det0476-email-collection-via-local-email-access-and-auto-forwarding-behavior

# DET0476 — Email Collection via Local Email Access and Auto-Forwarding Behavior ## Descrição Emails corporativos são fontes de alto valor para adversários em operações de espionagem, pois contêm comúnicações confidenciais, credenciais compartilhadas, documentos sensíveis e informações estratégicas. A coleta de emails pode ocorrer de duas formas principais: acesso local a arquivos de armazenamento de email (`.pst`, `.ost`, arquivos `mbox`) no sistema comprometido, ou configuração de regras de encaminhamento automático que redirecionam emails para endereços externos controlados pelo adversário. Grupos APT de espionagem corporativa e estatal — como [[g0016-apt29|APT29]] no ataque à SolarWinds, e múltiplos grupos focados no Brasil e LATAM — frequentemente estabelecem encaminhamento automático de email como mecanismo de coleta de inteligência de longo prazo. A regra de encaminhamento pode ser configurada silenciosamente via API do Exchange, EWS (Exchange Web Services), Graph API do Microsoft 365, ou diretamente no cliente Outlook da vítima, e persiste mesmo após a remoção do acesso inicial. A detecção deve cobrir múltiplos vetores: monitorar acesso a arquivos PST/OST por processos não relacionados a clientes de email, alertar sobre criação de regras de encaminhamento para domínios externos, e identificar grandes volumes de download de email via IMAP/EWS/Graph API por identidades ou aplicações incomuns. ## Indicadores de Detecção - Regra de encaminhamento de email criada no Exchange/M365 para endereço externo fora da organização - Acesso a arquivo `.pst` ou `.ost` por processo que não sejá cliente de email legítimo (`outlook.exe`, `thunderbird.exe`) - Download em massa de emails via EWS (`GetItem` com múltiplos `ItemId`) ou Graph API por aplicação recém-registrada - Evento de auditoria do Exchange: `Set-InboxRule` com `-ForwardTo` ou `-RedirectTo` apontando para domínio externo - Aplicação OAuth registrada com permissão `Mail.Read` ou `Mail.ReadWrite` por usuário não-administrador - Uso de `MailItems` ou `Redemption` API por processo de background sem interface gráfica de email ## Técnicas Relacionadas - [[T1114001-local-email-collection|T1114.001 — Local Email Collection]] - [[T1114003-email-forwarding-rule|T1114.003 — Email Forwarding Rule]] - [[t1114-email-collection|T1114 — Email Collection]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] ## Analytics Relacionadas - [[an1309-analytic-1309|AN1309 — Analytic 1309]] - [[an1310-analytic-1310|AN1310 — Analytic 1310]] - [[an1311-analytic-1311|AN1311 — Analytic 1311]] - [[an1312-analytic-1312|AN1312 — Analytic 1312]] --- *Fonte: [MITRE ATT&CK — DET0476](https://attack.mitre.org/detectionstrategies/DET0476)*