# Ruler > Tipo: **tool** · S0358 · [MITRE ATT&CK](https://attack.mitre.org/software/S0358) ## Descrição [[s0358-ruler|Ruler]] é uma ferramenta open source desenvolvida pela SensePost para pesquisa de segurança e red team, focada em abusar de funcionalidades do Microsoft Exchange e Outlook. Está disponível no GitHub e interage com Exchange via MAPI-over-HTTP ou RPC. Os criadores também desenvolveram NotRuler como ferramenta defensiva complementar para detectar o uso malicioso do Ruler. Em operações ofensivas, o [[s0358-ruler|Ruler]] permite que atacantes com credenciais de Exchange válidas (mas não necessáriamente acesso administrativo) criem regras Outlook maliciosas que executam código quando um e-mail específico é recebido, injetem formulários Outlook personalizados com código VBA nos mailboxes de outras contas, e modifiquem a página inicial do Outlook para carregar conteúdo remoto com macros. Essas técnicas (T1137.003, T1137.004, T1137.005) permitem persistência e execução de código remoto através de um vetor inesperado - o servidor de e-mail corporativo. O [[g0064-apt33|APT33]] (Irã) utilizou Ruler em campanhas de espionagem para estabelecer persistência em ambientes Exchange comprometidos. O uso de credenciais válidas de Exchange e a exploração de funcionalidades legítimas do Outlook tornam o Ruler particularmente difícil de detectar por controles de segurança tradicionais. A detecção requer monitoramento de criação de regras Outlook incomuns e auditoria de acesso a mailboxes via Exchange audit logs. **Plataformas:** Windows, Office Suite ## Técnicas Utilizadas - [[t1137-005-outlook-rules|T1137.005 - Outlook Rules]] - [[t1137-003-outlook-forms|T1137.003 - Outlook Forms]] - [[t1137-004-outlook-home-page|T1137.004 - Outlook Home Page]] - [[t1087-003-email-account|T1087.003 - Email Account]] ## Grupos que Usam - [[g0064-apt33|APT33]] ## Detecção **Fontes de dados recomendadas:** - **Exchange Message Tracking / Audit Logs:** Criação de regras Outlook via MAPI por cliente não reconhecido (Ruler usa User-Agent identificável) ou para ações incomuns (executar script, abrir arquivo externo) - **Sysmon Event ID 1 (ProcessCreaté):** Execução de `ruler.exe` com parâmetros `--email`, `--rules`, `--forms` ou `--homepage` - indica operação ativa - **Exchange Server Logs:** Acesso via MAPI-over-HTTP a mailboxes de outras contas (cross-account access) que não corresponde ao padrão normal de delegação **Regras de detecção:** - NotRuler: Ferramenta defensiva criada pelos próprios autores do Ruler para detectar regras e formulários Outlook maliciosos - executar regularmente em ambientes Exchange - Sigma: `proc_creation_win_ruler_exchange.yml` - detecta execução do Ruler com parâmetros de ataque (SigmaHQ) - Exchange PowerShell: `Get-InboxRule -Mailbox * | Where-Object {$_.MoveToFolder -ne $null -or $_.ForwardTo -ne $null}` - auditar regras suspeitas em todos os mailboxes ## Relevância LATAM/Brasil [[g0064-apt33|APT33]] representa ameaça para organizações brasileiras do setor de energia e petróleo - setores estratégicos onde o Irã demonstra interesse de espionagem. O Microsoft Exchange on-premises ainda é amplamente utilizado por empresas brasileiras de médio e grande porte, e a ausência de patches atualizados e auditoria de regras Outlook torna esses ambientes vulneráveis ao Ruler. Em investigações de compromisso de Exchange no Brasil, regras Outlook maliciosas são frequentemente descobertas como mecanismo de persistência - muitas vezes passando despercebidas por meses. ## Referências - [MITRE ATT&CK - S0358](https://attack.mitre.org/software/S0358)