t1087-003-email-account

# T1087.003 - Descoberta de Contas de E-mail ## Técnica Pai Esta é uma sub-técnica de [[t1087-account-discovery|T1087 - T1087 - Account Discovery]]. ## Descrição Após obter acesso a um ambiente corporativo, adversários frequentemente buscam extrair listas de contas de e-mail para ampliar o alcance de suas operações. A Global Address List (GAL) - lista global de endereços mantida pelo Microsoft Exchange, Exchange Online e Google Workspace - é um alvo especialmente valioso: contém nomes, cargos, departamentos e endereços de todos os usuários da organização, funcionando como um diretório corporativo completo acessível a qualquer conta autenticada. No Exchange on-premises e no Exchange Online, o cmdlet PowerShell `Get-GlobalAddressList` permite que qualquer usuário autenticado consulte e exporte toda a lista. Não é necessário nenhum privilégio especial - qualquer colaborador com uma conta válida tem acesso por padrão. Ferramentas especializadas como [[s0358-ruler|Ruler]] e [[s0413-mailsniper|MailSniper]] automatizam essa extração em segundos, entregando ao atacante um mapa completo da organização sem disparar alertas de segurança convencionais. Em ambientes Google Workspace, o diretório organizacional cumpre função semelhante. A integração com o GWSMO (Google Workspace Sync for Microsoft Outlook) expõe a GAL também para clientes Outlook configurados com contas Google, ampliando a superfície de coleta. Com a lista em mãos, o atacante pode conduzir campanhas de spear phishing altamente direcionadas, personalizar iscas por cargo ou departamento, e identificar executivos, financeiros e TI como alvos prioritários para Business Email Compromise (BEC). **Contexto Brasil/LATAM:** O grupo [[ta505|TA505]] utilizou esta técnica extensivamente em campanhas contra instituições financeiras brasileiras, combinando enumeração de GAL com o malware [[s0531-grandoreiro|Grandoreiro]] para personalizar ataques de BEC e fraude bancária. O grupo [[g1039-redcurl|RedCurl]], especializado em espionagem corporativa, também utiliza descoberta de contas de e-mail como etapa central de suas operações na América Latina - extraindo a estrutura organizacional para identificar funcionários com acesso a segredos comerciais e documentos jurídicos sensíveis. O setor financeiro e o jurídico são os mais afetados no Brasil. ## Attack Flow ```mermaid graph TB A[Acesso com Credencial Válida] --> B[**Descoberta de Contas T1087.003**] B --> C[Coleta de E-mails T1114] C --> D[Spear Phishing / BEC] D --> E[Impacto Financeiro] ``` ## Como Funciona 1. **Preparação** - O atacante já possui credenciais válidas de um usuário do domínio (obtidas via phishing, credential stuffing ou roubo de sessão). Nenhum privilégio elevado é necessário para acessar a GAL. 2. **Execução** - Via PowerShell conectado ao Exchange Online ou on-premises, o atacante executa a consulta à GAL. Ferramentas como [[s0413-mailsniper|MailSniper]] simplificam o processo com uma única linha de comando. A extração completa de uma GAL corporativa pode ser concluída em menos de 60 segundos. Em paralelo, [[s0367-emotet|Emotet]] e [[s0266-trickbot|TrickBot]] implementaram módulos dedicados de harvesting de e-mail que automatizam essa etapa dentro do ciclo de infecção. 3. **Pós-execução** - A lista extraída é exportada (CSV, JSON) e exfiltrada via C2 ou armazenada localmente para uso futuro. Os dados alimentam campanhas de spear phishing, ataques BEC e, em operações de espionagem como as do [[g1039-redcurl|RedCurl]], são usados para mapear alvos de alto valor dentro da organização comprometida. **Exemplo:** ```powershell # Artefato de detecção: consulta à GAL via PowerShell # Gera logs no Exchange Unified Audit Log (Operation: Get-GlobalAddressList) # PowerShell ScriptBlock Logging registra o cmdlet utilizado Get-GlobalAddressList | Get-DistributionGroupMember ``` ## Detecção **Fontes de dados:** Exchange Unified Audit Log (operação `Get-GlobalAddressList`), Microsoft 365 Audit Log, PowerShell ScriptBlock Logging (Event ID 4104), logs de autenticação do Exchange (acesso fora do horário, de localização incomum ou via automação). Monitorar uso de ferramentas como Ruler e MailSniper por hashes conhecidos. ```yaml title: Global Address List Enumeration via PowerShell id: d7c41b3e-2f58-4a91-bd0e-6c83e5f1a247 status: experimental description: Detects enumeration of Exchange Global Address List using PowerShell cmdlets logsource: category: ps_script product: windows detection: selection: ScriptBlockText|contains: - 'Get-GlobalAddressList' - 'Get-AddressList' - 'Get-DistributionGroupMember' condition: selection falsepositives: - Legitimaté Exchange administration - IT helpdesk scripts level: medium tags: - attack.discovery - attack.t1087.003 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | [[m1018-user-account-management\|M1018 - Gerenciamento de Contas]] | Restrinjá o acesso à GAL completa para usuários comuns; utilize políticas de segmentação de diretório no Exchange para limitar visibilidade entre departamentos | | [[m1047-audit\|M1047 - Auditoria]] | Habilite o Unified Audit Log no Microsoft 365 e configure alertas para consultas em massa à GAL fora do horário comercial ou de origens incomuns | ## Referências *Fonte: [MITRE ATT&CK - T1087.003](https://attack.mitre.org/techniques/T1087/003)*