Regole Email Nascoste: Email Hiding Rules (T1564.008)

La simulazione di questa tecnica in ambiente lab è immediata perché sfrutta strumenti nativi di Exchange. Non servono payload custom: bastano le credenziali di un utente e un modulo PowerShell.

Il primo passo è connettersi a Exchange Online con il modulo ExchangeOnlineManagement (gratuito, distribuito da Microsoft via PowerShell Gallery). Dopo l'autenticazione con Connect-ExchangeOnline, la creazione della regola malevola richiede un singolo comando:

New-InboxRule -Name "RSS Feeds" -Mailbox vittima@dominio.lab -SubjectContainsWords "malware","phish","suspicious","hack" -DeleteMessage $true

Il nome "RSS Feeds" è deliberatamente innocuo — replicando il pattern di FIN4, che mascherava le proprie regole tra quelle apparentemente legittime. L'opzione -DeleteMessage $true elimina il messaggio prima che appaia nella inbox; in alternativa, -MoveToFolder "RSS Subscriptions" lo sposta in una cartella che nessuno controlla.

Per simulare uno scenario più aggressivo a livello organizzativo, si può creare una transport rule:

New-TransportRule -Name "Compliance Archive" -SubjectOrBodyContainsWords "incident","breach","compromise" -DeleteMessage $true

Questa regola intercetta tutta la posta dell'organizzazione che contiene keyword legate a incidenti di sicurezza — un'operazione che replica la capacità descritta per ambienti Exchange.

Su macOS, la simulazione si sposta sui file plist di Mail.app. I file rilevanti sono RulesActiveState.plist, SyncedRules.plist e MessageRules.plist, nella directory ~/Library/Mail/. Modificandoli con defaults write o con un editor plist è possibile inserire regole di filtraggio che Mail.app applicherà silenziosamente.

In ambiente Linux con Dovecot o Postfix, le regole lato server si gestiscono tramite script Sieve. Un filtro malevolo potrebbe essere:

require "fileinto";
if header :contains "subject" ["malware","phish","suspicious"] {
  discard;
}

Per la validazione e il cleanup del laboratorio, è essenziale enumerare e rimuovere le regole create:

Get-InboxRule -Mailbox vittima@dominio.lab | Format-Table Name, Description, DeleteMessage, MoveToFolder

Remove-InboxRule -Mailbox vittima@dominio.lab -Identity "RSS Feeds" -Confirm:$false

Come tool di auditing più strutturato, Hawk (open source) è un modulo PowerShell progettato per il triage di compromissioni Microsoft 365 e include funzioni specifiche per enumerare inbox rules sospette su tutte le mailbox del tenant.

Il problema centrale di questa tecnica è che la creazione di inbox rules è un'operazione perfettamente lecita — decine di utenti ne creano ogni giorno. La detection efficace richiede quindi un approccio comportamentale, basato sul contesto e non sulla sola azione.

La log source primaria è il Microsoft 365 Unified Audit Log (m365:unified). Gli eventi chiave sono le operazioni New-InboxRule e Set-InboxRule, ma anche UpdateInboxRules generato dall'interfaccia web di Outlook. Il primo alert da costruire filtra le regole che contengono azioni distruttive: la proprietà DeleteMessage impostata su true o il MoveToFolder verso cartelle inusuali come "RSS Subscriptions", "Junk Email" o cartelle con nomi generici.

Il secondo layer di detection si basa sulle keyword sospette nel corpo della regola. Quando i campi SubjectContainsWords o BodyContainsWords includono termini come "phish", "malware", "suspicious", "hack", "breach" o "incident", la probabilità di intento malevolo sale drammaticamente. Questo è esattamente il pattern documentato per FIN4 e Scattered Spider.

Su Windows, il log WinEventLog:Security cattura l'esecuzione dei cmdlet PowerShell. L'EventCode 4104 (Script Block Logging) registra il contenuto degli script, permettendo di cercare invocazioni dei cmdlet New-InboxRule e Set-InboxRule con parametri sospetti. Il prerequisito è avere abilitato PowerShell Script Block Logging tramite Group Policy.

Su macOS, il monitoring si sposta sui file plist. Strumenti come Santa (open source) o l'endpoint detection nativo possono generare alert quando i file RulesActiveState.plist, SyncedRules.plist, UnsyncedRules.plist o MessageRules.plist vengono modificati da processi diversi da Mail.app.

Su Linux, il monitoraggio tramite auditd dei file Sieve e dei log del mail server (Postfix, Dovecot, Exim) permette di intercettare modifiche ai filtri lato server. Una regola auditd sul path dei file Sieve dell'utente cattura scritture anomale.

Per la gestione dei falsi positivi, tre strategie di tuning:

• UserContext: concentrare il monitoraggio su utenti ad alto valore — dirigenti, amministratori, personale di sicurezza — dove una regola malevola ha il massimo impatto
• RuleScope: decidere se monitorare le regole individuali, le transport rules organizzative, o entrambe, in base alla superficie di rischio del tenant
• Baseline comportamentale: escludere gli utenti che creano regole regolarmente e con pattern coerenti, alzando la priorità per account che non ne hanno mai create

Un buon alert combinato correla la creazione di una inbox rule con un accesso anomalo alla mailbox (IP inusuale, geolocalizzazione incoerente) nelle 24 ore precedenti.

L'indagine su una compromissione che coinvolge email hiding rules si sviluppa su due piani: l'analisi delle regole stesse e la ricostruzione della catena di eventi che ne ha preceduto la creazione.

Il punto di partenza è l'enumerazione delle regole su tutte le mailbox sospette. Il cmdlet Get-InboxRule -Mailbox utente@dominio.com restituisce l'elenco completo, ma attenzione: alcune regole create via API o MAPI potrebbero non essere visibili nell'interfaccia Outlook e richiedono il parametro -IncludeHidden. Per le transport rules a livello organizzativo, Get-TransportRule espone le condizioni e le azioni configurate.

Il Unified Audit Log di Microsoft 365 è la fonte principale per la timeline. Cercando le operazioni New-InboxRule, Set-InboxRule e UpdateInboxRules per il periodo sospetto si ottiene il timestamp preciso di creazione, l'IP sorgente e il client utilizzato. Il comando PowerShell per l'estrazione è:

Search-UnifiedAuditLog -StartDate "2024-01-01" -EndDate "2024-01-31" -Operations New-InboxRule,Set-InboxRule -ResultSize 5000

Ogni record contiene un campo Parameters in formato JSON che rivela le keyword filtrate e l'azione configurata — il fingerprint operativo dell'attaccante. Confrontare queste keyword con i pattern noti di Scattered Spider (focus su email da vendor di sicurezza) e FIN4 (keyword generiche come "hacked", "phish", "malware") aiuta l'attribuzione.

Su macOS, gli artefatti si trovano nei file plist della directory ~/Library/Mail/. I file SyncedRules.plist e MessageRules.plist contengono le regole in formato XML/binary plist, analizzabili con plutil -p. I metadati del filesystem (data di creazione e modifica) vanno incrociati con il log unificato macOS per correlare la modifica con il processo responsabile.

Su Linux, i filtri Sieve risiedono tipicamente in ~/.dovecot.sieve o in directory come /var/lib/dovecot/sieve/. I log del mail server (solitamente in /var/log/mail.log) registrano l'applicazione dei filtri, permettendo di correlare le regole con i messaggi effettivamente scartati o spostati.

Un artefatto spesso trascurato è il MailboxLogin nel Unified Audit Log: correlare il primo accesso anomalo alla mailbox con la creazione della regola rivela il tempo di dwell — il ritardo tra compromissione e attivazione della regola. In molti casi documentati, le regole vengono create nei primi minuti dopo l'accesso iniziale, segno di un playbook automatizzato. Il modulo Hawk (open source) automatizza gran parte di questa raccolta, generando un report consolidato per mailbox che include regole, accessi anomali e modifiche alle deleghe.

La tecnica Email Hiding Rules ha un'impronta operativa molto specifica e i due gruppi che la impiegano la usano con finalità distinte, rendendo l'analisi del modus operandi particolarmente utile per l'attribuzione.

Scattered Spider (G1015) è un gruppo noto per operazioni aggressive contro organizzazioni di grandi dimensioni, con forte enfasi sull'ingegneria sociale e la compromissione di identità cloud. Il loro uso delle inbox rules è chirurgico: creano regole specificamente sugli account del personale di sicurezza, configurandole per eliminare automaticamente le email provenienti dai vendor di prodotti di protezione. L'intento è chiaro — accecare il team difensivo durante la fase attiva dell'intrusione, impedendo la ricezione di alert e notifiche che potrebbero far scattare l'incident response. Questo approccio rivela un threat actor consapevole dei workflow difensivi e in grado di identificare quali caselle di posta sono critiche per la security posture dell'organizzazione.

FIN4 (G0085) opera con un profilo diverso. Questo gruppo finanziariamente motivato ha utilizzato le regole email in ambiente Microsoft Outlook per filtrare messaggi contenenti keyword generiche come "hacked", "phish" e "malware". L'obiettivo non è tanto accecare il SOC quanto impedire la comunicazione interna sull'incidente — un tentativo di rallentare la risposta organizzativa nel suo complesso, non solo quella tecnica.

Il pattern che emerge è una polarizzazione nell'uso della tecnica: da un lato il targeting preciso di account di sicurezza (Scattered Spider), dall'altro il filtraggio ampio basato su vocabolario di sicurezza (FIN4). Entrambi gli approcci condividono un elemento tattico — la tecnica viene attivata nella fase di Defense Evasion, tipicamente subito dopo l'acquisizione delle credenziali e prima dell'esecuzione degli obiettivi primari.

Per l'analista TI, il valore di questa tecnica come indicatore risiede nella sua correlazione con la supply chain delle credenziali. La creazione di una inbox rule presuppone l'accesso autenticato alla mailbox, il che implica una precedente fase di credential theft (phishing, credential stuffing, session hijacking). Monitorare la creazione anomala di regole email è quindi un proxy per individuare compromissioni di identità che potrebbero non essere state ancora rilevate attraverso altri canali.

Le organizzazioni nei settori finanziario, tecnologico e con infrastruttura Microsoft 365 rimangono i target principali. La raccomandazione operativa è includere l'audit delle inbox rules nei playbook di threat hunting periodico, incrociando i dati con le campagne attive dei gruppi tracciati.

Framework MITRE ATT&CK v16 — T1564.008, TA0005, G1015, G0085, M1047, DET0192 (AN0551–AN0554). Tool di detection e audit: Hawk (open source), ExchangeOnlineManagement (gratuito), auditd (open source), Santa (open source). Integrato con conoscenza professionale per tool e procedure operative.