Raccolta Email Locale: Local Email Collection (T1114.001)

L'obiettivo in un engagement red team è dimostrare che un utente compromesso — anche con privilegi standard — può localizzare e esfiltrare archivi di posta in pochi secondi. La catena d'attacco si articola in tre fasi: enumerazione, staging e trasferimento.

Fase 1 — Enumerazione dei file di posta. Il punto di partenza è individuare tutti i file .pst e .ost sul disco. Su Windows, il metodo più silenzioso sfrutta la riga di comando nativa:

dir /s /b C:\Users*.pst C:\Users*.ost 2>nul

Questo comando attraversa ricorsivamente le home directory restituendo solo i percorsi completi. In PowerShell si può affinare il risultato filtrando per dimensione, così da identificare subito gli archivi più ricchi di contenuto:

Get-ChildItem -Path C:\Users -Recurse -Include .pst,.ost -ErrorAction SilentlyContinue | Sort-Object Length -Descending | Select-Object FullName, @{N='SizeMB';E={[math]::Round($_.Length/1MB,2)}}

Su un dominio, il comando WMI usato da Chimera dimostra che l'enumerazione può estendersi a host remoti senza bisogno di RDP:

wmic /node: process call create "cmd /c dir /s /b C:\Users*.pst > C:\Windows\Temp\pst_list.txt"

Fase 2 — Staging e compressione. Prima dell'esfiltrazione, conviene copiare i file in una directory temporanea e comprimerli. Il binario nativo compress di Windows o il modulo PowerShell integrato funzionano bene:

Compress-Archive -Path "C:\Users<username>\Documents\Outlook Files\backup.pst" -DestinationPath C:\Windows\Temp\o.zip

Per i file .ost in uso da Outlook, il processo OUTLOOK.EXE potrebbe tenere un lock sul file. In quel caso, il tool Volume Shadow Copy (vssadmin) permette di creare una snapshot e copiare il file senza interruzioni — tecnica comune nei ransomware e perfettamente replicabile in lab.

Fase 3 — Parsing selettivo. Non sempre serve esfiltrare l'intero archivio. Lo strumento pst-utils (open source, pacchetto libpst su distribuzioni Linux) converte un file .pst in formato mbox per l'analisi locale:

readpst -o /tmp/email_output -r target_backup.pst

In ambito red team Windows, Empire (open source) e Pupy (open source) offrono moduli dedicati che interagiscono direttamente con la sessione Outlook attiva dell'utente, enumerando cartelle e messaggi senza nemmeno toccare il file system. Seatbelt (open source) di GhostPack include un check OutlookDownloads che enumera rapidamente i file scaricati dalle email.

Il consiglio operativo è documentare ogni file individuato con hash e dimensione: il report sarà molto più efficace se mostra al cliente che 30 GB di email executive erano raggiungibili da un account con privilegi minimi.

La detection di questa tecnica ruota attorno a un principio semplice: chi accede ai file .pst e .ost, e quel "chi" è un processo legittimo? La risposta richiede correlazione tra eventi di file access, creazione processi e attività di rete.

Log source critici. L'analytic ufficiale (DET0047/AN0130) indica due fonti primarie: WinEventLog:Security e WinEventLog:Sysmon. Sul fronte Sysmon, l'EventCode 11 (FileCreate) cattura la creazione di copie dei file di posta in directory anomale come C:\Windows\Temp. L'EventCode 1 (ProcessCreate) rivela quali processi stanno lanciando comandi di copia o compressione. L'EventCode 15 (FileCreateStreamHash) è particolarmente utile per intercettare alternative data stream usati per nascondere file staged.

Sul versante Security log nativo, l'EventCode 4663 (Object Access) registra l'accesso ai file quando le SACL sono configurate sulle directory Outlook. Va abilitata l'audit policy su C:\Users\*\Documents\Outlook Files e C:\Users\*\AppData\Local\Microsoft\Outlook tramite GPO.

Logica di correlazione. La catena comportamentale da monitorare prevede tre eventi in sequenza entro una finestra temporale configurabile (suggeriti 5-15 minuti):

1. Enumerazione directory — processo non-Outlook che esegue dir, Get-ChildItem o where con wildcard *.pst o *.ost
2. Accesso o copia file — evento di file read/create su un file con estensione .ost/.pst da un processo diverso da OUTLOOK.EXE o SearchProtocolHost.exe
3. Compressione o trasferimento — invocazione di Compress-Archive, 7z.exe, rar.exe, makecab o traffico di rete anomalo dal processo coinvolto

Gestione falsi positivi. Il tuning è essenziale: processi come Windows Search Indexer, soluzioni di backup aziendali (Veeam, Commvault) e client di migrazione email accedono legittimamente a questi file. La raccomandazione è costruire una ProcessAllowList specifica per l'organizzazione, partendo da un periodo di baselining di 2-3 settimane. Limitare la detection agli account che normalmente non interagiscono con le directory Outlook — service account, utenti di help desk, account amministrativi — riduce drasticamente il rumore.

Controlli preventivi. La mitigazione M1041 (Encrypt Sensitive Information) suggerisce di cifrare i file .pst con la funzionalità nativa di Outlook o tramite BitLocker per proteggere i dati at-rest. La cifratura delle email tramite S/MIME o PGP garantisce che, anche in caso di esfiltrazione, il contenuto resti inaccessibile senza la chiave privata. Un canale di comunicazione out-of-band (M1060) per notificare il team di sicurezza di accessi anomali — ad esempio tramite un'app di messaggistica cifrata separata dall'infrastruttura di posta — aggiunge un livello di resilienza critico durante un incidente attivo.

L'analisi forense della raccolta email locale lascia tracce in almeno tre categorie di artefatti: file system, registri di sistema e log di processo. La chiave è ricostruire la sequenza esatta tra il momento dell'accesso al file e il suo trasferimento verso l'esterno.

Artefatti file system. I timestamp NTFS dei file .pst e .ost sono il primo indicatore. Un file con un LastAccessTime aggiornato di recente ma un LastWriteTime remoto suggerisce che qualcuno l'ha letto senza modificarlo — tipico di un'operazione di copia. Nelle directory di staging come C:\Windows\Temp, cercate copie di file .pst con nomi alterati (backup.pst, o.zip, nomi generici) confrontando gli hash con quelli degli archivi originali. L'MFT ($MFT) conserva traccia anche dei file eliminati: il parsing con tool come MFTECmd (open source, parte del progetto Eric Zimmerman Tools) può rivelare entry per file .pst creati in posizioni anomale e poi cancellati.

La $UsnJrnl (USN Journal) è una fonte preziosa per questa tecnica. Registra ogni operazione di creazione, rinomina, cancellazione e modifica dei file con precisione al secondo. Filtrando per estensioni .pst e .ost si ottiene una timeline granulare delle operazioni sul file system che può rivelare copie in directory temporanee anche settimane dopo l'evento.

Artefatti di esecuzione. I Prefetch file (nella directory C:\Windows\Prefetch) documentano l'esecuzione di utility come cmd.exe, powershell.exe, wmic.exe e tool di compressione. Ogni file Prefetch include la lista dei file e directory con cui il processo ha interagito nelle prime dieci secondi di esecuzione — informazione che può confermare l'accesso a percorsi Outlook. Il file AmCache.hve e le ShimCache entries forniscono evidenza complementare sull'esecuzione di binari sospetti.

Ricostruzione della catena di esfiltrazione. Nella campagna Night Dragon (C0002), che ha colpito aziende del settore petrolifero ed energetico tra il 2009 e il 2011 in Kazakhstan, Taiwan, Grecia e Stati Uniti, i threat actor hanno utilizzato malware RAT per esfiltrare archivi email. In scenari simili, i log di connessione di rete (NetFlow, firewall) correlati con la timeline di accesso ai file .pst permettono di identificare il canale C2 utilizzato per il trasferimento.

Per la correlazione, gli eventi Sysmon sono particolarmente utili: l'EventCode 1 rivela la command line completa del processo che ha avviato la copia, mentre l'EventCode 3 (NetworkConnect) cattura le connessioni di rete dello stesso processo. L'analisi congiunta di questi due eventi — processo con argomenti che referenziano file .pst seguito da una connessione in uscita — costituisce la prova della catena completa enumerazione → staging → esfiltrazione.

Un'attenzione particolare va riservata ai Volume Shadow Copies: se l'attaccante ha usato vssadmin per aggirare il lock di Outlook sui file .ost, l'EventCode 4688 (Security log) o l'EventCode 1 (Sysmon) registreranno l'invocazione del comando.

La raccolta locale di email è una tecnica condivisa da gruppi con obiettivi e modus operandi molto diversi, ma con un denominatore comune: l'email è una miniera d'oro operativa, sia per il contenuto sia come trampolino per attacchi successivi.

APT1 rappresenta il caso da manuale di cyber espionage industriale. Il gruppo cinese utilizza due utility proprietarie — GETMAIL e MAPIGET — progettate specificamente per estrarre email da archivi .pst. Questa specializzazione strumentale indica un processo operativo maturo: gli operatori sanno esattamente cosa cercare e dispongono di tool dedicati anziché affidarsi a utility generiche. La campagna Night Dragon (C0002), attribuita ad attori basati in Cina, conferma il pattern: obiettivi nel settore energetico, interesse per sistemi SCADA e dati finanziari, esfiltrazione di archivi email tramite RAT. Il legame geografico e settoriale suggerisce che la raccolta email in ambito energy resta un indicatore di interesse per attori state-sponsored cinesi.

Magic Hound, gruppo iraniano, si concentra sulla raccolta di archivi .PST — un approccio "bulk" che punta a raccogliere tutto il possibile per l'analisi offline. Chimera, anch'esso legato a obiettivi asiatici, si distingue per l'uso di WMI remoto per copiare file .pst tra host della rete, dimostrando capacità di lateral movement integrato con la fase di collection. Il comando WMI documentato rivela una procedura semi-automatizzata che combina enumerazione e copia in un singolo step operativo.

RedCurl e QakBot condividono un aspetto interessante: entrambi raccolgono email non per il contenuto informativo in sé, ma per alimentare future campagne di phishing. RedCurl riutilizza le email rubate per costruire esche credibili, mentre QakBot sfrutta i thread email reali per inserirsi in conversazioni esistenti (thread hijacking), una tecnica che aumenta drasticamente il tasso di successo del phishing. Anche Emotet impiega un modulo dedicato allo scraping di dati email da Outlook con finalità analoghe.

Sea Turtle e Winter Vivern completano il quadro con operazioni di raccolta da ambienti email diversi. Winter Vivern si distingue per l'uso di payload JavaScript capaci di esfiltrare messaggi direttamente da server email compromessi, un'evoluzione che porta la raccolta dal file system locale all'applicazione web.

Il pattern emergente è duplice: da un lato gruppi di espionage tradizionale che cercano contenuto sensibile, dall'altro gruppi orientati al cybercrime che usano le email come arma per propagazione. Per l'analista TI, la presenza di accessi anomali a file .pst dovrebbe innescare un'analisi di attribution che consideri entrambi gli scenari.

Framework MITRE ATT&CK v16 — Tecnica T1114.001 (Local Email Collection), Tattica TA0009 (Collection). Campagna C0002 (Night Dragon). Mitigazioni M1041, M1060. Detection DET0047/AN0130. Integrato con conoscenza professionale per tool e procedure operative.