| name | detecting-email-forwarding-rules-attack |
| description | 检测攻击者创建的恶意邮件转发规则,以维持对邮件通信的持久访问,用于情报收集和商业电子邮件入侵(BEC)攻击。 |
| domain | cybersecurity |
| subdomain | threat-hunting |
| tags | ["threat-hunting","mitre-attack","email-forwarding","persistence","bec","t1114","proactive-detection"] |
| version | 1.0 |
| author | mahipal |
| license | Apache-2.0 |
检测邮件转发规则攻击
适用场景
- 主动狩猎环境中邮件转发规则攻击的相关指标时
- 威胁情报表明使用这些技术的攻击活动正在活跃时
- 事件响应期间确定与这些技术相关的攻击范围时
- EDR 或 SIEM 告警触发相关指标时
- 定期安全评估和紫队(Purple Team)演练期间
前置条件
- 具备进程和网络遥测功能的 EDR 平台(CrowdStrike、MDE、SentinelOne)
- 已接入相关日志数据的 SIEM(Splunk、Elastic、Sentinel)
- 部署了完整配置的 Sysmon
- 已启用 Windows 安全事件日志转发
- 用于 IOC 关联的威胁情报 feeds
工作流程
- 制定假设:基于威胁情报或 ATT&CK 差距分析,定义可测试的假设。
- 识别数据源:确定验证或反驳假设所需的日志和遥测数据。
- 执行查询:针对 SIEM 和 EDR 平台运行检测查询,收集相关事件。
- 分析结果:检查查询结果中的异常,并跨多个数据源进行关联。
- 验证发现:通过上下文分析区分真阳性和假阳性。
- 关联活动:将发现结果链接到更广泛的攻击链和威胁行为者 TTP。
- 记录与报告:记录发现结果、更新检测规则并推荐响应措施。
核心概念
| 概念 | 描述 |
|---|
| T1114.003 | 邮件转发规则(Email Forwarding Rule) |
| T1114.002 | 远程邮件收集(Remote Email Collection) |
| T1098.002 | 额外邮件委托权限(Additional Email Delegate Permissions) |
工具与系统
| 工具 | 用途 |
|---|
| CrowdStrike Falcon | EDR 遥测和威胁检测 |
| Microsoft Defender for Endpoint | 使用 KQL 进行高级狩猎 |
| Splunk Enterprise | 使用 SPL 查询进行 SIEM 日志分析 |
| Elastic Security | 检测规则和调查时间线 |
| Sysmon | 详细的 Windows 事件监控 |
| Velociraptor | 终端工件收集和狩猎 |
| Sigma Rules | 跨平台检测规则格式 |
常见场景
- 场景 1:商业电子邮件入侵(BEC)行为者创建转发规则到外部邮箱
- 场景 2:受攻击账户创建规则删除安全告警
- 场景 3:收件箱规则将 CEO 邮件转发到攻击者邮箱
- 场景 4:OAuth 应用滥用创建传输规则用于数据收集
输出格式
Hunt ID: TH-DETECT-[DATE]-[SEQ]
Technique: T1114.003
Host: [主机名]
User: [账户上下文]
Evidence: [日志条目、进程树、网络数据]
Risk Level: [Critical/High/Medium/Low]
Confidence: [High/Medium/Low]
Recommended Action: [遏制、调查、监控]