Cancellazione Dati Casella di Posta: Clear Mailbox Data (T1070.008)

L'obiettivo in un engagement red team è dimostrare che, dopo aver compromesso un ambiente Exchange, è possibile cancellare le evidenze di esfiltrazione email senza che il blue team se ne accorga. Questo scenario si replica in laboratorio con un'istanza Exchange Server on-premises o un tenant Microsoft 365 di test.

Scenario Exchange on-prem: esportazione e pulizia

La catena d'attacco parte dall'esportazione di una casella tramite il modulo ExchangePowerShell (a pagamento, incluso in Exchange Server). Dopo aver ottenuto privilegi di Mailbox Import/Export, si esegue:

New-MailboxExportRequest -Mailbox target@lab.local -FilePath \server\share\export.pst

Una volta completata l'esfiltrazione, la richiesta va eliminata per rimuovere l'evidenza:

Get-MailboxExportRequest | Remove-MailboxExportRequest -Confirm:$false

In un red team realistico, questo è esattamente ciò che APT29 ha fatto durante la campagna SolarWinds Compromise (C0024). La verifica di successo si ottiene interrogando le richieste residue con Get-MailboxExportRequest: se la lista è vuota, la traccia è stata rimossa.

Scenario transport rule: rimozione header

Per simulare la manipolazione delle regole di trasporto — tecnica usata per eliminare header indicativi di spam o attività sospetta — si crea una regola che rimuove un header specifico:

New-TransportRule -Name "CleanHeaders" -RemoveHeader "X-Spam-Flag" -SentToScope InOrganization

Questo tipo di regola riduce la probabilità che i prodotti anti-spam intercettino email malevole. Dopo il test, è buona norma documentare l'impatto e rimuovere la regola con Remove-TransportRule -Identity "CleanHeaders".

Scenario Linux: cancellazione mailbox locale

Su sistemi Linux con servizi di posta locale, la cancellazione può essere banale. L'utility mail (open source, inclusa nel package mailutils su Debian/Ubuntu o mailx su Red Hat) permette di eliminare tutti i messaggi in sessione interattiva con la sequenza di comandi d * seguita da q. Oppure, in modo più diretto, l'attaccante può semplicemente troncare il file della casella:

> /var/spool/mail/username

Scenario macOS: AppleScript

Su macOS, l'interazione con Mail.app via AppleScript consente operazioni stealth. Uno script che cancella i messaggi di una casella specifica può essere eseguito con osascript (open source, incluso in macOS):

osascript -e 'tell application "Mail" to delete every message of mailbox "Sent" of account "target"'

In fase di reporting, è essenziale evidenziare quali log hanno catturato (o mancato) queste operazioni, fornendo al blue team una roadmap di detection gap.

La detection di questa tecnica si gioca su quattro superfici: PowerShell su Exchange, filesystem Windows, utility mail Linux e AppleScript su macOS. Ogni analisi richiede log source specifici e tuning accurato per evitare falsi positivi dagli amministratori legittimi.

Exchange e PowerShell: il cuore della detection

La sorgente primaria è il log PowerShell Script Block Logging (EventCode 4104), che registra il contenuto dei comandi eseguiti. Un'analisi con regex su pattern come Remove-MailboxExportRequest, Remove-TransportRule o Set-TransportRule intercetta sia la cancellazione di export che la manipolazione delle regole di trasporto. I log m365:exchange (per ambienti cloud) e il canale MSExchange Management (on-prem) forniscono audit dettagliati delle operazioni amministrative.

Il tuning è fondamentale: gli amministratori Exchange usano legittimamente questi cmdlet. La correlazione con il contesto operativo fa la differenza — un Remove-MailboxExportRequest eseguito alle 3 di notte da un account che ha appena creato la richiesta 10 minuti prima è molto più sospetto dello stesso comando lanciato da un admin durante una migrazione pianificata. Filtrare per UserRoleScope, tracciando le assegnazioni di ruolo recenti per gli account che eseguono cancellazioni, riduce drasticamente il rumore.

Windows: artefatti filesystem

Sysmon (EventCode 23 — FileDelete) monitora la cancellazione di file nei percorsi Outlook locali, in particolare AppData\Local\Comms\Unistore\data per l'app Mail di Windows e i file .ost/.pst nelle directory di Outlook classico. Un alert su cancellazioni massive in queste directory, correlato con sessioni PowerShell attive, indica possibile anti-forensics.

Linux: auditd come pilastro

Su Linux, la detection si basa su auditd (open source). Le regole audit devono monitorare le syscall unlink e rename sui percorsi /var/spool/mail/ e /var/mail/, oltre all'esecuzione di mail e mailx con argomenti di cancellazione. Una regola auditd efficace:

-w /var/spool/mail/ -p wa -k mailbox_tamper

Questa cattura sia scritture che modifiche agli attributi dei file di posta.

macOS: Unified Log e osquery

Su macOS, il Unified Log registra le invocazioni AppleScript verso Mail.app. Osquery (open source) consente query periodiche sui file in ~/Library/Mail/V*/ per rilevare cancellazioni anomale. La combinazione di eventi AppleScript con sessioni SSH recenti (Remote Login) è un indicatore ad alta confidenza.

La ricostruzione forense di una cancellazione mailbox richiede un approccio multi-artefatto che integri log applicativi, filesystem e tracce di sessione. L'attaccante cancella dati, ma le tracce dell'operazione di cancellazione stessa sopravvivono in luoghi meno ovvi.

Exchange: ricostruire le export request fantasma

Anche dopo un Remove-MailboxExportRequest, i log IIS di Exchange conservano le richieste HTTP/RPC verso il servizio EWS (Exchange Web Services). I file di log in %ExchangeInstallPath%\Logging\ registrano le sessioni PowerShell remote con timestamp, account e cmdlet eseguiti. Il Message Tracking Log (Get-MessageTrackingLog) cattura i flussi di messaggi anche se le email sono state cancellate, permettendo di ricostruire il volume di esportazione.

Nella campagna SolarWinds Compromise (C0024), APT29 ha usato proprio Remove-MailboxExportRequest per eliminare le tracce di esportazione. La ricostruzione in quel caso si è basata sulla correlazione tra i log IIS, i log PowerShell residui e le tracce di autenticazione negli Event Log di Windows (EventCode 4624, logon type 3 per sessioni remote).

Windows: il filesystem racconta

I file .pst e .ost cancellati possono essere recuperati con tool di carving come Autopsy (open source) o FTK Imager (gratuito). La Master File Table (MFT) di NTFS conserva i record dei file eliminati, inclusi i timestamp di creazione, modifica e cancellazione. Il journal USN (fsutil usn readjournal C:) registra le operazioni di cancellazione con il reason code FILE_DELETE.

Per i file dell'app Mail di Windows, il database Unistore.db in AppData\Local\Comms\Unistore\data è un SQLite che può essere analizzato con strumenti come DB Browser for SQLite (open source). Anche se le email sono state eliminate dall'interfaccia, record residui nel database possono rivelare metadati parziali.

Linux: timeline dai log di sistema

Su Linux, i file in /var/spool/mail/ sono plain text: la cancellazione lascia tracce nel journal di ext4 (se il filesystem è montato con journaling). Il comando debugfs permette di recuperare inode cancellati di recente. I log di auditd, se configurati con le regole corrette, forniscono la timeline esatta delle syscall unlink con UID dell'utente e path completo.

macOS: Apple Mail e metadata

La directory ~/Library/Mail/V*/ contiene file .emlx individuali per ogni messaggio. I metadata del filesystem APFS, interrogabili con mdls (incluso in macOS), conservano date di creazione e modifica anche per file in stato di cancellazione recente. Il Unified Log può essere estratto post-mortem con log collect e filtrato per il subsystem com.apple.mail per ricostruire le operazioni AppleScript.

La cancellazione dei dati mailbox è una tecnica trasversale a operazioni di spionaggio sofisticate, dove il valore dell'accesso alla posta elettronica è così alto da giustificare procedure di pulizia dedicate. I profili degli attori documentati rivelano pattern distinti.

APT42 è un gruppo legato all'Iran, specializzato in operazioni di sorveglianza e raccolta credenziali. Il loro utilizzo di questa tecnica è pragmatico: cancellano le notifiche di login e svuotano la cartella Sent per evitare che la vittima si accorga dell'accesso non autorizzato. Questo approccio indica un'operazione orientata al mantenimento dell'accesso prolungato — non si tratta di un attacco smash-and-grab, ma di sorveglianza persistente dove la discrezione è prioritaria.

Scattered Spider opera con un profilo molto diverso: è un gruppo orientato al social engineering e all'intrusione in ambienti enterprise, noto per attacchi a organizzazioni del settore tecnologico e telecomunicazioni. La cancellazione manuale delle email di notifica di attività sospetta sugli account rivela un modus operandi hands-on-keyboard, dove l'operatore umano monitora attivamente le caselle compromesse per sopprimere gli allarmi prima che l'utente legittimo li veda.

Sul fronte del software, LunarMail rappresenta un approccio automatizzato all'anti-forensics email: il flag PR_DELETE_AFTER_SUBMIT è una proprietà MAPI che istruisce il client a eliminare il messaggio dopo l'invio, rendendo l'esfiltrazione dati via email quasi invisibile. Goopy segue una logica simile ma applicata al C2: i messaggi email usati come canale di comando e controllo vengono eliminati dopo la lettura, trasformando la casella in un dead drop temporaneo.

La campagna SolarWinds Compromise (C0024), condotta tra agosto 2019 e gennaio 2021, rappresenta il caso più emblematico. APT29 — attribuito al servizio di intelligence estero russo (SVR) — ha utilizzato Remove-MailboxExportRequest per eliminare le evidenze di esportazione massiva dalle caselle di posta delle vittime. In un'operazione che ha colpito circa 18.000 clienti di SolarWinds Orion, la pulizia delle tracce email era parte di una catena anti-forensics più ampia che includeva la compromissione supply chain, l'abuso di token e API, e l'utilizzo di malware personalizzato.

Il pattern emergente è chiaro: questa tecnica si presenta quasi sempre dopo operazioni di Email Collection o esfiltrazione, mai come tecnica isolata. Per il threat intelligence, un'evidenza di cancellazione mailbox dovrebbe innescare immediatamente la ricerca retrospettiva di attività di raccolta e esfiltrazione nelle settimane precedenti. Il denominatore comune tra tutti gli attori è la volontà di preservare l'accesso — cancellano le tracce non per fuggire, ma per restare.

Framework MITRE ATT&CK v16 — T1070.008, TA0005, C0024 (SolarWinds Compromise), G1044, G1015, S1142, S0477, M1022, M1029, M1047. Detection: analisi AN0737 (Windows), AN0738 (Linux), AN0739 (macOS), AN0740 (Office Suite). Integrato con conoscenza professionale per tool e procedure operative.