t1098-002-additional-email-delegate-permissions

# T1098.002 - Additional Email Delegaté Permissions ## Técnica Pai Sub-técnica de [[t1098-account-manipulation|T1098 - Manipulação de Conta]], classificada na tática de **Persistência** do [[mitre-attack|MITRE ATT&CK]]. ## Descrição Adversários concedem permissões adicionais de delegação em caixas de e-mail para manter acesso persistente a contas comprometidas - sem precisar alterar senhas ou manter sessões ativas. No ambiente **Microsoft 365 / Exchange**, o cmdlet [[t1059-001-powershell|PowerShell]] `Add-MailboxPermission` adiciona permissões completas a uma caixa postal. No **Google Workspace**, delegações são configuradas via painel de administrador ou diretamente nas configurações do Gmail do usuário. Em ambos os ambientes, o adversário efetivamente concede a si mesmo acesso de leitura e envio em nome da vítima. Além de permissões de caixa completa, é possível atribuir permissões a pastas específicas - como `Inbox`, `Sent Items` ou a raiz da árvore de informações (`Top of Information Store`) - usando os usuários padrão `Default` ou `Anonymous`. Isso permite que qualquer conta do tenant acesse os e-mails da vítima, tornando a técnica difícil de rastrear até um único invasor. O abuso de delegação de e-mail é amplamente utilizado em campanhas de **BEC (Business Email Compromise)** - esquemas comuns no Brasil, especialmente contra empresas dos setores [[_sectors|financeiro]] e [[government|governo]]. Combinada com [[t1137-005-outlook-rules|Regras do Outlook]], a técnica permite ao adversário monitorar comúnicações internas, redirecionar pagamentos e manter presença invisível por meses. Grupos como [[g0016-apt29|APT29]], [[g0007-apt28|APT28]] e [[g0059-magic-hound|Magic Hound]] (Iran) já utilizaram delegação de e-mail como vetor de espionagem persistente em ambientes corporativos. No contexto latino-americano, a técnica é particularmente relevante dado o alto índice de uso de Microsoft 365 em empresas brasileiras e a baixa maturidade no monitoramento de logs de auditoria do Exchange Online. ## Attack Flow - Fluxo de Ataque ```mermaid graph TB A([Acesso Inicial à Conta]) --> B[Autenticação na Caixa Postal da Vítima] B --> C{Ambiente alvo} C -->|M365 / Exchange| D["Add-MailboxPermission via PowerShell"] C -->|Google Workspace| E[Delegação via Admin Console ou Gmail] D --> F[Permissão FullAccess / SendAs concedida] E --> F F --> G[Conta do Adversário acessa caixa da vítima] G --> H{Objetivo} H -->|Espionagem| I[Leitura silenciosa de e-mails internos] H -->|BEC| J[Envio em nome da vítima para parceiros / financeiro] H -->|Persistência| K["Combinação com Outlook Rules T1137.005"] I --> L([Exfiltração de Informações Sensíveis]) J --> L K --> L ``` ## Como Funciona **Passo 1 - Concessão de Delegação** Após comprometer uma conta com privilégios (administrador de Exchange ou do tenant), o adversário executa `Add-MailboxPermission -Identity ví[email protected] -User invasor@domínio -AccessRights FullAccess`. Em ambientes Google Workspace, o mesmo é feito via API ou painel administrativo. A permissão persiste independentemente de troca de senha da conta do invasor. **Passo 2 - Acesso Silencioso à Caixa** Com a delegação ativa, a conta controlada pelo adversário pode acessar a caixa da vítima diretamente via Outlook, OWA (Outlook Web App) ou cliente de API - sem gerar alertas de login suspeito na conta da vítima, pois o acesso ocorre via conta legítima do tenant. **Passo 3 - Manutenção e Pivô** A delegação é usada em conjunto com [[t1137-005-outlook-rules|Regras do Outlook]] para redirecionar e-mails específicos, apagar rastros ou acionar execuções de payload. Em ataques BEC, o adversário monitora negociações financeiras e intervém no momento oportuno, alterando dados bancários em mensagens encaminhadas. ## Detecção ### Regra Sigma - Concessão Suspeita de Delegação de Mailbox (M365) ```yaml title: Suspicious Mailbox Delegaté Permission Added id: a3f1c8e2-44b7-4d9a-bc12-ef3d9a2b7c01 status: experimental description: > Detecta adição de permissões de delegação de caixa postal no Microsoft 365 ou Exchange On-Premises fora de horário comercial ou por contas não-admin. references: - https://attack.mitre.org/techniques/T1098/002/ author: RunkIntel daté: 2026-03-25 tags: - attack.persistence - attack.t1098.002 logsource: product: microsoft365 service: exchange detection: selection: Operation: - "Add-MailboxPermission" - "Add-MailboxFolderPermission" - "UpdateCalendarDelegation" ResultStatus: "True" filter_admin_hours: # Opcional: filtrar horário comercial se baseline definido ClientIP|cidr: - "10.0.0.0/8" condition: selection falsepositives: - Delegações legítimas configuradas por TI - Assistentes executivos com acesso autorizado level: medium ``` ## Mitigação | ID | Mitigação | Descrição | |---|-----------|-----------| | M1026 | [[m1026-privileged-account-management\|M1026 - Privileged Account Management]] | Restringir permissão de Add-MailboxPermission apenas a administradores Exchange dedicados; auditar regularmente delegações ativas | | M1032 | [[m1032-multi-factor-authentication\|M1032 - Multi-factor Authentication]] | MFA obrigatório em todas as contas do tenant reduz o risco de comprometimento inicial que viabiliza a delegação | | M1042 | [[m1042-disable-or-remove-feature-or-program\|M1042 - Disable or Remove Feature or Program]] | Desabilitar delegação de mailbox para usuários que não necessitam do recurso; revisar política de delegação no tenant | ## Referências *Fonte: [MITRE ATT&CK - T1098.002](https://attack.mitre.org/techniques/T1098/002)*