检测/防止恶意outlook规则

Question

攻击者喜欢为各种目的滥用Outlook。例如，攻击者可以通过创建客户端规则将电子邮件自动转发到远程地址，或者在网络中持久化，在用户收到电子邮件时执行恶意程序/脚本。是否有方法查询存储在Exchange中的Outlook规则，以检测潜在的恶意规则？是否有可能阻止某些Outlook规则类型(例如执行程序/脚本)？

Answer 1

In Exchange

在PowerShell (当然！)中，有一些方便的Get-InboxRule Technet链接Technet链接。我说得有点方便，因为它只能查询单个邮箱。

• 这可以用于检查单个邮箱(财务用户、管理人员、具有特权访问权限的用户等)。
• 还可以使用循环和管道来迭代数组，例如来自CSV的数组。

由于您正在尝试检测特定类型的规则(泄漏组织之外的信息)，我建议您查找一些特定的规则属性。

• DeleteMessage =真
• ForwardAsAttachmentTo =(非空)
• ForwardTo =(非空)

也许还有其他与你相关的东西。使用Get-InboxRule -Mailbox alias@domain.com | FL列出所有属性，或引用链接的Technet文章。

并非所有规则都在Exchange中。*(

)

这是真的!某些规则类型仅在Outlook客户端中。这个链接提供了关于更难以跟踪的规则类型的指导。

Answer 2

我现在知道的最好的解决方案是使用工具NotRuler。此外，一个半生不熟的解决方案是提取存储规则操作二进制blob的二进制blob (一个例子是使用找到这里 )，然后在规则操作的二进制blob上运行字符串，并查找任何可疑的字符串(运行字符串是分析二进制块的一种很麻烦的方法，因为blob的结构没有文档化)。