t1070-008-clear-mailbox-data

# T1070.008 - Clear Mailbox Data ## Técnica Pai Esta é uma sub-técnica de [[t1070-indicator-removal|T1070 - T1070 - Indicator Removal]]. ## Descrição A manipulação e exclusão de dados de caixa de e-mail é uma técnica de anti-forense utilizada por adversários para remover evidências de suas atividades após o comprometimento de sistemas de e-mail corporativo. Diferente da limpeza de logs de sistema operacional, o apagamento de dados de mailbox opera em uma camada distinta - eliminando mensagens, metadados de cabeçalhos, logs de auditoria de acesso e registros de exportação que poderiam revelar vetores de ataque, exfiltração de dados ou comúnicações de comando e controle. Em ambientes Microsoft Exchange e Microsoft 365, adversários com acesso privilegiado utilizam o módulo `ExchangePowerShell` via [[t1059-001-powershell|PowerShell]] para remover evidências: o cmdlet `Remove-MailboxExportRequest` apaga registros de exportações de caixas postais, enquanto `Search-Mailbox -DeleteContent` permite remoção seletiva de mensagens. Adversários também manipulam regras de transporte (transport rules) em nível organizacional para remover automaticamente e-mails de phishing já entregues antes que a equipe de segurança os identifique - técnica documentada em operações do [[g1044-apt42|APT42]]. Em sistemas Linux e macOS, utilitários como `mail` e [[t1059-002-applescript|AppleScript]] são usados para interagir com APIs de clientes de e-mail e deletar itens selecionados. No contexto do Brasil e da América Latina, o e-mail corporativo segue sendo o principal vetor de [[t1566-phishing|Phishing]] e [[t1534-internal-spearphishing|Internal Spearphishing]] em campanhas bem-sucedidas contra o setor financeiro, governo e energia. Grupos como o [[g1015-scattered-spider|Scattered Spider]] - documentado em ataques de engenharia social sofisticada nos EUA com padrões replicáveis na LATAM - apagam e-mails de phishing entregues, respostas de vítimas e comúnicações com help desk após o comprometimento inicial, destruindo evidências cruciais para investigação de incidentes. **Contexto Brasil/LATAM:** Empresas brasileiras de médio porte que operam Microsoft 365 sem auditoria de mailbox habilitada são alvos prefernciais: ao apagar e-mails de phishing após o comprometimento e remover logs de exportação de dados, atacantes garantem que investigações internas encontrem apenas rastros parciais. O [[g1044-apt42|APT42]], grupo iraniano com histórico de operações contra organizações governamentais e ONGs no Oriente Médio que demonstra interesse crescente em alvos latino-americanos, utiliza a limpeza de mailbox para encobrir campanhas de [[t1114-email-collection|Email Collection]] de longa duração - às vezes operando por meses sem detecção justamente pela ausência de evidências no próprio sistema de e-mail comprometido. ## Attack Flow ```mermaid graph TB A([Comprometimento de Conta]) --> B([Coleta de E-mails]) B --> C([Remoção de Evidências de Mailbox]):::highlight C --> D([Eliminação de Logs de Exportação]):::highlight D --> E([Persistência Encoberta]) classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona ### 1. Preparação O adversário obtém acesso privilegiado à plataforma de e-mail - tipicamente via credenciais comprometidas (uso de [[t1078-valid-accounts|Valid Accounts]]), token de acesso OAuth roubado ou exploração de configuração incorreta de permissões. Em ambientes Exchange/M365, o acesso com permissão `Full Access` a uma mailbox ou role `Organization Management` é suficiente para executar todas as etapas seguintes. Antes de iniciar a limpeza, o atacante frequentemente realiza [[t1114-email-collection|Email Collection]] - exportando comúnicações sensíveis, credenciais em texto claro e informações estratégicas para um repositório externo. ### 2. Execução A remoção de evidências ocorre em múltiplas camadas para maximizar a eficácia anti-forense: - **Remoção de mensagens de phishing entregues:** `Search-Mailbox -SearchQuery "subject:'Urgent: Account Verification'" -DeleteContent` remove mensagens comprometedoras de todas as caixas de usuários da organização - **Apagamento de logs de exportação:** `Remove-MailboxExportRequest -Identity <RequestID>` elimina registros de exportações realizadas durante a fase de coleta - **Manipulação de transport rules:** criação e posterior deleção de regras que redirecionaram ou apagaram e-mails suspeitos automaticamente, usando `New-TransportRule` seguido de `Remove-TransportRule` - **Limpeza de logs de auditoria de acesso:** em configurações sem auditoria centralizada, `Set-Mailbox -AuditEnabled $false` desabilita o log de auditoria da caixa alvo antes das operações - Em sistemas Linux/macOS, uso do utilitário `mail` com pipes para seleção e deleção de mensagens específicas, ou [[t1059-002-applescript|AppleScript]] para controle programático de clientes como Mail.app ### 3. Pós-execução Com as evidências primárias apagadas, o adversário mantém acesso persistente à infraestrutura de e-mail sem que os registros das operações anteriores sejam detectáveis na plataforma local. Ferramentas como [[s1142-lunarmail|LunarMail]] e [[s0477-goopy|Goopy]] - malwares que utilizam o e-mail como canal de C2 - dependem implicitamente dessa técnica para ocultar comúnicações de controle, apagando mensagens de comando após o processamento. A investigação forense posterior, sem fontes externas de log (como Microsoft Purview Audit ou SIEM com ingestão de M365), encontra apenas lacunas temporais inexplicadas no histórico de mensagens. ## Detecção **Event IDs e fontes de log relevantes:** | Fonte | Evento | Descrição | |-------|--------|-----------| | Microsoft 365 Audit Log | `HardDelete` | Deleção permanente de mensagem de mailbox - requer auditoria habilitada | | Microsoft 365 Audit Log | `MailboxExportRequestRemoved` | Remoção de registro de exportação de mailbox - indicador de anti-forense | | Microsoft 365 Audit Log | `New-TransportRule` / `Remove-TransportRule` | Criação e remoção suspeita de regras de transporte | | Exchange Admin Audit Log | `Remove-MailboxExportRequest` | Cmdlet executado por conta privilegiada fora de jánela de manutenção | | Microsoft 365 Audit Log | `Set-Mailbox` com `AuditEnabled:False` | Desabilitação de auditoria de mailbox - sinal crítico de anti-forense | | Sysmon 1 / 4688 | Process Creaté | Execução de `powershell.exe` com módulo ExchangeManagementShell | **Regra Sigma - Remoção Suspeita de Dados de Mailbox via PowerShell:** ```yaml title: Suspicious Mailbox Data Removal via Exchange PowerShell id: c4a7f3b1-9d2e-4c55-8f6a-3b1e9d7c2a0f status: experimental description: > Detecta remoção de exportações de mailbox e deleção em massa de mensagens via cmdlets Exchange PowerShell - indicadores de anti-forense (T1070.008) author: RunkIntel daté: 2026-03-24 logsource: product: windows category: ps_script definition: Script block logging must be enabled detection: selection_export_removal: ScriptBlockText|contains: - 'Remove-MailboxExportRequest' - 'Remove-MailboxImportRequest' selection_bulk_delete: ScriptBlockText|contains: - 'Search-Mailbox' ScriptBlockText|contains: - '-DeleteContent' selection_audit_disable: ScriptBlockText|contains: - 'AuditEnabled' - '$false' ScriptBlockText|contains: - 'Set-Mailbox' selection_transport_rule: ScriptBlockText|contains: - 'Remove-TransportRule' - 'New-TransportRule' condition: 1 of selection_* falsepositives: - Administradores de Exchange executando manutenção documentada - Operações de limpeza de mailbox autorizadas pelo time de TI level: high tags: - attack.defense_evasion - attack.t1070.008 ``` ## Mitigação | ID | Mitigação | Ação Recomendada para Organizações Brasileiras | |----|-----------|-----------------------------------------------| | M1022 | [[m1022-restrict-file-and-directory-permissions\|M1022 - Restrict File and Directory Permissions]] | Implementar RBAC granular no Exchange/M365 - limitar cmdlets de remoção de exportação a um grupo restrito de administradores; habilitar Privileged Identity Management (PIM) para roles administrativas de e-mail | | M1047 | [[m1047-audit\|M1047 - Audit]] | Habilitar Microsoft Purview Audit (nível Premium) para todas as mailboxes com retenção mínima de 90 dias; configurar alertas em tempo real para eventos `HardDelete`, `MailboxExportRequestRemoved` e desabilitação de auditoria | | M1029 | [[m1029-remote-data-storage\|M1029 - Remote Data Storage]] | Configurar retenção jurídica (Legal Hold) em mailboxes de executivos e usuários privilegiados - impede deleção permanente mesmo com permissões administrativas; exportar logs de auditoria do M365 para SIEM externo em tempo real | | - | Proteção de transport rules | Monitorar e alertar para qualquer criação ou remoção de regras de transporte fora de processo de mudança aprovado; exigir aprovação de segundo administrador para alterações em transport rules | | - | Immutable Audit Log | Para setores regulados (financeiro, saúde), ativar Microsoft Purview Audit com retenção de 1 ano e garantia de imutabilidade - em conformidade com LGPD e Resolução CMN 4.658 do Banco Central | ## Threat Actors que Usam - [[g1044-apt42|APT42]] - grupo iraniano de espionagem com histórico de operações contra governos, ONGs e setores estratégicos; utiliza deleção de e-mails de phishing e remoção de logs de exportação para encobrir campanhas de [[t1114-email-collection|Email Collection]] de longa duração, mantendo presença persistente em infraestruturas de e-mail por meses sem detecção - [[g1015-scattered-spider|Scattered Spider]] - grupo de engenharia social avançada responsável por ataques a grandes corporações; remove e-mails de phishing entregues e apaga comúnicações com help desk comprometido para destruir evidências da cadeia de comprometimento ## Software Associado - [[s1142-lunarmail|LunarMail]] - backdoor avançado que usa e-mail como canal de C2; apaga mensagens de comando após processamento para remover evidências de comunicação com o operador - [[s0477-goopy|Goopy]] - implante que abusa de Google Docs e e-mail para C2; a remoção de evidências de mailbox é parte do ciclo operacional de cobertura de rastros após execução de comandos --- *Fonte: [MITRE ATT&CK - T1070.008](https://attack.mitre.org/techniques/T1070/008)*