Microsoft Exchange Server: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила Название правила Описание Тактики и техники

ID правила	Название правила	Описание	Тактики и техники
RV-D-1166	Утечка данных через массовую отправку писем	Правило предназначено для выявления аномальных сценариев массовой отправки писем с внутренних учетных записей на один внешний адрес. Такая активность может указывать на компрометацию почтовых ящиков или попытку передачи конфиденциальной информации через почтовые каналы.	Collection (TA0009) Exfiltration (TA0010) Exfiltration Over Alternative Protocol (T1048) Email Collection (T1114)
RV-D-1167	Эксплуатация уязвимости CVE-2024-49040	Правило предназначено для выявления писем, доставленных через Microsoft Exchange, в которых наблюдается расхождение между реальным SMTP‑отправителем (envelope sender, P2 FROM) и адресом, указанным в заголовке From. Атакующие могут намеренно подменять значение заголовка From для маскировки источника письма, имитации доверенных внешних или внутренних отправителей и повышения вероятности успешной фишинговой атаки. В рамках правила анализируются события Message Tracking Logs типа RECEIVE. Детект срабатывает в случаях, когда отображаемый отправитель письма не совпадает с адресом отправителя, использованным на уровне SMTP.	Initial Access (TA0001) Defense Evasion (TA0005) Phishing (T1566) Spearphishing Link (T1566.002) Email Spoofing (T1672)
RV-D-1171	Попытка выгрузить PST-файлы в MS Exchange	Атакующие могут использовать штатные административные возможности Microsoft Exchange для скрытой эксфильтрации почтовых данных. В частности, командлеты PowerShell `New-MailboxExportRequest` и `Remove-MailboxExportRequest` позволяют экспортировать содержимое почтовых ящиков в PST-файлы и одновременно удалять следы этой операции. Такой сценарий не требует уязвимостей и маскируется под легитимную административную деятельность, что делает его особенно опасным.	Defense Evasion (TA0005) Indicator Removal (T1070) Clear Mailbox Data (T1070.008)
RV-D-1172	Изменение правила журнала в системе Exchange	Атакующие, получившие доступ к привилегированной учетной записи Exchange, могут создавать, изменять или удалять Journal Rules для реализации скрытого сбора переписки (эксфильтрации) или для обхода требований комплаенса и сокрытия активности (например, отключив правило или сменив адрес журналирования). Правило предназначено для выявления изменений конфигурации Exchange Journal Rules (журналирование почты), выполняемых через Exchange PowerShell.	Defense Evasion (TA0005) Collection (TA0009) Email Collection (T1114) Email Forwarding Rule (T1114.003) Impair Defenses (T1562)
RV-D-1173	Изменение политики Microsoft Office OWA в системе Exchange	Атакующие, получившие доступ к привилегированной учетной записи Exchange, могут создавать, изменять или удалять политики OWA с целью ослабления защитных ограничений, повышения удобства эксплуатации скомпрометированных почтовых ящиков или обхода организационных мер безопасности. Например, отключение ограничений на вложения или изменение политики для конкретных пользователей может упростить доставку вредоносных файлов, фишинговых вложений или дальнейшее развитие атаки.	Persistence (TA0003) Defense Evasion (TA0005) Account Manipulation (T1098) Impair Defenses (T1562)
RV-D-1178	Сбор электронной почты в MS Exchange	Атакующие, получившие доступ к учетной записи с достаточными привилегиями, могут злоупотреблять встроенными средствами Exchange для скрытого сбора конфиденциальной информации из почтовых ящиков. В частности, с использованием PowerShell-командлетов возможно выборочно извлекать письма по ключевым словам, временным диапазонам или другим критериям и копировать их в подконтрольный почтовый ящик или экспортировать для последующей эксфильтрации.	Collection (TA0009) Email Collection (T1114) Remote Email Collection (T1114.002)
RV-D-1179	Удаление или размонтирование базы данных в MS Exchange	Атакующие с привилегированной учетной записью Exchange могут удалять или размонтировать базы данных почтовых ящиков, что приводит к потере данных, нарушению работы сервисов и потенциальной утечке информации. Подобные действия могут выполняться через PowerShell-командлеты `Remove-MailboxDatabase` и `Dismount-Database` в Exchange Management Shell или удаленно через административные интерфейсы.	Impact (TA0040) Data Destruction (T1485) Lifecycle-Triggered Deletion (T1485.001) Data Manipulation (T1565) Stored Data Manipulation (T1565.001)
RV-D-1180	Пользователь удалил почтовые ящики в MS Exchange	Атакующие, получившие доступ к привилегированной учетной записи Exchange (или скомпрометировав учетные данные администратора), могут удалять или отключать почтовые ящики пользователей через Exchange PowerShell для сокрытия следов и нарушения доступности корпоративной переписки. Команды `Remove-Mailbox` и `Disable-Mailbox` приводят к потере доступа к содержимому ящика и могут использоваться как точечно (для конкретных сотрудников), так и массово (для дестабилизации работы организации). Правило предназначено для выявления операций удаления/отключения почтовых ящиков, выполняемых через Exchange Management Shell и фиксируемых в журналах выполнения cmdlet (CmdletLogs).	Persistence (TA0003) Impact (TA0040) Account Manipulation (T1098) Data Destruction (T1485) Lifecycle-Triggered Deletion (T1485.001)
RV-D-1182	Пользователь выполнил действие с правилом транспорта в Exchange	Атакующие, получившие доступ к учетной записи с административными или делегированными правами в Microsoft Exchange, могут злоупотреблять правилами транспорта (Transport Rules) для скрытого сбора, перенаправления или модификации электронной почты. Подобные действия могут выполняться через PowerShell-командлеты `New-TransportRule`, `Set-TransportRule` и `Remove-TransportRule` в Exchange Management Shell.	Defense Evasion (TA0005) Collection (TA0009) Email Collection (T1114) Email Forwarding Rule (T1114.003) Hide Artifacts (T1564) Email Hiding Rules (T1564.008)
RV-D-1183	Добавление пользователя в группу рассылки в MS Exchange	Атакующие, получившие доступ к администраторской учетной записи Exchange, могут добавлять пользователей или внешние адреса в группы рассылки, чтобы получить доступ к конфиденциальной переписке или обеспечить скрытую рассылку сообщений. Наиболее часто это выполняется через Exchange Management Shell и фиксируется в журналах выполнения cmdlet (CmdletLogs). Правило выявляет попытки добавления участников в группы рассылки, включая команды `Add-DistributionGroupMember`, `Update-DistributionGroupMember` и `Set-DistributionGroup` с параметрами, связанными с членством.	Persistence (TA0003) Account Manipulation (T1098)
RV-D-1188	Сбор адресов электронной почты из глобального списка	Атакующий, получивший доступ к учетной записи с правами управления Microsoft Exchange (включая делегированные или административные права), может использовать встроенный PowerShell‑командлет `Get-GlobalAddressList` для получения дампа списков адресов Exchange, например глобальных списков адресов (GAL).	Discovery (TA0007) Account Discovery (T1087) Email Account (T1087.003)
RV-D-1189	Удаление политики фильтров ВПО в системе Exchange	Атакующий, получивший доступ к учетной записи с административными правами в Microsoft Exchange, может целенаправленно ослаблять защитные механизмы почтовой инфраструктуры. Одним из таких действий является удаление политики фильтрации вредоносного ПО, что приводит к отключению встроенной фильтрации защиты Exchange. После отключения данной защиты атакующий получает возможность доставлять вредоносные вложения и ссылки без срабатывания стандартных средств фильтрации, а также подготавливать почтовую среду для последующих атак (например, phishing).	Defense Evasion (TA0005) Impair Defenses (T1562) Disable or Modify Tools (T1562.001)
RV-D-1191	Подозрение на эксплуатацию ProxyShell	ProxyShell — общее название для трех уязвимостей в Microsoft Exchange, совокупная эксплуатация которых позволяет удаленному неавторизованному атакующему выполнить произвольный код на уязвимом сервере. Как сообщают исследователи, в настоящее время атакующие пытаются удаленно проэксплуатировать ProxyShell через Client Access Service (CAS), запущенный на порту 443 в Internet Information Services (IIS). Правило выявляет HTTP‑запросы, характерные для попыток эксплуатации ProxyShell, на основе анализа URL‑шаблонов и кодов ответа сервера.	Initial Access (TA0001) Exploit Public-Facing Application (T1190)
RV-D-1211	Успешная эксплуатация ProxyShell	ProxyShell — общее название для трех уязвимостей в Microsoft Exchange, совокупная эксплуатация которых позволяет удаленному неавторизованному атакующему выполнить произвольный код на уязвимом сервере. Как сообщают исследователи, в настоящее время атакующие пытаются удаленно проэксплуатировать ProxyShell через Client Access Service (CAS), запущенный на порту 443 в Internet Information Services (IIS). Правило выявляет HTTP‑запросы, характерные для успешной эксплуатации ProxyShell, на основе анализа URL‑шаблонов и кодов ответа сервера.	Initial Access (TA0001) Exploit Public-Facing Application (T1190)
RV-D-1221	Эксплуатация ProxyLogon в Microsoft Exchange (CVE-2021-27065)	ProxyLogon — это цепочка критических уязвимостей в Microsoft Exchange Server, позволяющая удаленному неаутентифицированному лицу получить административный доступ к серверу и выполнить произвольный код. Эксплуатация уязвимостей осуществляется через компонент Client Access Service (CAS), доступный по HTTPS (порт 443), что делает атаку возможной напрямую из интернета. Данное правило отслеживает именно уязвимость CVE-2021-27065 из цепочки ProxyLogon — наиболее распространенный сценарий атаки, когда атакующий изменяет конфигурацию виртуального каталога OAB для внедрения вредоносного кода или установки веб-шелла на сервере Exchange.	Initial Access (TA0001) Exploit Public-Facing Application (T1190)
RV-D-1227	Эксплуатация уязвимости ProxyNotShell (CVE-2022-41082)	ProxyNotShell — это цепочка уязвимостей в Microsoft Exchange Server, позволяющая удаленному атакующему выполнить произвольный код на сервере после успешной аутентификации. В отличие от ProxyLogon и ProxyShell, эксплуатация ProxyNotShell требует наличия действительных учетных данных, что делает атаку менее «шумной» и усложняет ее обнаружение на ранних этапах. Данное правило выявляет характерную последовательность действий, включающую успешную сетевую аутентификацию по протоколу NTLM к службе IIS (`w3wp.exe`) и последующий запуск интерпретаторов команд `cmd.exe` или `powershell.exe`, инициированный процессом `w3wp.exe` от имени учетной записи SYSTEM. Такая цепочка событий может указывать на выполнение произвольных команд в контексте сервиса Exchange.	Initial Access (TA0001) Exploit Public-Facing Application (T1190)
RV-D-1283	Обнаружение атаки Password Spraying на Exchange	Атакующие могут использовать механизмы аутентификации Microsoft Exchange для подбора учетных данных пользователей с целью получения несанкционированного доступа к почтовым ящикам и связанным сервисам. Данное правило выявляет признаки подбора пароля на основе анализа журналов IIS и фиксирует серию неудачных попыток входа в OWA, превышающую установленный порог в 5 неуспешных аутентификаций для нескольких учетных записей с одного IP-адреса в течение 5 минут.	Credential Access (TA0006) Brute Force (T1110) Password Spraying (T1110.003)
RV-D-1290	Пользователь из черного списка вошел в Exchange	Успешная аутентификация в Exchange с использованием учетной записи из черного списка указывает либо на ошибку в управлении доступом, либо на активное использование скомпрометированных учетных данных. Доступ к Exchange предоставляет атакующему возможность читать и отправлять почту, получать чувствительную информацию и развивать атаку внутри домена.	Initial Access (TA0001) Valid Accounts (T1078) Domain Accounts (T1078.002)
RV-D-1291	Пользователь удалил доверие федерации из организации Exchange	Атакующий, получивший доступ к учетной записи с административными правами в Microsoft Exchange, может целенаправленно изменять доверительные отношения почтовой инфраструктуры с внешними организациями. Одним из таких действий является удаление федеративного доверия (Federation Trust), которое используется для федеративной аутентификации и взаимодействия в гибридных и межорганизационных сценариях.	Defense Evasion (TA0005) Domain or Tenant Policy Modification (T1484) Trust Modification (T1484.002)
RV-D-1293	Пользователь создал/изменил политику назначения ролей управления	Атакующий, получивший доступ к учетной записи с административными правами в Microsoft Exchange, может изменить модель распределения привилегий внутри почтовой инфраструктуры. Одним из таких действий является создание, изменение или расширение политик назначения ролей управления (Role Assignment Policy).	Privilege Escalation (TA0004) Account Manipulation (T1098)
RV-D-1295	Пользователь выполнил действие с ролью управления в Exchange	Атакующий, получивший доступ к учетной записи с административными правами в Microsoft Exchange, может изменять роли управления и состав административных групп (RBAC). Подобные действия позволяют повысить привилегии, закрепиться в системе, получить доступ к чувствительным операциям Exchange или ограничить доступ другим администраторам.	Privilege Escalation (TA0004) Account Manipulation (T1098)
RV-D-1296	Пользователь изменил/удалил критическую группу рассылки	Distribution Groups (группы рассылки) в Microsoft Exchange — это группы Active Directory с поддержкой почты, предназначенные исключительно для доставки электронных сообщений группе получателей (например, почтовые адреса сотрудников или сервисных аккаунтов). Изменение состава, параметров или структуры группы рассылки может привести к несанкционированному доступу к данным, распространяемым по почте. При добавлении своей учетной записи атакующий получает легитимный доступ к сообщениям, адресованным группе получателей. Это позволяет обходить механизмы прямого доступа к почтовым ящикам и получать чувствительную информацию через стандартную рассылку.	Privilege Escalation (TA0004) Impact (TA0040) Account Manipulation (T1098) Account Access Removal (T1531)
RV-D-1297	Массовое удаление групп рассылок Exchange	В Microsoft Exchange группы рассылки (distribution groups) и динамические группы рассылки (dynamic distribution groups) используются для доставки почтовых сообщений группам пользователей и сервисных учетных записей. Такие группы часто задействованы в операционных процессах, служебных уведомлениях, автоматизированных рассылках и взаимодействии между подразделениями. Массовое удаление групп рассылки приводит к немедленному нарушению доставки почты, потере доступа пользователей к служебной информации и сбою бизнес-процессов, зависящих от электронной переписки.	Impact (TA0040) Account Access Removal (T1531)
RV-D-1307	Подбор пароля к учетным записям Exchange	Атакующие могут использовать механизмы аутентификации Microsoft Exchange для подбора учетных данных пользователей с целью получения несанкционированного доступа к почтовым ящикам и связанным сервисам. Данное правило выявляет признаки подбора пароля на основе анализа журналов IIS и фиксирует серию неудачных попыток входа в OWA, превышающую установленный порог в 10 неуспешных аутентификаций для одной учетной записи с одного IP-адреса в течение 5 минут.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1308	Успешный подбор пароля к учетным записям Exchange	Атакующие могут использовать механизмы аутентификации Microsoft Exchange для подбора учетных данных пользователей с целью получения несанкционированного доступа к почтовым ящикам и связанным сервисам. Данное правило выявляет признаки успешного подбора пароля, фиксируя не менее 10 неуспешных попыток входа для одной учетной записи с одного IP-адреса в течение 5 минут, после которых регистрируется успешная попытка. Такая последовательность событий с высокой вероятностью указывает на компрометацию учетной записи.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)

RV-D-1166

Утечка данных через массовую отправку писем

Правило предназначено для выявления аномальных сценариев массовой отправки писем с внутренних учетных записей на один внешний адрес. Такая активность может указывать на компрометацию почтовых ящиков или попытку передачи конфиденциальной информации через почтовые каналы.

Collection (TA0009)
Exfiltration (TA0010)
Exfiltration Over Alternative Protocol (T1048)
Email Collection (T1114)

RV-D-1167

Эксплуатация уязвимости CVE-2024-49040

Правило предназначено для выявления писем, доставленных через Microsoft Exchange, в которых наблюдается расхождение между реальным SMTP‑отправителем (envelope sender, P2 FROM) и адресом, указанным в заголовке From. Атакующие могут намеренно подменять значение заголовка From для маскировки источника письма, имитации доверенных внешних или внутренних отправителей и повышения вероятности успешной фишинговой атаки. В рамках правила анализируются события Message Tracking Logs типа RECEIVE. Детект срабатывает в случаях, когда отображаемый отправитель письма не совпадает с адресом отправителя, использованным на уровне SMTP.

Initial Access (TA0001)
Defense Evasion (TA0005)
Phishing (T1566)
Spearphishing Link (T1566.002)
Email Spoofing (T1672)

RV-D-1171

Попытка выгрузить PST-файлы в MS Exchange

Атакующие могут использовать штатные административные возможности Microsoft Exchange для скрытой эксфильтрации почтовых данных. В частности, командлеты PowerShell New-MailboxExportRequest и Remove-MailboxExportRequest позволяют экспортировать содержимое почтовых ящиков в PST-файлы и одновременно удалять следы этой операции. Такой сценарий не требует уязвимостей и маскируется под легитимную административную деятельность, что делает его особенно опасным.

Defense Evasion (TA0005)
Indicator Removal (T1070)
Clear Mailbox Data (T1070.008)

RV-D-1172

Изменение правила журнала в системе Exchange

Атакующие, получившие доступ к привилегированной учетной записи Exchange, могут создавать, изменять или удалять Journal Rules для реализации скрытого сбора переписки (эксфильтрации) или для обхода требований комплаенса и сокрытия активности (например, отключив правило или сменив адрес журналирования). Правило предназначено для выявления изменений конфигурации Exchange Journal Rules (журналирование почты), выполняемых через Exchange PowerShell.

Defense Evasion (TA0005)
Collection (TA0009)
Email Collection (T1114)
Email Forwarding Rule (T1114.003)
Impair Defenses (T1562)

RV-D-1173

Изменение политики Microsoft Office OWA в системе Exchange

Атакующие, получившие доступ к привилегированной учетной записи Exchange, могут создавать, изменять или удалять политики OWA с целью ослабления защитных ограничений, повышения удобства эксплуатации скомпрометированных почтовых ящиков или обхода организационных мер безопасности. Например, отключение ограничений на вложения или изменение политики для конкретных пользователей может упростить доставку вредоносных файлов, фишинговых вложений или дальнейшее развитие атаки.

Persistence (TA0003)
Defense Evasion (TA0005)
Account Manipulation (T1098)
Impair Defenses (T1562)

RV-D-1178

Сбор электронной почты в MS Exchange

Атакующие, получившие доступ к учетной записи с достаточными привилегиями, могут злоупотреблять встроенными средствами Exchange для скрытого сбора конфиденциальной информации из почтовых ящиков. В частности, с использованием PowerShell-командлетов возможно выборочно извлекать письма по ключевым словам, временным диапазонам или другим критериям и копировать их в подконтрольный почтовый ящик или экспортировать для последующей эксфильтрации.

Collection (TA0009)
Email Collection (T1114)
Remote Email Collection (T1114.002)

RV-D-1179

Удаление или размонтирование базы данных в MS Exchange

Атакующие с привилегированной учетной записью Exchange могут удалять или размонтировать базы данных почтовых ящиков, что приводит к потере данных, нарушению работы сервисов и потенциальной утечке информации. Подобные действия могут выполняться через PowerShell-командлеты Remove-MailboxDatabase и Dismount-Database в Exchange Management Shell или удаленно через административные интерфейсы.

Impact (TA0040)
Data Destruction (T1485)
Lifecycle-Triggered Deletion (T1485.001)
Data Manipulation (T1565)
Stored Data Manipulation (T1565.001)

RV-D-1180

Пользователь удалил почтовые ящики в MS Exchange

Атакующие, получившие доступ к привилегированной учетной записи Exchange (или скомпрометировав учетные данные администратора), могут удалять или отключать почтовые ящики пользователей через Exchange PowerShell для сокрытия следов и нарушения доступности корпоративной переписки. Команды Remove-Mailbox и Disable-Mailbox приводят к потере доступа к содержимому ящика и могут использоваться как точечно (для конкретных сотрудников), так и массово (для дестабилизации работы организации). Правило предназначено для выявления операций удаления/отключения почтовых ящиков, выполняемых через Exchange Management Shell и фиксируемых в журналах выполнения cmdlet (CmdletLogs).

Persistence (TA0003)
Impact (TA0040)
Account Manipulation (T1098)
Data Destruction (T1485)
Lifecycle-Triggered Deletion (T1485.001)

RV-D-1182

Пользователь выполнил действие с правилом транспорта в Exchange

Атакующие, получившие доступ к учетной записи с административными или делегированными правами в Microsoft Exchange, могут злоупотреблять правилами транспорта (Transport Rules) для скрытого сбора, перенаправления или модификации электронной почты. Подобные действия могут выполняться через PowerShell-командлеты New-TransportRule, Set-TransportRule и Remove-TransportRule в Exchange Management Shell.

Defense Evasion (TA0005)
Collection (TA0009)
Email Collection (T1114)
Email Forwarding Rule (T1114.003)
Hide Artifacts (T1564)
Email Hiding Rules (T1564.008)

RV-D-1183

Добавление пользователя в группу рассылки в MS Exchange

Атакующие, получившие доступ к администраторской учетной записи Exchange, могут добавлять пользователей или внешние адреса в группы рассылки, чтобы получить доступ к конфиденциальной переписке или обеспечить скрытую рассылку сообщений. Наиболее часто это выполняется через Exchange Management Shell и фиксируется в журналах выполнения cmdlet (CmdletLogs). Правило выявляет попытки добавления участников в группы рассылки, включая команды Add-DistributionGroupMember, Update-DistributionGroupMember и Set-DistributionGroup с параметрами, связанными с членством.

Persistence (TA0003)
Account Manipulation (T1098)

RV-D-1188

Сбор адресов электронной почты из глобального списка

Атакующий, получивший доступ к учетной записи с правами управления Microsoft Exchange (включая делегированные или административные права), может использовать встроенный PowerShell‑командлет Get-GlobalAddressList для получения дампа списков адресов Exchange, например глобальных списков адресов (GAL).

Discovery (TA0007)
Account Discovery (T1087)
Email Account (T1087.003)

RV-D-1189

Удаление политики фильтров ВПО в системе Exchange

Атакующий, получивший доступ к учетной записи с административными правами в Microsoft Exchange, может целенаправленно ослаблять защитные механизмы почтовой инфраструктуры. Одним из таких действий является удаление политики фильтрации вредоносного ПО, что приводит к отключению встроенной фильтрации защиты Exchange. После отключения данной защиты атакующий получает возможность доставлять вредоносные вложения и ссылки без срабатывания стандартных средств фильтрации, а также подготавливать почтовую среду для последующих атак (например, phishing).

Defense Evasion (TA0005)
Impair Defenses (T1562)
Disable or Modify Tools (T1562.001)

RV-D-1191

Подозрение на эксплуатацию ProxyShell

ProxyShell — общее название для трех уязвимостей в Microsoft Exchange, совокупная эксплуатация которых позволяет удаленному неавторизованному атакующему выполнить произвольный код на уязвимом сервере. Как сообщают исследователи, в настоящее время атакующие пытаются удаленно проэксплуатировать ProxyShell через Client Access Service (CAS), запущенный на порту 443 в Internet Information Services (IIS). Правило выявляет HTTP‑запросы, характерные для попыток эксплуатации ProxyShell, на основе анализа URL‑шаблонов и кодов ответа сервера.

Initial Access (TA0001)
Exploit Public-Facing Application (T1190)

RV-D-1211

Успешная эксплуатация ProxyShell

ProxyShell — общее название для трех уязвимостей в Microsoft Exchange, совокупная эксплуатация которых позволяет удаленному неавторизованному атакующему выполнить произвольный код на уязвимом сервере. Как сообщают исследователи, в настоящее время атакующие пытаются удаленно проэксплуатировать ProxyShell через Client Access Service (CAS), запущенный на порту 443 в Internet Information Services (IIS). Правило выявляет HTTP‑запросы, характерные для успешной эксплуатации ProxyShell, на основе анализа URL‑шаблонов и кодов ответа сервера.

Initial Access (TA0001)
Exploit Public-Facing Application (T1190)

RV-D-1221

Эксплуатация ProxyLogon в Microsoft Exchange (CVE-2021-27065)

ProxyLogon — это цепочка критических уязвимостей в Microsoft Exchange Server, позволяющая удаленному неаутентифицированному лицу получить административный доступ к серверу и выполнить произвольный код. Эксплуатация уязвимостей осуществляется через компонент Client Access Service (CAS), доступный по HTTPS (порт 443), что делает атаку возможной напрямую из интернета. Данное правило отслеживает именно уязвимость CVE-2021-27065 из цепочки ProxyLogon — наиболее распространенный сценарий атаки, когда атакующий изменяет конфигурацию виртуального каталога OAB для внедрения вредоносного кода или установки веб-шелла на сервере Exchange.

Initial Access (TA0001)
Exploit Public-Facing Application (T1190)

RV-D-1227

Эксплуатация уязвимости ProxyNotShell (CVE-2022-41082)

ProxyNotShell — это цепочка уязвимостей в Microsoft Exchange Server, позволяющая удаленному атакующему выполнить произвольный код на сервере после успешной аутентификации. В отличие от ProxyLogon и ProxyShell, эксплуатация ProxyNotShell требует наличия действительных учетных данных, что делает атаку менее «шумной» и усложняет ее обнаружение на ранних этапах. Данное правило выявляет характерную последовательность действий, включающую успешную сетевую аутентификацию по протоколу NTLM к службе IIS (w3wp.exe) и последующий запуск интерпретаторов команд cmd.exe или powershell.exe, инициированный процессом w3wp.exe от имени учетной записи SYSTEM. Такая цепочка событий может указывать на выполнение произвольных команд в контексте сервиса Exchange.

Initial Access (TA0001)
Exploit Public-Facing Application (T1190)

RV-D-1283

Обнаружение атаки Password Spraying на Exchange

Атакующие могут использовать механизмы аутентификации Microsoft Exchange для подбора учетных данных пользователей с целью получения несанкционированного доступа к почтовым ящикам и связанным сервисам. Данное правило выявляет признаки подбора пароля на основе анализа журналов IIS и фиксирует серию неудачных попыток входа в OWA, превышающую установленный порог в 5 неуспешных аутентификаций для нескольких учетных записей с одного IP-адреса в течение 5 минут.

Credential Access (TA0006)
Brute Force (T1110)
Password Spraying (T1110.003)

RV-D-1290

Пользователь из черного списка вошел в Exchange

Успешная аутентификация в Exchange с использованием учетной записи из черного списка указывает либо на ошибку в управлении доступом, либо на активное использование скомпрометированных учетных данных. Доступ к Exchange предоставляет атакующему возможность читать и отправлять почту, получать чувствительную информацию и развивать атаку внутри домена.

Initial Access (TA0001)
Valid Accounts (T1078)
Domain Accounts (T1078.002)

RV-D-1291

Пользователь удалил доверие федерации из организации Exchange

Атакующий, получивший доступ к учетной записи с административными правами в Microsoft Exchange, может целенаправленно изменять доверительные отношения почтовой инфраструктуры с внешними организациями. Одним из таких действий является удаление федеративного доверия (Federation Trust), которое используется для федеративной аутентификации и взаимодействия в гибридных и межорганизационных сценариях.

Defense Evasion (TA0005)
Domain or Tenant Policy Modification (T1484)
Trust Modification (T1484.002)

RV-D-1293

Пользователь создал/изменил политику назначения ролей управления

Атакующий, получивший доступ к учетной записи с административными правами в Microsoft Exchange, может изменить модель распределения привилегий внутри почтовой инфраструктуры. Одним из таких действий является создание, изменение или расширение политик назначения ролей управления (Role Assignment Policy).

Privilege Escalation (TA0004)
Account Manipulation (T1098)

RV-D-1295

Пользователь выполнил действие с ролью управления в Exchange

Атакующий, получивший доступ к учетной записи с административными правами в Microsoft Exchange, может изменять роли управления и состав административных групп (RBAC). Подобные действия позволяют повысить привилегии, закрепиться в системе, получить доступ к чувствительным операциям Exchange или ограничить доступ другим администраторам.

Privilege Escalation (TA0004)
Account Manipulation (T1098)

RV-D-1296

Пользователь изменил/удалил критическую группу рассылки

Distribution Groups (группы рассылки) в Microsoft Exchange — это группы Active Directory с поддержкой почты, предназначенные исключительно для доставки электронных сообщений группе получателей (например, почтовые адреса сотрудников или сервисных аккаунтов). Изменение состава, параметров или структуры группы рассылки может привести к несанкционированному доступу к данным, распространяемым по почте. При добавлении своей учетной записи атакующий получает легитимный доступ к сообщениям, адресованным группе получателей. Это позволяет обходить механизмы прямого доступа к почтовым ящикам и получать чувствительную информацию через стандартную рассылку.

Privilege Escalation (TA0004)
Impact (TA0040)
Account Manipulation (T1098)
Account Access Removal (T1531)

RV-D-1297

Массовое удаление групп рассылок Exchange

В Microsoft Exchange группы рассылки (distribution groups) и динамические группы рассылки (dynamic distribution groups) используются для доставки почтовых сообщений группам пользователей и сервисных учетных записей. Такие группы часто задействованы в операционных процессах, служебных уведомлениях, автоматизированных рассылках и взаимодействии между подразделениями. Массовое удаление групп рассылки приводит к немедленному нарушению доставки почты, потере доступа пользователей к служебной информации и сбою бизнес-процессов, зависящих от электронной переписки.

Impact (TA0040)
Account Access Removal (T1531)

RV-D-1307

Подбор пароля к учетным записям Exchange

Атакующие могут использовать механизмы аутентификации Microsoft Exchange для подбора учетных данных пользователей с целью получения несанкционированного доступа к почтовым ящикам и связанным сервисам. Данное правило выявляет признаки подбора пароля на основе анализа журналов IIS и фиксирует серию неудачных попыток входа в OWA, превышающую установленный порог в 10 неуспешных аутентификаций для одной учетной записи с одного IP-адреса в течение 5 минут.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1308

Успешный подбор пароля к учетным записям Exchange

Атакующие могут использовать механизмы аутентификации Microsoft Exchange для подбора учетных данных пользователей с целью получения несанкционированного доступа к почтовым ящикам и связанным сервисам. Данное правило выявляет признаки успешного подбора пароля, фиксируя не менее 10 неуспешных попыток входа для одной учетной записи с одного IP-адреса в течение 5 минут, после которых регистрируется успешная попытка. Такая последовательность событий с высокой вероятностью указывает на компрометацию учетной записи.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

Была ли полезна эта страница?

Обратная связь