Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1564.008 - Правила скрытия электронной почты

Техники:  T1564 , T1564.001 , T1564.002 , T1564.003 , T1564.004 , T1564.005 , T1564.006 , T1564.007 , T1564.008 , T1564.009 , T1564.010 , T1564.011 , T1564.012

Злоумышленники могут использовать правила электронной почты для скрытия входящих сообщений в почтовом ящике взломанного пользователя. Многие почтовые клиенты позволяют пользователям создавать правила для различных функций почтового ящика, включая перемещение писем в другие папки, пометку писем как прочитанных или удаление писем. Правила можно создавать или изменять в почтовых клиентах или с помощью внешних функций, таких как команды New-InboxRule или Set-InboxRule PowerShell в системах Windows.(Цитата: Microsoft Inbox Rules)(Цитата: MacOS Email Rules)(Цитата: Microsoft New-InboxRule)(Цитата: Microsoft Set-InboxRule)

Злоумышленники могут использовать правила электронной почты в почтовом ящике взломанного пользователя для удаления и/или перемещения писем в менее заметные папки. Злоумышленники могут делать это, чтобы скрыть предупреждения о безопасности, сообщения C2 или ответы на Internal Spearphishing электронные письма, отправленные со взломанной учетной записи.

Любой пользователь или администратор в организации (или злоумышленник с действительными учетными данными) может создать правила для автоматического перемещения или удаления электронной почты. Этими правилами можно злоупотреблять, чтобы ухудшить/задержать обнаружение, если содержимое электронной почты сразу же попало в поле зрения пользователя или защитника. Вредоносные правила обычно отфильтровывают электронные письма на основе ключевых слов (таких как malware, suspicious, phish и hack), встречающихся в теле сообщений и строках темы.(Цит. по: Microsoft Cloud App Security)

В некоторых средах администраторы могут включить правила электронной почты, которые действуют в масштабах всей организации, а не отдельных почтовых ящиков.Например, Microsoft Exchange поддерживает транспортные правила, которые оценивают всю почту, получаемую организацией, на соответствие заданным пользователем условиям, а затем выполняют заданное пользователем действие с почтой, которая соответствует этим условиям.(Цитата: Microsoft Mail Flow Rules 2023) Злоумышленники, злоупотребляющие такими функциями, могут автоматически изменять или удалять все электронные письма, относящиеся к определенным темам (например, уведомления об инцидентах внутренней безопасности).

https://attack.mitre.org/techniques/T1564/008

← Назад

Визуализация смежных техник для T1564.008

Отрасль:
 с подтехниками
Техника

Закрыть