Descripción de la Tecnica
Email Hiding Rules es una técnica de ciberseguridad que describe cómo atacantes pueden utilizar reglas de correo electrónico para ocultar mensajes entrantes en una bandeja de entrada comprometida. Los clientes de correo electrónico permiten a los usuarios crear reglas para funciones como mover correos a otras carpetas, marcar correos como leídos o eliminar correos. Los atacantes pueden modificar estas reglas para suprimir mensajes sospechosos y evitar su detección por parte del usuario o sistemas de seguridad.
¿Cómo Funciona?
Los atacantes aprovechan las funcionalidades de los clientes de correo electrónico para crear o modificar reglas que actúan como una capa de filtraje. Por ejemplo, podrían configurar reglas que marquen correos electrónicos como "leídos" o los muevan a una carpeta específica, evitando que el usuario los vea. Esta técnica se implementa mediante comandos como New-InboxRule o Set-InboxRule en PowerShell, permitiendo a los atacantes manipular dinamicamente las reglas de un entorno Windows.
Actores que la Utilizan
No se disponen de datos públicos sobre actores específicos que utilicen esta técnica. Sin embargo, es una práctica común entre amenazas de alto nivel que buscan mantener el acceso a sistemas comprometidos mediante técnicas de evasión de detección.
Detección
La detección implica monitorear cambios anómalos en las reglas de correo electrónico y verificar comandos sospechosos en PowerShell. Se deben buscar patrones como: - Reglas que supriman correos electrónicos sin interacción del usuario - Comandos no estándar para modificar reglas de inbox - Correos electrónicos movidos a carpetas específicas sin justificación lógica La audita regular de configuraciones de correo electrónico y la supervisión de actividades en sistemas Windows también son clave.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Las mitigaciones incluyen: - Revisar periódicamente las reglas de correo electrónico para detectar modificaciones no autorizadas. - Restringir el uso de PowerShell en entornos críticos y monitorear comandos no estándar. - Implementar políticas de seguridad que limiten la capacidad de los usuarios para crear o modificar reglas de inbox. - Capacitar a los usuarios para reportar comportamientos inusuales en su bandeja de entrada.