Обнаружение / предотвращение вредоносных правил внешнего вида

Question

Обнаружение / предотвращение вредоносных правил внешнего вида

Злоумышленникам нравится злоупотреблять Outlook для различных целей. Например, злоумышленник может автоматически пересылать электронные письма на удаленный адрес или сохраняться в сети, создавая клиентские правила, которые выполняют вредоносную программу / сценарий, когда пользователь получает электронную почту. Есть ли способ запросить правила Outlook, хранящиеся в Exchange, чтобы обнаружить потенциально вредоносные правила? Можно ли заблокировать некоторые типы правил Outlook (например, выполнение программы / скрипта)?

2

security exchange outlook malware intrusion-prevention

Источник

tifkin 04 ноя '15 в 16:13

2 ответа

Другие вопросы по тегам security exchange outlook malware intrusion-prevention

blaughw 04 ноя '15 в 17:57 2015-11-04 17:57 · Answer 1 · 2015-11-04 17:57

В обмен

В PowerShell (конечно!) Есть несколько удобных Get-InboxRule Technet Link. Я говорю несколько удобно, потому что он может запрашивать только один почтовый ящик.

Это можно использовать для выборочной проверки одного почтового ящика (пользователи финансов, руководители, пользователи с привилегированным доступом и т. Д.)
Также можно использовать циклы и каналы для итерации массива, например, одного из CSV.

Поскольку вы пытаетесь обнаружить определенные типы правил (утечка информации за пределы организации), я бы посоветовал вам поискать некоторые конкретные свойства правил.

DeleteMessage = Правда
ForwardAsAttachmentTo = (не ноль)
ForwardTo = (не ноль)

Там могут быть другие, которые имеют отношение к вам. использование Get-InboxRule -Mailbox alias@domain.com | FL перечислить все свойства или ссылаться на статью Technet, на которую дана ссылка.

Не все правила в Exchange.:(

Это так! Некоторые типы правил есть только в клиенте Outlook. Эта ссылка содержит руководство по типам правил, которые будет сложнее отследить.

tifkin 08 июл '18 в 04:27 2018-07-08 04:27 · Answer 2 · 2018-07-08 04:27

Лучшее решение, которое я знаю прямо сейчас, - использовать инструмент NotRuler. Кроме того, полуобработанное решение состоит в том, чтобы извлечь двоичный двоичный объект, в котором хранится двоичный двоичный объект действия правила (один пример приведен здесь, с помощью управляемого API веб-служб Exchange), и запустить строки в двоичном двоичном объекте действия правила и найти любой подозрительные строки (запуск строк - это хакерский способ анализа двоичного блока, поскольку структура большого двоичного объекта не задокументирована).