T1114-001-win-本地电子邮件收集
来自ATT&CK的描述
攻击者可能会在用户本地系统上收集电子邮箱信息,用以收集敏感信息。可以从用户的本地系统中获取包含电子邮件数据的文件,例如Outlook存储或缓存文件。
Outlook将数据本地存储在扩展名为.ost的脱机数据文件中。Outlook 2010和更高版本支持.ost文件大小最大为50GB,而早期版本的Outlook支持最大20GB。Outlook 2013(及更早版本)和POP帐户中的IMAP帐户使用Outlook数据文件(.pst),而不是.ost,而Outlook 2016(及更高版本)中的IMAP帐户使用.ost文件。两种类型的Outlook数据文件通常都存储在C:\Users\
测试案例
模拟使用where命令进行筛选指定文件夹下后缀为.ost或者.pst的文件
C:\Users\Administrator>where
此命令的语法是:
WHERE [/R dir] [/Q] [/F] [/T] pattern...
描述:
显示符合搜索模式的文件位置。在默认情况下,搜索是在当前目录和 PATH
环境变量指定的路径中执行的。
参数列表:
/R 从指定目录开始,递归性搜索并显示符合指定模式的文件。
/Q 只返回退出代码,不显示匹配文件列表。(安静模式)
匹配文件。(安静模式)
/F 显示所有相配文件并用双引号括上。
/T 显示所有相配文件的文件的文件。
pattern 指定要匹配的文件的搜索模式。通配符 * 和 ? 可以用在模式中。
也可以指定 "$env:pattern" 和 "path:pattern" 格式; 其中
"env" 是环境变量,搜索是在 "env" 变量的指定的路径中执行的。
这些格式不应该跟 /R 一起使用。此搜索也可以用将 PATHEXT 变
量扩展名附加于此模式的方式完成。
/? 显示此帮助消息。
注意: 如果搜索成功,此工具返回错误级别 0; 如果不成功,返回 1; 如果失
败或发生错误,返回 2。
示例:
WHERE /?
WHERE myfilename1 myfile????.*
WHERE $windir:*.*
WHERE /R c:\windows *.exe *.dll *.bat
WHERE /Q ??.???
WHERE "c:\windows;c:\windows\system32:*.dll"
WHERE /F /T *.dll
检测日志
windows 安全日志
测试复现
C:\Users\Administrator>where -r c:\users\administrator\ *.pst
c:\Users\administrator\qax.pst
测试留痕
windows安全日志;4688进程创建
已创建新进程。
创建者主题:
安全 ID: QAX\Administrator
帐户名: Administrator
帐户域: QAX
登录 ID: 0x4463EA
目标主题:
安全 ID: NULL SID
帐户名: -
帐户域: -
登录 ID: 0x0
进程信息:
新进程 ID: 0x15e0
新进程名称: C:\Windows\System32\where.exe
令牌提升类型: %%1936
强制性标签: Mandatory Label\High Mandatory Level
创建者进程 ID: 0x12b0
创建者进程名称: C:\Windows\System32\cmd.exe
进程命令行: where -r c:\users\administrator\ *.pst
检测规则/思路
sigma-win规则
title: 使用where命令查找本地ost、pst后缀文件
tags: T1114
status: experimental
author: 12306Bro
logsource:
product: windows
service: security
detection:
selection:
EventID: 4688 #进程创建
Processcommandline:
- '.ost' #进程信息>进程命令行,包含.ost
- '.pst' #进程信息>进程命令行,包含.pst
condition: selection
level: low
建议
监视进程和命令行参数以了解可以采取哪些措施来收集本地电子邮件文件。监视访问本地电子邮件文件的异常进程。具有内置功能的远程访问工具可以直接与Windows API交互以收集信息。也可以通过Windows系统管理工具(例如Windows Management Instrumentation和PowerShell)获取信息。
参考推荐
MITRE-ATT&CK-T1114