# T1114.001 - Local Email Collection ## Descrição Adversários comprometidos em um sistema Windows coletam arquivos de dados de e-mail armazenados localmente para extrair comúnicações internas, credenciais, contratos, informações estratégicas e outros dados sensíveis. O alvo principal são os arquivos gerados pelo **Microsoft Outlook**: arquivos `.OST` (Offline Storage Table) e `.PST` (Personal Storage Table), que contêm caixas de entrada completas, calendários, contatos e e-mails enviados - mesmo quando o usuário está offline. No contexto **brasileiro e latino-americano**, o Microsoft Outlook é o cliente de e-mail corporativo dominante. Bancos, operadoras de saúde, agências governamentais e escritórios de advocacia armazenam localmente anos de comúnicações críticas nesses arquivos. O grupo [[g1039-redcurl|RedCurl]], especializado em espionagem corporativa, tem como assinatura exatamente a coleta de arquivos `.PST` de executivos e advogados em suas campanhas - com alvos documentados no Brasil. Os arquivos `.OST` ficam em `C:\Users\<usuário>\AppData\Local\Microsoft\Outlook\` e os `.PST` em `C:\Users\<usuário>\Documents\Outlook Files\`. Um único arquivo `.OST` pode conter até 50 GB de dados (Outlook 2010+), tornando o acesso a ele extremamente valioso para o adversário. > **Técnica pai:** [[t1114-email-collection|T1114 - Email Collection]] --- ## Attack Flow ```mermaid graph TB A([Acesso Inicial]) --> B[Execução de Código<br/>ou Acesso Remoto] B --> C[Enumeração de<br/>Arquivos OST/PST] C --> D{Localização dos\narquivos de e-mail} D --> E["C:\Users\...\AppData\Local\Microsoft\Outlook\*.ost"] D --> F["C:\Users\...\Documents\Outlook Files\*.pst"] E --> G(["T1114.001 - Local Email Collection<br/>(COLETAR)"]):::highlight F --> G G --> H[Cópia para<br/>Diretório de Staging] H --> I[Compressão e<br/>Exfiltração] style G fill:#e74c3c,color:#fff ``` --- ## Como Funciona **Passo 1 - Localização dos Arquivos de E-mail** Após obter execução de código no sistema da vítima - via [[t1566-phishing|Phishing]], [[t1059-command-and-scripting-interpreter|Command and Scripting Interpreter]] ou acesso remoto legítimo abusado - o adversário enumera o sistema de arquivos em busca dos arquivos de dados do Outlook. Comandos como `dir /s /b *.ost *.pst` ou consultas ao registro do Windows (`HKCU\Software\Microsoft\Office\...\Outlook\Profiles`) revelam os caminhos exatos. Ferramentas como [[s0192-pupy|Pupy]] e [[s0363-empire|Empire]] automatizam essa fase. **Passo 2 - Cópia e Staging dos Arquivos** Os arquivos `.OST`/`.PST` - potencialmente com dezenas de gigabytes - são copiados para um diretório de staging controlado pelo adversário, geralmente em `%TEMP%` ou em um compartilhamento de rede acessível. Arquivos `.OST` em uso pelo Outlook ativo podem ser copiados com ferramentas que ignoram travamentos de arquivo (shadow copy, raw disk access). O [[g0008-carbanak|Carbanak]] e o [[s0650-qakbot|QakBot]] possuem módulos específicos para esse tipo de coleta em ambientes bancários. **Passo 3 - Exfiltração e Análise** Após o staging, os arquivos são comprimidos (frequentemente com senha) e exfiltrados via [[t1041-exfiltration-over-c2-channel|canal C2]], HTTPS para infraestrutura controlada ou serviços de nuvem legítimos. Fora do ambiente da vítima, o adversário usa ferramentas gratuitas como Kernel OST Viewer ou Microsoft MFCMAPI para analisar o conteúdo sem precisar do Outlook instalado - buscando credenciais, dados financeiros, comúnicações com advogados e planos estratégicos. --- ## Detecção ### Event IDs Relevantes (Windows) | Event ID | Canal | Indicador de Comprometimento | |---|---|---| | **4663** | Security | Acesso a arquivo `.ost` ou `.pst` por processo não-Outlook (ex.: `cmd.exe`, `powershell.exe`, `robocopy.exe`) | | **4656** | Security | Solicitação de handle para arquivo de dados Outlook por processo suspeito | | **4688** | Security | Criação de processo com linha de comando contendo `*.ost`, `*.pst` ou caminhos do Outlook | | **11** (Sysmon) | Microsoft-Windows-Sysmon/Operational | FileCreaté - criação de cópia de `.ost`/`.pst` fora do diretório padrão do Outlook | | **23** (Sysmon) | Microsoft-Windows-Sysmon/Operational | FileDelete de arquivo `.ost`/`.pst` após cópia (limpeza de rastros) | ### Regra Sigma ```yaml title: Acesso Suspeito a Arquivo de Dados do Outlook (OST/PST) id: 7b9e4c23-1f3d-4a8b-9c7e-2d5f8a1b3e6c status: experimental description: > Detecta acesso a arquivos .ost ou .pst do Outlook por processos que não sejam o próprio OUTLOOK.EXE, indicando possível coleta local de e-mails (T1114.001). author: RunkIntel daté: 2026-03-24 logsource: product: windows category: file_access detection: selection: TargetFilename|contains: - '.ost' - '.pst' - 'Outlook Files' - 'AppData\Local\Microsoft\Outlook' filter_outlook: Image|endswith: '\OUTLOOK.EXE' filter_system: Image|startswith: - 'C:\Windows\System32\' - 'C:\Windows\SysWOW64\' condition: selection and not filter_outlook and not filter_system falsepositives: - Ferramentas de backup legítimas (Veeam, Backup Exec) acessando arquivos PST - Migrações de e-mail autorizadas pelo time de TI - Scripts de arquivamento corporativo level: high tags: - attack.collection - attack.t1114.001 ``` --- ## Mitigação | Controle | Mitigação MITRE | Aplicação para Organizações Brasileiras | |---|---|---| | Canal de comunicação alternativo | [[m1060-out-of-band-communications-channel\|M1060 - Out-of-Band Commúnications Channel]] | Para comúnicações altamente sensíveis (board, jurídico, M&A), usar canais criptografados fora do Outlook - ex.: Signal corporativo ou plataformas com criptografia ponta-a-ponta. Obrigação reforçada pela LGPD para dados pessoais sensíveis. | | Criptografia de dados | [[m1041-encrypt-sensitive-information\|M1041 - Encrypt Sensitive Information]] | Habilitar BitLocker em todos os endpoints Windows para que arquivos `.OST`/`.PST` sejam inacessíveis sem a chave de disco. Implementar DLP (Data Loss Prevention) que bloqueie cópia de arquivos Outlook para mídias removíveis ou uploads não autorizados. | | Monitoramento de endpoints | - | Implantar EDR (CrowdStrike, Defender for Endpoint, SentinelOne) com regras específicas para acesso a arquivos `.ost`/`.pst` por processos não-Outlook. Integrar alertas ao SOC com SLA de resposta de 30 minutos para alertas de nível alto. | | Política de retenção | - | Limitar o período de retenção local de e-mails (ex.: 90 dias) e mover histórico para Exchange Online / Microsoft 365 com controles de acesso por escopo. Reduz o volume de dados disponível em um único arquivo `.OST`. | | Acesso condicional | - | Aplicar Microsoft Conditional Access para bloquear Outlook de dispositivos não gerenciados. Exigir dispositivos registrados no Intune (MDM) para acesso ao Exchange - reduz risco de comprometimento de endpoints pessoais. | --- ## Threat Actors que Usam ### [[g1039-redcurl|RedCurl]] O [[g1039-redcurl|RedCurl]] é o grupo que mais exemplifica o uso de T1114.001 em operações de espionagem corporativa. Com foco em roubo de documentos internos - contratos, processos judiciais, registros de RH - o grupo coleta sistematicamente arquivos `.PST` de advogados e executivos. Campanhas documentadas incluem alvos no Brasil, Rússia, Reino Unido e Canadá. O grupo usa ferramentas customizadas para copiar e exfiltrar os arquivos sem acionar alertas de DLP. ### [[g0006-apt1|APT1]] O [[g0006-apt1|APT1]] (Comment Crew), grupo de espionagem chinês, utilizou coleta de e-mails locais extensivamente em campanhas contra empresas de infraestrutura crítica e manufatura. Documentado pelo Mandiant em 2013, o grupo copiava arquivos `.PST` inteiros e os exfiltrava para servidores C2 na China. ### [[g0059-magic-hound|Magic Hound]] O [[g0059-magic-hound|Magic Hound]] (APT35, Charming Kitten), grupo iraniano, usa coleta de e-mails locais como parte de campanhas de espionagem contra jornalistas, ativistas e funcionários governamentais. Relevante para organizações brasileiras com conexões no Oriente Médio ou que atuam em setores de petróleo e gás. ### [[g1035-winter-vivern|Winter Vivern]] O [[g1035-winter-vivern|Winter Vivern]] combina T1114.001 com [[t1056-003-web-portal-capture|Web Portal Capture]] em campanhas que visam entidades governamentais europeias e organizações de segurança internacional. --- ## Software Associado | Software | Tipo | Uso em T1114.001 | |---|---|---| | [[s0650-qakbot\|QakBot]] | Malware | Módulo de coleta de e-mails que extrai dados do Outlook e os envia ao C2 | | [[g0008-carbanak\|Carbanak]] | Malware | Usado em ataques a bancos; coleta e-mails de executivos financeiros para reconhecimento | | [[s0363-empire\|Empire]] | Framework ofensivo | Módulo `collection/email` automatiza busca e staging de arquivos OST/PST | | [[s0192-pupy\|Pupy]] | RAT | Plugin `email` coleta e-mails do Outlook de sistemas Windows comprometidos | | [[s0050-cosmicduke\|CosmicDuke]] | Malware | Implante APT com capacidade de roubar dados do Outlook, incluindo contatos e e-mails | | [[s0526-kghspy\|KGH_SPY]] | Malware | Módulo de roubo de credenciais e e-mails de sistemas Windows; usado pelo Kimsuky | | [[s1142-lunarmail\|LunarMail]] | Malware | Backdoor que usa contas Outlook comprometidas como canal C2 e coleta e-mails locais | | [[s0594-out1\|Out1]] | Ferramenta | Utilitário de coleta de dados do Outlook - acessa arquivos PST/OST diretamente | | [[smoke-loader\|Smoke Loader]] | Loader | Carrega módulos de coleta de e-mails como payload secundário | | [[crimson\|Crimson]] | Malware | RAT do APT36 com módulo de coleta de e-mails; relevante para alvos com conexões sul-asiáticas | --- *Fonte: [MITRE ATT&CK - T1114.001](https://attack.mitre.org/techniques/T1114/001)*