det0266-behavioral-detection-of-mailbox-data-and-log-deletion-for-anti-forensics

# DET0266 — Behavioral Detection of Mailbox Data and Log Deletion for Anti-Forensics ## Descrição Esta estratégia detecta a exclusão maliciosa de dados de caixa de correio e logs de auditoria de e-mail como técnica anti-forense para encobrir BEC (Business Email Compromise), espionagem ou pós-comprometimento de contas de e-mail. Adversários que comprometem contas Exchange/M365 frequentemente excluem e-mails enviados, rules de encaminhamento criadas e logs de acesso para dificultar a investigação forense. O padrão de ataque inclui: criação de regras de inbox que redirecionam e-mails para pastas ocultas ou deletam automaticamente, exclusão em massa de itens da pasta Sent Items, e apagamento de logs de auditoria do Unified Audit Log no M365. A correlação entre criação de regras de inbox e exclusão de mensagens é um forte indicador de BEC em andamento. A telemetria requer ativação do Unified Audit Log no M365 (obrigatório), alertas para operações `HardDelete` em massa, monitoramento de criação de regras de inbox (`InboxRuleCreated`), e detecção de acesso de IPs externos não autorizados seguido de exclusão. ## Indicadores de Detecção - Operação `HardDelete` de > 50 itens de e-mail por conta em < 10 minutos - Criação de regra de inbox que move ou deleta e-mails contendo palavras-chave específicas - Acesso ao mailbox de IP externo (não corporativo) seguido de exclusão de itens de Sent Items - Uso de `Remove-InboxRule` ou `Set-InboxRule` para desabilitar regras de encaminhamento recém-criadas (cobertura de rastros) - Exclusão de itens do calendário ou contatos em massa por conta sem histórico dessa ação - Operação `MessageBind` (acesso a e-mails) seguida imediatamente de `HardDelete` pelo mesmo usuário ## Técnicas Relacionadas - [[T1070.008-email-hiding-rules|T1070.008 — Email Hiding Rules]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1114-email-collection|T1114 — Email Collection]] - [[T1564.008-email-hiding-rules|T1564.008 — Email Hiding Rules]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] ## Analytics Relacionadas - [[an0737-analytic-0737|AN0737 — Analytic 0737]] - [[an0738-analytic-0738|AN0738 — Analytic 0738]] - [[an0739-analytic-0739|AN0739 — Analytic 0739]] - [[an0740-analytic-0740|AN0740 — Analytic 0740]] --- *Fonte: [MITRE ATT&CK — DET0266](https://attack.mitre.org/detectionstrategies/DET0266)*