Техники: T1070 , T1070.001 , T1070.002 , T1070.003 , T1070.004 , T1070.005 , T1070.006 , T1070.007 , T1070.008 , T1070.009 , T1070.010
Злоумышленники могут изменять данные почты и почтовых приложений, чтобы удалить следы своей деятельности. Почтовые приложения позволяют пользователям и другим программам экспортировать и удалять данные почтового ящика с помощью инструментов командной строки или API. Данные почтового приложения могут представлять собой электронные письма, метаданные электронной почты или журналы, генерируемые приложением или операционной системой, например запросы на экспорт.
Злоумышленники могут манипулировать электронной почтой и данными почтовых ящиков для удаления журналов, артефактов и метаданных, таких как доказательства Phishing/Internal Spearphishing, Email Collection, Mail Protocols для командования и управления, или эксфильтрации на основе электронной почты, например Exfiltration Over Alternative Protocol. Например, для удаления улик на серверах Exchange Злоумышленники используют модуль ExchangePowerShell PowerShell, включая Remove-MailboxExportRequest для удаления улик экспорта почтовых ящиков.(Цитата: Volexity SolarWinds)(Цитата: Модуль ExchangePowerShell) В Linux и macOS злоумышленники также могут удалять электронные письма с помощью утилиты командной строки mail или использовать AppleScript для взаимодействия с API на macOS.(Цитата: Cybereason Cobalt Kitty 2017)(Цитата: mailx man page)
Злоумышленники также могут удалять электронные письма и метаданные/заголовки, указывающие на спам или подозрительную активность (например, с помощью правил транспортировки в масштабах организации), чтобы снизить вероятность обнаружения вредоносных писем продуктами безопасности.(Цитата: Microsoft OAuth Spam 2022)
https://attack.mitre.org/techniques/T1070/008
Визуализация смежных техник для T1070.008
| № | Техника |
|---|
