Назад | Перейти на главную страницу

Обнаружение / предотвращение вредоносных правил Outlook

Злоумышленники любят использовать Outlook в самых разных целях. Например, злоумышленник может автоматически пересылать электронные письма на удаленный адрес или оставаться в сети, создавая правила на стороне клиента, которые запускают вредоносную программу / скрипт, когда пользователь получает электронное письмо. Есть ли способ запросить правила Outlook, хранящиеся в Exchange, для обнаружения потенциально вредоносных правил? Можно ли заблокировать некоторые типы правил Outlook (например, выполнение программы / скрипта)?

Лучшее решение, о котором я знаю прямо сейчас, - это использовать инструмент NotRuler. Кроме того, наполовину готовое решение состоит в том, чтобы вытащить двоичный BLOB-объект, в котором хранится двоичный BLOB-объект действия правила (найден один пример Вот используя управляемый API веб-служб Exchange) и запускайте строки в двоичном большом двоичном объекте действия правила и ищите любые подозрительные строки (запуск строк - это хитрый способ анализа двоичного блока, поскольку структура большого двоичного объекта не задокументирована).

В обмен

В PowerShell (конечно же!) Есть несколько удобная Get-InboxRule Technet Link. Я говорю несколько удобно, потому что он может запрашивать только один почтовый ящик.

  • Это можно использовать для выборочной проверки отдельного почтового ящика (финансовых пользователей, руководителей, пользователей с привилегированным доступом и т. Д.)
  • Также можно использовать циклы и конвейеры для итерации по массиву, например, из CSV.

Поскольку вы пытаетесь обнаружить определенные типы правил (утечка информации за пределы организации), я предлагаю вам поискать некоторые конкретные свойства правил.

  • DeleteMessage = Верно
  • ForwardAsAttachmentTo = (не ноль)
  • ForwardTo = (не ноль)

Могут быть другие, которые имеют отношение к вам. Использовать Get-InboxRule -Mailbox alias@domain.com | FL чтобы перечислить все свойства, или сослаться на ссылку на статью Technet.

Не все правила есть в Exchange. :(

Это так! Некоторые типы правил есть только в клиенте Outlook. Эта ссылка предоставляет руководство по типам правил, отследить которые будет труднее.