det0095-detect-persistence-via-malicious-outlook-rules

# DET0095 — Detect Persistence via Malicious Outlook Rules ## Descrição Esta estratégia detecta o abuso de regras do Microsoft Outlook como mecanismo de persistência e execução. Adversários com acesso à caixa de correio de uma vítima — via comprometimento de credencial, token OAuth roubado ou acesso físico — criam regras que acionam ações maliciosas (executar aplicativo, mover mensagens, reproduzir som) quando e-mails com determinados atributos chegam. Esta técnica sobrevive a reinicializações e reinstalações do Outlook se as regras forem armazenadas no servidor (Exchange/Office 365). Os indicadores primários incluem: criação de regras que executam programas (`PR_RULE_MSG_ACTIONS` com tipo `OP_DEFER_ACTION`), regras com condições trigger em assuntos específicos sugestivos de trigger on-demand (ex: "execute now", strings aleatórias), e criação de regras por contas de serviço ou fora do cliente Outlook padrão (via MAPI direto ou EWS). Logs de Exchange/O365 (Management Activity API) são a fonte principal. A ferramenta `Ruler` (frequentemente usada em red teams e pelo [[g0046-fin7]]) automatiza a criação de regras maliciosas via MAPI. A detecção via análise de `OutlookRules.rwz` ou auditoria do Exchange para `New-InboxRule` com parâmetro `-RunApplication` é eficaz. A estratégia deve correlacionar criação de regra com acesso recente incomum à caixa de correio (novo IP, user-agent não reconhecido). ## Indicadores de Detecção - Criação de `New-InboxRule` no Exchange/O365 com parâmetros `-RunApplication` ou `-Forward` - Regras com triggers em palavras-chave altamente específicas e não intuitivas no assunto - Acesso à caixa de correio via MAPI, EWS ou OWA de IP não associado ao usuário seguido de criação de regra - Modificação de `OutlookRules.rwz` por processos não-Outlook - Regras que redirecionam e-mails de segurança para pasta de lixo (comum em BEC) - Execução de aplicativos a partir de regras do Outlook apontando para caminhos `%TEMP%` ou `%APPDATA%` ## Técnicas Relacionadas - [[t1137005-office-application-startup-outlook-rules]] — Técnica principal - [[t1137-office-application-startup]] — Categoria pai - [[t1078-valid-accounts]] — Credenciais usadas para acesso à caixa de correio - [[t1114-email-collection]] — Coleta de e-mails frequentemente combinada - [[t1534-internal-spearphishing]] — Spearphishing interno via regras de redirecionamento ## Analytics Relacionadas - [[an0263-analytic-0263|AN0263 — Analytic 0263]] - [[an0264-analytic-0264|AN0264 — Analytic 0264]] --- *Fonte: [MITRE ATT&CK — DET0095](https://attack.mitre.org/detectionstrategies/DET0095)*