросы на аутентификацию, исходящие из одного источника (особенно если известно, что этот источник связан со злоумышленником или ботнетом). Анализ метаданных веб-страниц позволяет обнаружить артефакты, потенциально связанные с вредоносной активностью, такие как поля HTTP- и HTTPS-заголовков Referer или User-Agent.

Меры противодействия

ID	M1056	Название	Предкомпрометация	Описание	От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. Усилия должны быть направлены на минимизацию объема и конфиденциальности данных, доступных внешним сторонам.

ID	Название	Описание
M1056	Предкомпрометация	От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. Усилия должны быть направлены на минимизацию объема и конфиденциальности данных, доступных внешним сторонам.