清除邮箱数据

对手可能会修改邮件和邮件应用程序数据，以删除其活动的证据。电子邮件应用程序允许用户和其他程序通过命令行工具或使用API导出和删除邮箱数据。邮件应用程序数据可以是电子邮件、电子邮件元数据或由应用程序或操作系统生成的日志，例如导出请求。 对手可能会操纵电子邮件和邮箱数据，以删除日志、工件和元数据，例如网络钓鱼/内部鱼叉式网络钓鱼、电子邮件收集、用于命令和控制的邮件协议或基于电子邮件的外传（例如通过替代协议外传）。例如，为了删除Exchange服务器上的证据，对手使用了ExchangePowerShell PowerShell模块，包括Remove-MailboxExportRequest以删除邮箱导出的证据。(引用: Volexity SolarWinds)(引用: ExchangePowerShell Module) 在Linux和macOS上，对手还可能通过名为mail的命令行实用程序删除电子邮件，或使用AppleScript与macOS上的API交互。(引用: Cybereason Cobalt Kitty 2017)(引用: mailx man page) 对手还可能删除电子邮件和指示垃圾邮件或可疑活动的元数据/标头（例如，通过使用组织范围的传输规则），以减少恶意电子邮件被安全产品检测到的可能性。(引用: Microsoft OAuth Spam 2022)