Злоумышленники любят использовать Outlook в самых разных целях. Например, злоумышленник может автоматически пересылать электронные письма на удаленный адрес или оставаться в сети, создавая правила на стороне клиента, которые запускают вредоносную программу / скрипт, когда пользователь получает электронное письмо. Есть ли способ запросить правила Outlook, хранящиеся в Exchange, для обнаружения потенциально вредоносных правил? Можно ли заблокировать некоторые типы правил Outlook (например, выполнение программы / скрипта)?
Лучшее решение, о котором я знаю прямо сейчас, - это использовать инструмент NotRuler. Кроме того, наполовину готовое решение состоит в том, чтобы вытащить двоичный BLOB-объект, в котором хранится двоичный BLOB-объект действия правила (найден один пример Вот используя управляемый API веб-служб Exchange) и запускайте строки в двоичном большом двоичном объекте действия правила и ищите любые подозрительные строки (запуск строк - это хитрый способ анализа двоичного блока, поскольку структура большого двоичного объекта не задокументирована).
В PowerShell (конечно же!) Есть несколько удобная Get-InboxRule
Technet Link. Я говорю несколько удобно, потому что он может запрашивать только один почтовый ящик.
Поскольку вы пытаетесь обнаружить определенные типы правил (утечка информации за пределы организации), я предлагаю вам поискать некоторые конкретные свойства правил.
DeleteMessage
= ВерноForwardAsAttachmentTo
= (не ноль)ForwardTo
= (не ноль)Могут быть другие, которые имеют отношение к вам. Использовать Get-InboxRule -Mailbox alias@domain.com | FL
чтобы перечислить все свойства, или сослаться на ссылку на статью Technet.
Это так! Некоторые типы правил есть только в клиенте Outlook. Эта ссылка предоставляет руководство по типам правил, отследить которые будет труднее.