Raccolta Email Locali: Local Email Collection (T1114.001)

Per comprendere come gli attaccanti operano, iniziamo con la ricognizione dei file PST e OST nel sistema target. Il comando PowerShell più basilare per individuare questi archivi è:

Get-ChildItem -Path C:\ -Include .pst,.ost -Recurse -ErrorAction SilentlyContinue

Gli attaccanti più sofisticati utilizzano WMI per operare da remoto, come dimostrato dal gruppo Chimera. Il loro comando caratteristico crea una copia del backup PST:

wmic /node: process call create "cmd /c copy c:\Users<username><path>\backup.pst c:\windows\temp\backup.pst"

Per un approccio più discreto, considera l'utilizzo di living-off-the-land binaries. Il comando robocopy permette di copiare file mantenendo timestamp originali:

*robocopy "C:\Users\target\AppData\Local\Microsoft\Outlook" "C:\temp" .ost /E /COPYALL /R:0 /W:0

Gli strumenti specifici come Empire offrono moduli dedicati per l'harvesting delle email. Una volta identificati i file target, la compressione diventa cruciale per l'esfiltrazione efficiente:

Compress-Archive -Path C:\temp*.pst -DestinationPath C:\temp\emails.zip -CompressionLevel Optimal

Un approccio alternativo prevede l'utilizzo di Pupy, che può interagire direttamente con la sessione Outlook attiva, permettendo di navigare tra cartelle e messaggi senza toccare i file su disco.

Per sistemi Linux che montano share Windows, il comando find diventa prezioso:

find /mnt/windows_share -name ".pst" -o -name ".ost" 2>/dev/null

La detection efficace richiede il monitoraggio di pattern comportamentali specifici piuttosto che singoli eventi. Concentrati su processi non-Outlook che accedono ai file di dati email, un comportamento anomalo che dovrebbe generare alert immediati.

Configura il detection DET0047 monitorando gli EventID chiave di Windows Security e Sysmon. L'accesso ai file PST/OST da parte di processi come cmd.exe, powershell.exe o wmic.exe rappresenta un indicatore forte di attività sospetta.

Una regola Sigma efficace dovrebbe cercare combinazioni di eventi: creazione di processo seguita da accesso file con pattern *.pst o *.ost. Il timeframe di correlazione ottimale è 5 minuti per catturare l'intera catena di eventi.

Per ridurre i falsi positivi, implementa una whitelist dei processi legittimi che accedono questi file. Outlook.exe, SearchIndexer.exe e i backup agent autorizzati dovrebbero essere esclusi dall'alerting. Tuttavia, mantieni il logging completo per analisi forensi successive.

Monitora particolarmente gli account di servizio o amministrativi che accedono percorsi utente tipici. Questo comportamento cross-user è altamente sospetto e merita investigazione immediata.

L'utilizzo di honey files PST posizionati strategicamente può servire come early warning system. Qualsiasi accesso a questi file decoy dovrebbe generare alert ad alta priorità.

L'analisi forense della raccolta email locale inizia dall'esame del file system NTFS. I timestamp MAC (Modified, Accessed, Created) sui file PST/OST forniscono indicazioni temporali cruciali, anche se gli attaccanti possono utilizzare timestomping.

Il registro USN Journal diventa fondamentale per ricostruire l'attività sui file email. Cerca entry che mostrano operazioni di copia, spostamento o compressione di file PST/OST:

fsutil usn readjournal C: csv | findstr /i "pst ost"

L'analisi della Prefetch rivela quali applicazioni hanno interagito con i file email. File .pf per utilità come 7z.exe o rar.exe nelle vicinanze temporali dell'accesso ai PST indicano preparazione per esfiltrazione.

La campagna Night Dragon ha dimostrato come gli attaccanti utilizzino RAT per esfiltrare archivi email. Cerca tracce di connessioni di rete anomale correlate temporalmente con l'accesso ai file email nel registro di Windows Firewall.

Per sistemi compromessi da Carbanak, l'analisi deve includere la ricerca ricorsiva nelle directory utente. Il malware lascia tracce nei log di accesso file quando enumera le cartelle alla ricerca di PST.

L'Event ID 4663 (tentativo di accesso a un oggetto) diventa prezioso quando correlato con i percorsi dei file email. Costruisci la timeline mappando questi eventi con le connessioni di rete successive per identificare il momento dell'esfiltrazione.

Il gruppo APT1 utilizza tool specializzati GETMAIL e MAPIGET specificamente progettati per l'estrazione email. Questa specializzazione indica pianificazione a lungo termine e interesse per intelligence aziendale piuttosto che guadagno finanziario immediato.

Magic Hound mostra predilezione per archivi PST completi, suggerendo operazioni di intelligence su larga scala. La loro presenza in campagne contro obiettivi governativi mediorientali indica motivazioni geopolitiche.

Winter Vivern ha evoluto le tecniche utilizzando JavaScript malevolo per esfiltrare messaggi direttamente dai server email compromessi. Questo shift verso approcci server-side suggerisce adattamento alle difese endpoint migliorate.

Il gruppo RedCurl raccoglie email specificatamente per alimentare future campagne di phishing. Questo ciclo auto-alimentante indica operazioni sofisticate con pianificazione strategica multi-fase.

L'overlap nei tool mostra convergenza tattica: QakBot e Emotet hanno entrambi sviluppato moduli di scraping email per supportare campagne di thread hijacking. Questa tendenza indica che l'email harvesting sta diventando componente standard dei trojan bancari moderni.

La distribuzione geografica degli attacchi mostra concentrazione su settori energy (Night Dragon) e istituzioni finanziarie (Carbanak). Le previsioni indicano espansione verso healthcare e manufacturing, settori con elevato valore di proprietà intellettuale.

Analisi basata su framework MITRE ATT&CK per Local Email Collection (T1114.001). Riferimenti a campagna Night Dragon (2009-2011) documentata contro settore oil&gas. Detection rule DET0047 per monitoraggio accessi Outlook data files.