攻击者喜欢滥用 Outlook 来达到各种目的。例如,攻击者可以通过创建客户端规则来自动将电子邮件转发到远程地址,或者在用户收到电子邮件时执行恶意程序/脚本,从而在网络中持续存在。有没有办法查询存储在 Exchange 中的 Outlook 规则以检测潜在的恶意规则?是否有可能阻止某些 Outlook 规则类型(例如执行程序/脚本)?
答案1
作为交换
在 PowerShell 中(当然!),有一个比较方便的Get-InboxRule
Technet 链接。我说有点方便是因为它只能针对单个邮箱进行查询。
- 这可用于抽查单个邮箱(财务用户、高管、具有特权访问权限的用户等)
- 还可以使用循环和管道来遍历数组,例如 CSV 中的数组。
由于您正在尝试检测特定类型的规则(泄露组织外部的信息),我建议您寻找一些特定的规则属性。
DeleteMessage
= 真ForwardAsAttachmentTo
=(非空)ForwardTo
=(非空)
可能还有其他与您相关的内容。使用列出所有属性,或参考链接的 Technet 文章。Get-InboxRule -Mailbox [email protected] | FL
并非所有规则都在 Exchange 中。:(
确实如此!有些规则类型只存在于 Outlook 客户端中。 此链接为更难追踪的规则类型提供指导。