Email Collection

Adversaries may target user email to collect sensitive information. Emails may contain sensitive data, including trade secrets or personal information, that can prove valuable to adversaries. Adversaries can collect or forward email from mail servers or clients.

Angreifer können es auf E-Mails von Benutzern abgesehen haben, um sensible Informationen zu sammeln. E-Mails können sensible Daten, einschliesslich Geschäftsgeheimnisse oder persönliche Informationen, enthalten, die sich für Angreifer als wertvoll erweisen können. Angreifer können E-Mails von Mail-Servern oder -Clients sammeln oder weiterleiten.

Les adversaires peuvent cibler les courriels des utilisateurs pour recueillir des informations sensibles. Les courriers électroniques peuvent contenir des données sensibles, notamment des secrets commerciaux ou des informations personnelles, qui peuvent s'avérer précieuses pour les adversaires. Les adversaires peuvent collecter ou transférer des e-mails à partir de serveurs de messagerie ou de clients.

Gli avversari possono prendere di mira le email degli utenti per raccogliere informazioni sensibili. Le email possono contenere dati sensibili, inclusi segreti commerciali o informazioni personali, che possono rivelarsi preziosi per gli avversari. Gli avversari possono raccogliere o inoltrare email da server o client di posta.

Law Assessment

There exists an assessment but it was not translated or not approved for release. Please contact us about this assessment and provide a link to this assessment.
Article Assessment
(Datenbeschaffung)
Contribution Details
Last update: 2021-11-6
Autoren: Roman Kost

La création de collections de courriers électroniques n'est pas en soi pertinente pour la détérioration de données selon l'article 144bis du Code pénal.

La creazione di collezioni di posta non è di per sé rilevante per la corruzione dei dati ai sensi dell'art. 144bis SCC.

The creation of mail collections is not per se relevant to data corruption under Art. 144bis SCC.

Das Anlegen von Mailsammlungen ist per se nicht für die Datenbeschädigung nach Art. 144bis StGB relevant.

(Hacking)
Contribution Details
Last update: 2021-11-13
Autoren: Roman Kost, Viola Kost

La collecte d'e-mails ainsi que la création de bases de données complètes d'e-mails concernant une personne ne tombent pas sous le coup de l'article 143bis, paragraphe 1 du Code pénal.

La raccolta di email così come la creazione di interi database di email su una persona non rientra nell'Art. 143bis comma 1 SCC.

The collection of emails as well as the creation of entire email databases on a person does not fall under Art. 143bis para. 1 SCC.

Das Sammeln von Emails wie auch das Erstellen von ganzen Email-Datenbanken zu einer Person fällt nicht unter Art. 143bis Abs. 1 StGB.

(Hackertools)
Contribution Details
Last update:
Autoren: Roman Kost

La diffusion de collections de courriels contenant des données d'accès (appelées credentials) est punissable en vertu de l'article 143bis, paragraphe 2, du Code pénal.

La diffusione di raccolte di email contenenti dati di accesso (le cosiddette credenziali) è punibile ai sensi dell'art. 143bis comma 2 SCC.

The dissemination of email collections containing access data (so-called credentials) is punishable under Art. 143bis para. 2 SCC.

Das Weiterverbreiten von Emailsammlungen, die Zugangsdaten (sog. Credentials) enthalten, ist nach Art. 143bis Abs. 2 StGB strafbar.

(Datenbeschädigung)
Contribution Details
Last update: 2021-11-13
Autoren: Roman Kost

La création de collections de courriers électroniques n'est pas en soi pertinente pour la détérioration de données selon l'article 144bis du Code pénal.

La creazione di raccolte di posta non è di per sé rilevante per la corruzione dei dati secondo l'articolo 144bis SCC.

The creation of mail collections is not per se relevant for data corruption under Art. 144bis SCC.

Das Anlegen von Mailsammlungen ist per se nicht für die Datenbeschädigung nach Art. 144bis StGB relevant.

Forensics

Forensic Domain Assessment
None assessed
There could be a forensic assessment of a subtechnique.
Login
ID: T1114
Sub-techniques:  T1114.001, T1114.002, T1114.003
Tactic: Collection
Platforms: Google Workspace, Linux, Office 365, Windows, macOS
Permissions Required: User
Contributors: Swetha Prabakaran, Microsoft Threat Intelligence Center (MSTIC)
Version: 2.3
Created: 31 May 2017
Last Modified: 15 October 2021
Translations:  DE FR IT EN
Provided by LAYER 8

Procedure Examples

ID Name Description
G0059 Magic Hound

Magic Hound has compromised email credentials in order to steal sensitive data.[1]

G0122 Silent Librarian

Silent Librarian has exfiltrated entire mailboxes from compromised accounts.[2]

Mitigations

ID Mitigation Description
M1047 Audit

Enterprise email solutions have monitoring mechanisms that may include the ability to audit auto-forwarding rules on a regular basis.

In an Exchange environment, Administrators can use Get-InboxRule to discover and remove potentially malicious auto-forwarding rules.[3]

M1041 Encrypt Sensitive Information

Use of encryption provides an added layer of security to sensitive information sent over email. Encryption using public key cryptography requires the adversary to obtain the private certificate along with an encryption key to decrypt messages.

M1032 Multi-factor Authentication

Use of multi-factor authentication for public-facing webmail servers is a recommended best practice to minimize the usefulness of usernames and passwords to adversaries.

Detection

ID Data Source Data Component
DS0015 Application Log Application Log Content
DS0017 Command Command Execution
DS0022 File File Access
DS0028 Logon Session Logon Session Creation
DS0029 Network Traffic Network Connection Creation

There are likely a variety of ways an adversary could collect email from a target, each with a different mechanism for detection.

File access of local system email files for Exfiltration, unusual processes connecting to an email server within a network, or unusual access patterns or authentication attempts on a public-facing webmail server may all be indicators of malicious activity.

Monitor processes and command-line arguments for actions that could be taken to gather local email files. Remote access tools with built-in features may interact directly with the Windows API to gather information. Information may also be acquired through Windows system management tools such as Windows Management Instrumentation and PowerShell.

Detection is challenging because all messages forwarded because of an auto-forwarding rule have the same presentation as a manually forwarded message. It is also possible for the user to not be aware of the addition of such an auto-forwarding rule and not suspect that their account has been compromised; email-forwarding rules alone will not affect the normal usage patterns or operations of the email account.

Auto-forwarded messages generally contain specific detectable artifacts that may be present in the header; such artifacts would be platform-specific. Examples include X-MS-Exchange-Organization-AutoForwarded set to true, X-MailFwdBy and X-Forwarded-To. The forwardingSMTPAddress parameter used in a forwarding process that is managed by administrators and not by user actions. All messages for the mailbox are forwarded to the specified SMTP address. However, unlike typical client-side rules, the message does not appear as forwarded in the mailbox; it appears as if it were sent directly to the specified destination mailbox.[3] High volumes of emails that bear the X-MS-Exchange-Organization-AutoForwarded header (indicating auto-forwarding) without a corresponding number of emails that match the appearance of a forwarded message may indicate that further investigation is needed at the administrator level rather than user-level.

Es gibt wahrscheinlich eine Vielzahl von Möglichkeiten, wie ein Angreifer E-Mails von einer Zielperson sammeln kann, und jede davon hat einen anderen Mechanismus zur Erkennung.

Der Dateizugriff auf lokale System-E-Mail-Dateien für die Exfiltration, ungewöhnliche Prozesse, die eine Verbindung zu einem E-Mail-Server innerhalb eines Netzwerks herstellen, oder ungewöhnliche Zugriffsmuster oder Authentifizierungsversuche auf einem öffentlich zugänglichen Webmail-Server können allesamt Indikatoren für bösartige Aktivitäten sein.

Überwachen Sie Prozesse und Befehlszeilenargumente auf Aktionen, die zum Sammeln lokaler E-Mail-Dateien genutzt werden könnten. Fernzugriffstools mit integrierten Funktionen können direkt mit der Windows-API interagieren, um Informationen zu sammeln. Informationen können auch über Windows-Systemverwaltungstools wie Windows Management Instrumentation und PowerShell gesammelt werden.

Die Erkennung ist eine Herausforderung, da alle Nachrichten, die aufgrund einer Regel zur automatischen Weiterleitung weitergeleitet werden, die gleiche Darstellung haben wie eine manuell weitergeleitete Nachricht. Es ist auch möglich, dass der Benutzer die Hinzufügung einer solchen automatischen Weiterleitungsregel nicht bemerkt und keinen Verdacht schöpft, dass sein Konto kompromittiert wurde; E-Mail-Weiterleitungsregeln allein haben keinen Einfluss auf die normalen Nutzungsmuster oder Vorgänge des E-Mail-Kontos.

Automatisch weitergeleitete Nachrichten enthalten in der Regel bestimmte erkennbare Artefakte, die in der Kopfzeile vorhanden sein können; solche Artefakte wären plattformspezifisch. Beispiele hierfür sind X-MS-Exchange-Organization-AutoForwarded auf true gesetzt, X-MailFwdBy und X-Forwarded-To. Der Parameter forwardingSMTPAddress wird in einem Weiterleitungsprozess verwendet, der von Administratoren und nicht von Benutzeraktionen verwaltet wird. Alle Nachrichten für die Mailbox werden an die angegebene SMTP-Adresse weitergeleitet. Im Gegensatz zu typischen clientseitigen Regeln erscheint die Nachricht im Postfach jedoch nicht als weitergeleitet, sondern so, als ob sie direkt an das angegebene Zielpostfach gesendet worden wäre.(Zitat: Microsoft Tim McMichael Exchange Mail Forwarding 2) Eine grosse Anzahl von E-Mails, die den X-MS-Exchange-Organization-AutoForwarded-Header tragen (was auf eine automatische Weiterleitung hinweist), ohne dass eine entsprechende Anzahl von E-Mails mit dem Erscheinungsbild einer weitergeleiteten Nachricht übereinstimmt, kann darauf hindeuten, dass weitere Untersuchungen auf Administratorenebene und nicht auf Benutzerebene erforderlich sind.

Il existe probablement une variété de moyens par lesquels un adversaire pourrait collecter les e-mails d'une cible, chacun ayant un mécanisme de détection différent.

L'accès aux fichiers de messagerie du système local à des fins d'exfiltration, des processus inhabituels se connectant à un serveur de messagerie au sein d'un réseau, ou des schémas d'accès ou des tentatives d'authentification inhabituels sur un serveur de messagerie web tourné vers le public peuvent tous être des indicateurs d'une activité malveillante.

Surveillez les processus et les arguments de ligne de commande à la recherche d'actions qui pourraient être entreprises pour recueillir des fichiers de messagerie locaux. Les outils d'accès à distance dotés de fonctions intégrées peuvent interagir directement avec l'API Windows pour recueillir des informations. Les informations peuvent également être obtenues par le biais d'outils de gestion du système Windows tels que [Windows Management Instrumentation] (/techniques/T1047) et [PowerShell] (/techniques/T1059/001).

La détection est difficile car tous les messages transférés en raison d'une règle de transfert automatique ont la même présentation qu'un message transféré manuellement. Il est également possible que l'utilisateur ne soit pas conscient de l'ajout d'une telle règle de transfert automatique et qu'il ne soupçonne pas que son compte a été compromis ; les règles de transfert automatique n'affecteront pas à elles seules les modèles d'utilisation ou les opérations normales du compte de messagerie.

Les messages transférés automatiquement contiennent généralement des artefacts détectables spécifiques qui peuvent être présents dans l'en-tête ; ces artefacts seraient spécifiques à la plate-forme. Les exemples incluent X-MS-Exchange-Organization-AutoForwarded réglé sur true, X-MailFwdBy et X-Forwarded-To. Le paramètre forwardingSMTPAddress utilisé dans un processus de transfert qui est géré par les administrateurs et non par les actions des utilisateurs. Tous les messages de la boîte aux lettres sont transférés à l'adresse SMTP spécifiée. Cependant, contrairement aux règles typiques côté client, le message n'apparaît pas comme transféré dans la boîte aux lettres ; il apparaît comme s'il avait été envoyé directement à la boîte aux lettres de destination spécifiée.(Citation : Microsoft Tim McMichael Exchange Mail Forwarding 2) Des volumes élevés de courriels qui portent l'en-tête X-MS-Exchange-Organization-AutoForwarded (indiquant un transfert automatique) sans un nombre correspondant de courriels qui correspondent à l'apparence d'un message transféré peuvent indiquer qu'une enquête plus approfondie est nécessaire au niveau de l'administrateur plutôt qu'au niveau de l'utilisateur.

Ci sono probabilmente una varietà di modi in cui un avversario potrebbe raccogliere email da un obiettivo, ognuno con un diverso meccanismo di rilevamento.

L'accesso a file di email del sistema locale per l'esfiltrazione, processi insoliti che si collegano ad un server di email all'interno di una rete o modelli di accesso insoliti o tentativi di autenticazione su un server di webmail rivolto al pubblico possono essere tutti indicatori di attività malevola.

Monitorare i processi e gli argomenti della linea di comando per azioni che potrebbero essere intraprese per raccogliere file di posta elettronica locali. Gli strumenti di accesso remoto con funzioni integrate possono interagire direttamente con l'API di Windows per raccogliere informazioni. Le informazioni possono anche essere acquisite attraverso strumenti di gestione del sistema Windows come Windows Management Instrumentation e PowerShell.

Il rilevamento è difficile perché tutti i messaggi inoltrati a causa di una regola di auto-forwarding hanno la stessa presentazione di un messaggio inoltrato manualmente. È anche possibile che l'utente non sia consapevole dell'aggiunta di tale regola di inoltro automatico e non sospetti che il suo account sia stato compromesso; le regole di inoltro automatico da sole non influiscono sui normali modelli d'uso o operazioni dell'account di posta elettronica.

I messaggi auto-forwarded generalmente contengono artefatti specifici rilevabili che possono essere presenti nell'intestazione; tali artefatti sarebbero specifici della piattaforma. Esempi includono X-MS-Exchange-Organization-AutoForwarded impostato su true, X-MailFwdBy e X-Forwarded-To. Il parametro forwardingSMTPAddress usato in un processo di inoltro gestito da amministratori e non da azioni dell'utente. Tutti i messaggi per la casella di posta vengono inoltrati all'indirizzo SMTP specificato. Tuttavia, a differenza delle tipiche regole lato client, il messaggio non appare come inoltrato nella mailbox; appare come se fosse stato inviato direttamente alla mailbox di destinazione specificata.(Citazione: Microsoft Tim McMichael Exchange Mail Forwarding 2) Alti volumi di email che portano l'intestazione X-MS-Exchange-Organization-AutoForwarded (che indica l'auto-forwarding) senza un numero corrispondente di email che corrispondono all'aspetto di un messaggio inoltrato possono indicare che sono necessarie ulteriori indagini a livello di amministratore piuttosto che di utente.

References