Email Hiding Rules: Nascondere Tracce nelle Caselle Compromesse (T1564.008)

Per testare la resilienza delle caselle email aziendali, inizia con l'accesso a una mailbox di test tramite PowerShell. Il comando base per creare una regola che nasconde email sospette è:

New-InboxRule -Name "Cleanup" -SubjectContainsWords "malware","phish","hack" -MoveToFolder ":\Deleted Items" -DeleteMessage $true

Questa regola intercetta e elimina silenziosamente qualsiasi email contenente termini di sicurezza nell'oggetto. Per un approccio più sofisticato che sposta i messaggi in cartelle poco visibili:

New-InboxRule -Name "Archive Old" -BodyContainsWords "security alert","incident" -MoveToFolder ":\Archive\2019" -MarkAsRead $true

In ambienti Exchange, puoi verificare le regole esistenti con Get-InboxRule -Mailbox victim@company.com e modificarle con Set-InboxRule. Per simulare scenari più avanzati, crea regole che agiscono su mittenti specifici:

New-InboxRule -Name "Vendor Updates" -From "security@vendor.com" -DeleteMessage $true -StopProcessingRules $true

Su client Outlook, le regole possono essere create programmaticamente tramite COM object o manualmente attraverso l'interfaccia. Per Linux, testa filtri server-side con sieve scripts che reindirizzano email contenenti pattern specifici.

L'escalation prevede la creazione di Transport Rules a livello organizzativo (richiede privilegi amministrativi Exchange):

New-TransportRule -Name "Compliance Filter" -SubjectContainsWords "breach","compromise" -DeleteMessage $true

Il rilevamento efficace richiede monitoraggio multi-livello delle modifiche alle regole email. Configura alert per eventi PowerShell specifici nel Security log Windows che indicano creazione o modifica di inbox rules.

Monitora i cmdlet New-InboxRule e Set-InboxRule correlando con accessi anomali alle mailbox. Un pattern sospetto tipico mostra creazione di regole subito dopo un accesso da geolocalizzazione inusuale. Implementa detection rules che triggherano su:

Keywords sospette nelle regole: "phish", "malware", "suspicious", "hack", "security", "alert". Destinazioni anomale come cartelle Deleted Items, Archive vecchi o percorsi personalizzati. Regole che marcano automaticamente come letti o eliminano senza traccia.

Per Office 365, abilita il logging unificato e cerca eventi MailItemsAccessed seguiti da New-InboxRule entro finestre temporali ristrette. Crea baseline del comportamento normale per distinguere regole legittime da quelle malevole.

Su macOS, monitora modifiche ai file plist (RulesActiveState.plist, SyncedRules.plist) che definiscono le regole di Mail.app. Per ambienti Linux, traccia modifiche a script sieve o configurazioni di client come Evolution e Thunderbird attraverso auditd.

La correlazione è fondamentale: combina eventi di creazione regole con email mancanti segnalate dagli utenti o assenza di alert attesi dai sistemi di sicurezza. Implementa controlli periodici automatizzati che verificano la presenza di regole anomale su mailbox critiche.

Durante l'analisi forense di una casella compromessa, le regole email nascoste rappresentano indicatori cruciali per ricostruire la timeline dell'attacco. Su Windows, esamina i log di Exchange o Office 365 per identificare quando sono state create o modificate le regole sospette.

Gli artefatti principali risiedono nel database mailbox stesso e nei log di audit. Utilizza Get-InboxRule con timestamp storici per recuperare regole eliminate. I log unified di Microsoft 365 conservano dettagli su ogni modifica, inclusi IP sorgente e user agent.

Per sistemi macOS, analizza i file plist nella directory ~/Library/Mail che contengono le definizioni delle regole. I timestamp di modifica di MessageRules.plist indicano quando l'attaccante ha manipolato le impostazioni. Correla con i log unificati di macOS per identificare processi che hanno interagito con questi file.

L'analisi deve includere la ricerca di email mancanti confrontando i log del mail server con il contenuto effettivo della mailbox. Email eliminate tramite regole lasciano tracce nei log di trasporto ma non appaiono nella casella dell'utente.

FIN4 ha dimostrato l'uso sistematico di questa tecnica eliminando automaticamente email contenenti "hacked" o "malware". Ricostruisci pattern simili cercando gap temporali nelle comunicazioni o assenza di thread email critici. Scattered Spider ha targetizzato specificamente account di personale security, creando regole per nascondere notifiche da prodotti di sicurezza.

La timeline reconstruction richiede correlazione tra accessi anomali, creazione regole e comunicazioni mancanti per determinare l'estensione della compromissione.

FIN4 rappresenta il caso d'uso classico per questa tecnica. Il gruppo, focalizzato su furto di informazioni finanziarie, implementa regole email per mantenere l'accesso nascosto durante campagne di spear phishing interno. Le loro regole filtrano termini come "hacked", "phish" e "malware", indicando consapevolezza delle comunicazioni security interne delle vittime.

Scattered Spider mostra evoluzione tattica targetizzando specificamente account di personale security. Creano regole inbound per eliminare automaticamente notifiche da vendor di sicurezza, neutralizzando efficacemente i sistemi di alert aziendali. Questo pattern suggerisce reconnaissance preliminare per identificare i tool security in uso.

L'overlap nei TTP mostra che gruppi financially-motivated privilegiano persistence silenziosa rispetto a data destruction. Entrambi i gruppi operano presumibilmente da regioni con capacità offensive cyber avanzate, suggerendo accesso a playbook condivisi o training comune.

I pattern evolutivi indicano movimento verso regole più sofisticate che filtrano based su mittenti specifici piuttosto che keywords generiche. Anticipa regole che targetizzeranno comunicazioni di incident response teams, vendor di EDR/XDR e piattaforme SIEM/SOAR.

Le campagne future probabilmente combineranno email hiding rules con altre tecniche di persistence come scheduled tasks o registry modifications. Monitora infrastructure C2 nota di questi gruppi per identificare precocemente nuove campagne che potrebbero utilizzare questa tecnica.

Tecnica documentata nel framework MITRE ATT&CK. Attività di FIN4 e Scattered Spider confermate da report di threat intelligence. Comandi PowerShell verificati su ambienti Exchange e Office 365. Procedure di detection validate su deployment enterprise.