Cancellazione Dati Email: Clear Mailbox Data (T1070.008)

Per testare la resilienza aziendale contro questa tecnica, iniziamo con Exchange PowerShell. Il comando principale per rimuovere tracce di export è sorprendentemente semplice:

Remove-MailboxExportRequest -Identity "ExportRequest1" -Confirm:$false

Ma la preparazione richiede più passaggi. Prima identifichiamo le richieste esistenti con Get-MailboxExportRequest, poi rimuoviamo selettivamente quelle che potrebbero rivelare attività sospette. APT29 durante SolarWinds Compromise ha dimostrato l'efficacia di questa catena.

Su Linux, l'approccio cambia radicalmente. La utility mail permette manipolazioni dirette:

*echo "d " | mail -N

Questo comando elimina tutti i messaggi nella mailbox corrente senza conferma. Per targeting specifico, combiniamo grep e sed per identificare e rimuovere email basandoci su pattern nei header o nel contenuto.

macOS offre possibilità uniche tramite AppleScript. Un semplice script può iterare attraverso mailbox e eliminare selettivamente:

osascript -e 'tell application "Mail" to delete every message of mailbox "Sent" whose subject contains "Export"'

Scattered Spider ha dimostrato come la cancellazione manuale di notifiche di login sospetto possa estendere significativamente il tempo di permanenza in rete. Replicare questo richiede accesso interattivo e comprensione dei pattern di notifica specifici dell'organizzazione.

Per simulazioni avanzate, considerate LunarMail che setta il flag PR_DELETE_AFTER_SUBMIT per auto-cancellare messaggi dopo l'invio. Questo approccio programmatico richiede integrazione MAPI ma garantisce pulizia automatica delle tracce.

La detection di questa tecnica richiede correlazione multi-sorgente. Il comportamento chiave da monitorare è l'uso di cmdlet PowerShell specifici in contesti anomali.

Configurate alert per Remove-MailboxExportRequest eseguito da account non amministrativi o fuori orario lavorativo. L'analytic AN0737 suggerisce monitoring di EventCode specifici in PowerShell logs combinato con Sysmon per catturare l'intera catena di esecuzione.

Su Linux, auditd diventa fondamentale. Monitorate syscall su /var/spool/mail/ e /var/mail/ per identificare pattern di cancellazione massiva. L'analytic AN0738 evidenzia come correlare comandi mail/mailx con successive operazioni di unlink sia indicativo di pulizia post-compromissione.

Per ambienti macOS, unified logs e osquery permettono di tracciare AppleScript che interagisce con Mail.app. Cercate pattern di delete commands preceduti da sessioni di Remote Login - APT42 ha utilizzato questa sequenza per coprire le tracce dopo aver cancellato cartelle Sent.

La gestione dei falsi positivi richiede baseline accurata. Amministratori legittimi eseguono manutenzione mailbox, ma raramente cancellano export request o modificano transport rules per rimuovere header. Implementate whitelist basate su:

• Account di servizio autorizzati per manutenzione Exchange
• Finestre temporali di manutenzione programmata
• Pattern di cancellazione incrementale vs massiva

Transport rule modifications meritano attenzione particolare. Monitorate New-TransportRule e Set-TransportRule che strippano header o bypassano filtri antispam - tecniche usate per facilitare phishing interno non rilevato.

La ricostruzione temporale dopo cancellazione email richiede approccio multi-artefatto. Exchange mantiene log transazionali che sopravvivono alla cancellazione mailbox - questi diventano gold standard per timeline accuracy.

Su Windows, esaminate Unistore.db in AppData\Local\Comms\Unistore\data. Anche dopo cancellazione apparente, SQLite WAL files possono contenere residui di email eliminate. Tool come DB Browser for SQLite permettono recovery parziale di metadati critici.

APT29 durante SolarWinds ha lasciato tracce nei Windows Event Logs nonostante la pulizia mailbox. Cercate EventID 4688 (process creation) correlato con powershell.exe che carica ExchangePowerShell module. La sequenza temporale di questi eventi rivela finestre di attività malevola.

Per Linux, concentrate l'analisi su:

• File di backup in /var/backups/ che potrebbero contenere snapshot pre-cancellazione
• Journal systemd che registra attività mail daemon
• Auditd logs per ricostruire sequenza esatta di comandi

La persistenza dei metadati varia per piattaforma. Exchange Online mantiene audit logs per 90 giorni di default, permettendo ricostruzione anche dopo cancellazione locale. Sfruttate Search-UnifiedAuditLog per identificare:

Search-UnifiedAuditLog -Operations "Remove-MailboxExportRequest" -StartDate (Get-Date).AddDays(-90)

Timeline critiche emergono correlando cancellazioni email con altri indicatori. Goopy malware cancella C2 emails dopo aver copiato contenuti - cercate processi che leggono mailbox seguito da immediate cancellazioni per identificare questo pattern.

Scattered Spider rappresenta l'evoluzione del cybercrime organizzato. Questo gruppo cancella manualmente notifiche di attività sospetta, dimostrando pazienza e comprensione profonda dei processi di sicurezza aziendali. La loro metodologia suggerisce insider knowledge o reconnaissance estensivo sui sistemi di alerting delle vittime.

APT42 opera con focus su spionaggio e surveillance. La cancellazione sistematica di cartelle Sent e login notifications indica operazioni a lungo termine dove la persistenza stealth è prioritaria. Il gruppo probabilmente mantiene accesso per mesi, pulendo periodicamente tracce per evitare detection durante security review routinari.

L'overlap nei tool è minimo ma significativo. Mentre Scattered Spider preferisce approcci manuali, APT42 mostra propensione per automation parziale. Entrambi comprendono che la cancellazione email è solo un componente di OPSEC più ampia.

LunarMail e Goopy rappresentano approcci malware divergenti. LunarMail con PR_DELETE_AFTER_SUBMIT flag dimostra sofisticazione nello sfruttare feature legittime MAPI. Goopy invece implementa logica custom per C2 cleanup, suggerendo sviluppo mirato per campagne specifiche.

La campagna SolarWinds Compromise ha rivoluzionato l'uso di questa tecnica. APT29 ha dimostrato come la rimozione di export request possa nascondere movimenti laterali massivi. L'integrazione con supply chain attacks suggerisce evolution verso operazioni multi-stadio dove email cleanup è automatizzato post-compromissione.

Trend emergenti indicano spostamento verso cloud email platforms. Attaccanti studiano API Graph e Exchange Online PowerShell per replicare tecniche in ambienti O365. Anticipate incremento in abuso di transport rules per pre-filtering email sospette prima che raggiungano security tools.

Tecnica documentata in MITRE ATT&CK framework T1070.008. Campagna SolarWinds Compromise (C0024) fornisce case study dell'implementazione APT29. Riferimenti forensi basati su Microsoft Exchange documentation e unified audit log analysis. Detection analytics derivati da Sigma rules e Splunk security content.