Descripción de la Tecnica
Local Email Collection es una técnica del MITRE ATT&CK que describe cómo adversarios pueden recolectar datos de correo electrónico almacenados localmente en sistemas de usuario. Esta técnica se enfoca en obtener información sensible, como correos electrónicos guardados en archivos de almacenamiento local de Outlook (por ejemplo, .ost), o en cachés de cuentas de correo.
El objetivo principal es acceder a datos de correo electrónico que están disponibles en el sistema local del usuario, ya sea mediante archivos de almacenamiento offline de Outlook o mediante la extracción de datos de caché. Este tipo de ataques puede ser parte de una operación más amplia para obtener información sensible.
Como Funciona
La técnica se basa en la capacidad de un adversario para acceder a archivos de almacenamiento local de Outlook, como .ost, que contienen datos de correo electrónico. En versiones posteriores de Outlook (desde 2010), los archivos .ost pueden llegar hasta 50 GB, mientras que las versiones anteriores limitan la capacidad a 20 GB (Citación: Tamaños de archivos Outlook). Esto permite a los atacantes extraer información sensible almacenada en estos archivos.
Además, cuentas IMAP y POP en Outlook 2013 (y versiones anteriores) utilizan archivos .ost, lo que facilita la extracción de datos. La técnica también puede incluir la recuperación de correos electrónicos guardados en cachés del sistema local, especialmente si el usuario no utiliza una conexión remota.
Actores que la Utilizan
No hay actores específicos documentados. La técnica se describe como un patrón de ataque general, pero no se asocia con grupos o entidades específicas en el MITRE ATT&CK. Sin embargo, esta técnica puede ser utilizada por diversos tipos de amenazas, incluyendo ciberdelincuentes o actor nacional.
Detección
La detección de Local Email Collection implica monitorear accesos no autorizados a archivos de almacenamiento local de Outlook (.ost) y verificar cambios anómalos en la configuración de correo electrónico. También se pueden detectar actividades sospechosas relacionadas con la extracción de datos de caché o el acceso a archivos de correo electrónico guardados localmente.
Un signo de compromiso podría ser la presencia de accesos no autorizados a carpetas de correo en el sistema local, o la extracción de datos de correos electrónicos sin permiso del usuario.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles. No se proporcionan valores concretos de IOCs para esta técnica en la información disponible. La técnica se basa en la accesibilidad de archivos locales de Outlook (.ost), pero no existen datos públicos específicos que puedan ser usados como indicadores de compromiso.
Mitigación
Para mitigar el riesgo asociado a Local Email Collection, se recomienda: - Proteger los archivos de almacenamiento local de Outlook con permisos estrictos y evitar accesos no autorizados. - Encriptar datos sensibles almacenados en el sistema local, especialmente en archivos de correo electrónico. - Realizar auditorías periódicas para monitorear cambios anómalos en la configuración de correo y el acceso a archivos locales. - Actualizar regularmente las aplicaciones de correo electrónico y sistemas operativos para corregir vulnerabilidades potenciales.