跳转至

T1114-001-win-本地电子邮件收集

来自ATT&CK的描述

攻击者可能会在用户本地系统上收集电子邮箱信息,用以收集敏感信息。可以从用户的本地系统中获取包含电子邮件数据的文件,例如Outlook存储或缓存文件。

Outlook将数据本地存储在扩展名为.ost的脱机数据文件中。Outlook 2010和更高版本支持.ost文件大小最大为50GB,而早期版本的Outlook支持最大20GB。Outlook 2013(及更早版本)和POP帐户中的IMAP帐户使用Outlook数据文件(.pst),而不是.ost,而Outlook 2016(及更高版本)中的IMAP帐户使用.ost文件。两种类型的Outlook数据文件通常都存储在C:\Users\\Documents\Outlook Files或C:\Users\\AppData\Local\Microsoft\Outlook中

测试案例

模拟使用where命令进行筛选指定文件夹下后缀为.ost或者.pst的文件

C:\Users\Administrator>where
此命令的语法是:

WHERE [/R dir] [/Q] [/F] [/T] pattern...

描述:
    显示符合搜索模式的文件位置。在默认情况下,搜索是在当前目录和 PATH
    环境变量指定的路径中执行的。

参数列表:
    /R       从指定目录开始,递归性搜索并显示符合指定模式的文件。

    /Q       只返回退出代码,不显示匹配文件列表。(安静模式)

             匹配文件。(安静模式)

    /F       显示所有相配文件并用双引号括上。

    /T       显示所有相配文件的文件的文件。

    pattern  指定要匹配的文件的搜索模式。通配符 * 和 ? 可以用在模式中。
             也可以指定 "$env:pattern" 和 "path:pattern" 格式; 其中
             "env" 是环境变量,搜索是在 "env" 变量的指定的路径中执行的。
             这些格式不应该跟 /R 一起使用。此搜索也可以用将 PATHEXT 变
             量扩展名附加于此模式的方式完成。

     /?      显示此帮助消息。

  注意: 如果搜索成功,此工具返回错误级别 0; 如果不成功,返回 1; 如果失
        败或发生错误,返回 2。

示例:
    WHERE /?
    WHERE myfilename1 myfile????.*
    WHERE $windir:*.*
    WHERE /R c:\windows *.exe *.dll *.bat
    WHERE /Q ??.???
    WHERE "c:\windows;c:\windows\system32:*.dll"
    WHERE /F /T *.dll

检测日志

windows 安全日志

测试复现

C:\Users\Administrator>where -r c:\users\administrator\ *.pst
c:\Users\administrator\qax.pst

测试留痕

windows安全日志;4688进程创建

已创建新进程。

创建者主题:
 安全 ID:  QAX\Administrator
 帐户名:  Administrator
 帐户域:  QAX
 登录 ID:  0x4463EA

目标主题:
 安全 ID:  NULL SID
 帐户名:  -
 帐户域:  -
 登录 ID:  0x0

进程信息:
 新进程 ID:  0x15e0
 新进程名称: C:\Windows\System32\where.exe
 令牌提升类型: %%1936
 强制性标签:  Mandatory Label\High Mandatory Level
 创建者进程 ID: 0x12b0
 创建者进程名称: C:\Windows\System32\cmd.exe
 进程命令行: where  -r c:\users\administrator\ *.pst

检测规则/思路

sigma-win规则

title: 使用where命令查找本地ost、pst后缀文件
tags: T1114
status: experimental
author: 12306Bro
logsource:
    product: windows
    service: security
detection:
    selection:
        EventID: 4688 #进程创建
        Processcommandline: 
               - '.ost'  #进程信息>进程命令行,包含.ost
               - '.pst'  #进程信息>进程命令行,包含.pst
    condition: selection
level: low

建议

监视进程和命令行参数以了解可以采取哪些措施来收集本地电子邮件文件。监视访问本地电子邮件文件的异常进程。具有内置功能的远程访问工具可以直接与Windows API交互以收集信息。也可以通过Windows系统管理工具(例如Windows Management Instrumentation和PowerShell)获取信息。

参考推荐

MITRE-ATT&CK-T1114

https://attack.mitre.org/techniques/T1114/001/