ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1114

术语表: /attack/glossary

电子邮件收集

攻击者可能会以用户电子邮件为目标,从目标处收集敏感信息。 可以从用户的系统中获取包含电子邮件数据的文件,例如 Outlook 存储或缓存文件。pst 和。ost。 攻击者可以利用用户的凭据并与 Exchange Server 直接交互,从而从网络中获取信息。 一些攻击者可能获得用户凭据并访问外部的 Web 邮件应用程序,例如 Outlook Web Access。

缓解

使用加密可为通过电子邮件发送的敏感信息增加一层安全保护。 使用非对称加密需要攻击者获取私有证书以及加密密钥来解密消息。 对公共 web 邮件服务器使用双因素身份验证,这也是推荐的最佳实践,可以最大限度地减少用户名和密码对攻击者的用处。 识别可能用于收集电子邮件数据文件或访问公司电子邮件服务器的不必要的系统实用程序或潜在的恶意软件,并在适当情况下使用白名单 工具(如 AppLocker, 或软件限制政策)审核和/或拦截它们 。

检测

攻击者可能有多种方式从目标收集电子邮件,每种方式对应不同的检测机制。 用于数据渗漏的本地系统电子邮件文件的文件访问、连接到网络中电子邮件服务器的异常进程、公共邮件服务器上的异常访问模式或身份验证尝试都可能表明恶意活动。 监视进程和命令行参数,以查找可用于收集本地邮件信息的操作。 具有内置功能的远程访问工具可以直接与 Windows API 交互以收集信息。 也可以通过 Windows 系统管理工具获取信息,如 Windows 管理规范和 PowerShell。