det0373-detection-strategy-for-addition-of-email-delegate-permissions

# DET0373 — Detection Strategy for Addition of Email Delegate Permissions ## Descrição A adição maliciosa de permissões de delegação em caixas de email é uma técnica de coleta de informações e acesso persistente que permite ao adversário ler, enviar e gerenciar e-mails de vítimas sem acesso direto às suas credenciais. Após comprometer uma conta com privilégios de administrador de Exchange/Microsoft 365 ou a própria conta do alvo, o adversário adiciona permissões de `Full Access`, `Send As`, ou `Send on Behalf` para uma conta controlada por ele. Grupos de espionagem como [[g0016-apt29|APT29]] (Cozy Bear) documentadamente utilizaram delegações de email em operações contra organizações governamentais e do setor de defesa. A técnica é especialmente sigilosa porque: as delegações são configurações legítimas de email frequentemente usadas por assistentes executivos e equipes, os logs relevantes nem sempre são monitorados ativamente, e o acesso delegado não aparece em auditorias de login da conta alvo. Em ambientes Microsoft 365, o monitoramento requer habilitação explícita de logs de auditoria unificados (Unified Audit Log) e alertas específicos para operações de permissão de mailbox. A detecção correlaciona logs do Exchange/M365 Unified Audit Log para operações `Add-MailboxPermission`, `Add-RecipientPermission`, `Set-MailboxFolderPermission` e `Add-FolderPermission`, especialmente quando realizadas fora do horário comercial ou por contas sem histórico de tais operações. ## Indicadores de Detecção - `Add-MailboxPermission` ou `Add-RecipientPermission` executados via PowerShell fora de janela de mudança aprovada - Delegação adicionada para conta externa (fora do domínio corporativo) - `FullAccess` concedido a mailbox de C-level ou RH por conta de baixo privilégio - Múltiplas delegações adicionadas em sequência por uma única conta em menos de 10 minutos - Delegação adicionada e seguida imediatamente por acesso ao mailbox via conta delegada - Operações de delegação em horário fora do padrão de trabalho do administrador executor ## Técnicas Relacionadas - [[t1114-email-collection|T1114 — Email Collection]] - [[T1098002-additional-email-delegate-permissions|T1098.002 — Additional Email Delegate Permissions]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] ## Analytics Relacionadas - [[an1051-analytic-1051|AN1051 — Analytic 1051]] - [[an1052-analytic-1052|AN1052 — Analytic 1052]] --- *Fonte: [MITRE ATT&CK — DET0373](https://attack.mitre.org/detectionstrategies/DET0373)*