det0048-detect-remote-email-collection-via-abnormal-login-and-programmatic-acces

# DET0048 — Detect Remote Email Collection via Abnormal Login and Programmatic Access ## Descrição Esta estratégia detecta acesso remoto a caixas de correio corporativas via protocolos programáticos (Exchange Web Services, Graph API, IMAP/POP3) ou logins anômalos a webmail e serviços cloud de e-mail (Office 365, Google Workspace). Adversários com credenciais válidas frequentemente exploram esse vetor para exfiltrar comúnicações sem acionar alertas de endpoint, pois o acesso ocorre diretamente na infraestrutura de e-mail. Alinhada a [[T1114.002-email-collection-remote-email-collection]], a técnica é comum em campanhas de BEC (Business Email Compromise) e espionagem corporativa. Indicadores incluem: logins de IPs geograficamente incomuns, uso de protocolos legados (IMAP/POP3) em organizações que os desabilitaram, acesso programático via OAuth com escopos de leitura de e-mail, e download em massa de mensagens via regras de encaminhamento ou sincronização de pasta. A detecção requer correlação entre logs de autenticação (Azure AD, Google Workspace Admin), logs de acesso a EWS/Graph API, e comportamento de acesso histórico do usuário. Sinais como acesso fora do horário habitual, volume incomum de mensagens lidas por sessão, e criação de regras de encaminhamento para endereços externos são os indicadores mais relevantes. ## Indicadores de Detecção - Login em webmail ou cliente de e-mail de IP em país diferente do histórico do usuário - Uso de EWS ou Graph API com escopo `Mail.Read` ou `Mail.ReadAll` por aplicação não aprovada - Criação de regra de encaminhamento (`InboxRule`) para endereço externo via PowerShell ou EWS - Download de mais de 500 mensagens em uma única sessão fora do horário comercial - Autenticação via protocolo legado (SMTP AUTH, IMAP básico) em conta com MFA habilitado ## Técnicas Relacionadas - [[T1114.002-email-collection-remote-email-collection]] — técnica primária detectada - [[T1114.003-email-collection-email-forwarding-rule]] — regras de encaminhamento maliciosas - [[t1078-valid-accounts|T1078-valid-accounts]] — uso de credenciais legítimas comprometidas - [[T1550.001-use-alternate-authentication-material-application-access-token]] — tokens OAuth abusados - [[T1071.003-application-layer-protocol-mail-protocols]] — uso de protocolos de e-mail para C2 ## Analytics Relacionadas - [[an0131-analytic-0131|AN0131 — Analytic 0131]] - [[an0132-analytic-0132|AN0132 — Analytic 0132]] --- *Fonte: [MITRE ATT&CK — DET0048](https://attack.mitre.org/detectionstrategies/DET0048)*