Detectando / impedindo regras de previsão maliciosas

2

Os atacantes gostam de abusar do Outlook para uma variedade de propósitos. Por exemplo, um invasor pode encaminhar automaticamente e-mails para um endereço remoto ou persistir dentro de uma rede, criando regras do lado do cliente que executam um programa / script mal-intencionado quando um usuário recebe um e-mail. Existe uma maneira de consultar as regras do Outlook armazenadas no Exchange para detectar regras potencialmente mal-intencionadas? É possível bloquear alguns tipos de regras do Outlook (por exemplo, executar um programa / script)?

    
por tifkin 04.11.2015 / 17:13

2 respostas

0

Em troca

No PowerShell (é claro!), há o útil Get-InboxRule Link do Technet . Eu digo um pouco útil porque só pode consultar uma única caixa de correio.

  • Isso pode ser usado para checar uma única caixa de correio (Usuários Financeiros, Executivos, usuários com acesso privilegiado, etc.)
  • Também é possível usar loops e pipes para percorrer uma matriz, como um de um CSV.

Como você está tentando detectar tipos específicos de regras (vazando informações fora da organização), sugiro que você procure algumas propriedades de regras específicas.

  • DeleteMessage = True
  • ForwardAsAttachmentTo = (não nulo)
  • ForwardTo = (não nulo)

Pode haver outras pessoas relevantes para você. Use Get-InboxRule -Mailbox [email protected] | FL para listar todas as propriedades ou faça referência ao artigo da Technet vinculado.

Nem todas as regras estão no Exchange. : (

É verdade! Alguns tipos de regra estão apenas no cliente do Outlook. Este link fornece orientação sobre os tipos de regras que seriam mais difíceis de rastrear.

    
por 04.11.2015 / 18:57
0

A melhor solução que estou ciente agora é usar a ferramenta NotRuler . Além disso, uma solução incompleta é extrair o blob binário em que o blob binário da ação da regra é armazenado (um exemplo é encontrado em aqui usando a API Gerenciada de Serviços Web do Exchange) e execute strings no blob binário da ação de regra e procure por qualquer string suspeita (sequências de caracteres em execução é uma maneira hacky de analisar o bloco binário desde estrutura do blob não está documentada).

    
por 08.07.2018 / 06:27