# T1137.005 - Outlook Rules ## Técnica Pai Sub-técnica de [[t1137-office-application-startup|T1137 - Inicialização de Aplicativo Office]], classificada na tática de **Persistência** do [[mitre-attack|MITRE ATT&CK]]. ## Descrição Adversários abusam do mecanismo de **regras automáticas do Microsoft Outlook** para executar código malicioso de forma persistente - ativado remotamente pelo próprio atacante a qualquer momento, sem necessidade de interação direta com o sistema. As regras do Outlook permitem que usuários automatizem o gerenciamento de e-mails: mover mensagens, executar scripts, iniciar aplicativos ou reproduzir sons com base em critérios como remetente, assunto ou conteúdo. Adversários exploram exatamente essa funcionalidade: após comprometer uma conta ou acesso à caixa postal, criam uma regra maliciosa que, ao detectar um e-mail com critério específico (como assunto contendo uma palavra-chave secreta), executa um script ou aplicativo no sistema da vítima. O fluxo de ataque é elegante em sua simplicidade: a regra fica dormindo silenciosamente na caixa de entrada até que o adversário envie o e-mail de ativação. Quando a regra é acionada, o payload é executado localmente - no contexto do processo Outlook da vítima - sem que nenhuma nova conexão de rede sejá estabelecida pelo atacante naquele momento. Isso dificulta a correlação e a detecção em tempo real. As regras maliciosas persistem entre reinicializações, pois são armazenadas no arquivo OST/PST da caixa postal ou diretamente no servidor Exchange/M365. A ferramenta [[s0358-ruler|Ruler]] é amplamente conhecida na comunidade de red team para criação e gerenciamento de regras Outlook maliciosas remotamente, via protocolo MAPI. No Brasil e na América Latina, essa técnica é especialmente relevante em ataques contra o [[financial|setor financeiro]] e [[government|governo]], onde o uso do Microsoft Outlook é predominante. A combinação com [[t1098-002-additional-email-delegate-permissions|T1098.002 - Delegação de E-mail]] permite ao adversário criar regras na caixa de outra pessoa sem precisar autenticar diretamente nela. Grupos de espionagem e operadores de [[t1534-internal-spearphishing|Internal Spearphishing]] frequentemente encadeiam essas duas técnicas para manter acesso persistente a caixas postais estratégicas. ## Attack Flow - Fluxo de Ataque ```mermaid graph TB A([Acesso à Caixa Postal da Vítima]) --> B{Método de criação da regra} B -->|Outlook Client| C[Criação manual via interface de Regras e Alertas] B -->|MAPI remoto| D["Ferramenta Ruler - criação remota via protocolo MAPI/EWS"] B -->|Delegação| E["Acesso via T1098.002 - delegação de mailbox"] C --> F[Regra maliciosa salva no OST/PST ou no servidor Exchange] D --> F E --> F F --> G[Regra permanece dormindo - ativação remota pendente] G --> H[Adversário envia e-mail com critério de gatilho específico] H --> I{Ação configurada na regra} I -->|Execução de script| J[VBScript ou PowerShell executado localmente] I -->|Iniciar aplicativo| K[Payload .exe ou .bat disparado no contexto Outlook] I -->|Encaminhar e-mail| L[Exfiltração silenciosa de mensagens internas] J --> M([Execução de Código / Persistência Mantida]) K --> M L --> M ``` ## Como Funciona **Passo 1 - Criação da Regra Maliciosa** Após obter acesso à caixa postal da vítima - por credenciais comprometidas, via [[t1098-002-additional-email-delegate-permissions|delegação de mailbox]] ou por acesso físico ao Outlook aberto - o adversário cria uma regra que monitora e-mails com critério específico (ex: assunto contendo `ACTIVATION_KEY_7734`). A ação configurada pode ser "Executar um script" (VBScript), "Iniciar aplicativo" (qualquer executável acessível) ou "Encaminhar para" uma conta externa. A ferramenta [[s0358-ruler|Ruler]] permite fazer isso inteiramente via MAPI sem abrir o cliente Outlook na máquina da vítima. **Passo 2 - Ativação Remota Sob Demanda** A regra fica inativa até que o adversário envie um e-mail especialmente crafted para a caixa da vítima. Quando o Outlook processa a mensagem e ela corresponde ao critério configurado, a regra é executada automaticamente - localmente no sistema da vítima, sem nova conexão de rede originada pelo atacante naquele instante. O e-mail de ativação pode ser deletado automaticamente pela própria regra, apagando evidências. **Passo 3 - Execução Persistente e Encadeamento** O payload executado pela regra pode estabelecer um novo canal de C2, fazer dump de credenciais, ou simplesmente garantir que outro mecanismo de persistência estejá ativo. Como as regras são recarregadas toda vez que o Outlook inicia, a técnica sobrevive a reinicializações. Em combinação com [[t1137-office-application-startup|T1137 - Office Application Startup]], o adversário pode manter múltiplas camadas de persistência dentro do ecossistema Office. ## Detecção ### Regra Sigma - Criação Suspeita de Regra Outlook com Execução de Script ```yaml title: Malicious Outlook Rule with Script Execution Action id: c9e2a471-5b3d-4f8e-b124-de5a9c3b8f77 status: experimental description: > Detecta criação de regras no Outlook que disparam execução de scripts ou aplicativos - padrão de persistência via Outlook Rules (T1137.005). Baseado em eventos de auditoria do Exchange e logs de processo do Windows. references: - https://attack.mitre.org/techniques/T1137/005/ author: RunkIntel daté: 2026-03-25 tags: - attack.persistence - attack.t1137.005 logsource: product: windows category: process_creation detection: selection_outlook_child: ParentImage|endswith: '\OUTLOOK.EXE' Image|endswith: - '\wscript.exe' - '\cscript.exe' - '\powershell.exe' - '\cmd.exe' - '\mshta.exe' condition: selection_outlook_child falsepositives: - Macros VBA legítimas configuradas por TI corporativa - Add-ins Outlook com execução de scripts aprovados level: high ``` ## Mitigação | ID | Mitigação | Descrição | |---|-----------|-----------| | M1051 | [[m1051-update-software\|M1051 - Updaté Software]] | Manter Microsoft Office e Exchange/M365 atualizados; patches frequentemente corrigem vetores de criação remota de regras via MAPI | | M1040 | [[m1040-behavior-prevention-on-endpoint\|M1040 - Behavior Prevention on Endpoint]] | Soluções EDR configuradas para bloquear processos filhos do OUTLOOK.EXE (wscript, cscript, powershell); regras de prevenção comportamental específicas para Outlook | ## Software Associado - [[s0358-ruler|Ruler]] - ferramenta open-source de red team para criação e gerenciamento remoto de regras Outlook maliciosas via MAPI/EWS ## Contexto Brasil/LATAM No Brasil e na América Latina, o Outlook Rules é especialmente relevante em ataques contra o [[financial|setor financeiro]] e [[government|governo]], onde o uso do Microsoft Exchange e Microsoft 365 é predominante entre organizações de médio e grande porte. Operadores de espionagem corporativa e grupos de acesso inicial (IABs - Initial Access Brokers) que vendem acesso a caixas postais corporativas frequentemente implantam regras maliciosas antes de repassar o acesso, garantindo um mecanismo de backdoor independente das credenciais comprometidas. No contexto de ataques a instituições governamentais brasileiras, a combinação de [[t1534-internal-spearphishing|Internal Spearphishing]] com regras Outlook maliciosas permite ao adversário manter acesso persistente e exfiltrar comúnicações internas por semanas ou meses sem acionar controles de DLP baseados em transferência de arquivo. A detecção exige logs de auditoria do Exchange habilitados e regras SIEM específicas - capacidade ainda inconsistente entre organizações do setor público brasileiro. ## Referências - [[t1137-office-application-startup|T1137 - Office Application Startup]] - [[t1098-002-additional-email-delegate-permissions|T1098.002 - Additional Email Delegaté Permissions]] - [[t1534-internal-spearphishing|T1534 - Internal Spearphishing]] - [[t1562-impair-defenses|T1562 - Impair Defenses]] - [[t1070-indicator-removal|T1070 - Indicator Removal]] - [[s0358-ruler|Ruler]] - [[m1051-update-software|M1051 - Updaté Software]] - [[m1040-behavior-prevention-on-endpoint|M1040 - Behavior Prevention on Endpoint]] - [[financial|Setor Financeiro]] *Fonte: MITRE ATT&CK - T1137.005 Outlook Rules, v16.2*