检测/预防恶意 Outlook 规则

检测/预防恶意 Outlook 规则

攻击者喜欢滥用 Outlook 来达到各种目的。例如,攻击者可以通过创建客户端规则来自动将电子邮件转发到远程地址,或者在用户收到电子邮件时执行恶意程序/脚本,从而在网络中持续存在。有没有办法查询存储在 Exchange 中的 Outlook 规则以检测潜在的恶意规则?是否有可能阻止某些 Outlook 规则类型(例如执行程序/脚本)?

答案1

作为交换

在 PowerShell 中(当然!),有一个比较方便的Get-InboxRule Technet 链接。我说有点方便是因为它只能针对单个邮箱进行查询。

  • 这可用于抽查单个邮箱(财务用户、高管、具有特权访问权限的用户等)
  • 还可以使用循环和管道来遍历数组,例如 CSV 中的数组。

由于您正在尝试检测特定类型的规则(泄露组织外部的信息),我建议您寻找一些特定的规则属性。

  • DeleteMessage= 真
  • ForwardAsAttachmentTo=(非空)
  • ForwardTo=(非空)

可能还有其他与您相关的内容。使用列出所有属性,或参考链接的 Technet 文章。Get-InboxRule -Mailbox [email protected] | FL

并非所有规则都在 Exchange 中。:(

确实如此!有些规则类型只存在于 Outlook 客户端中。 此链接为更难追踪的规则类型提供指导。

答案2

我现在知道的最佳解决方案是使用该工具非统治者另外,一个不成熟的解决方案是取出存储规则动作二进制 blob 的二进制 blob(一个例子是这里使用 Exchange Web 服务托管 API)并在规则操作的二进制 blob 上运行字符串并查找任何可疑字符串(运行字符串是一种分析二进制块的黑客方法,因为 blob 的结构没有记录)。

相关内容