额外的电子邮件委托权限

攻击者可能会授予额外的权限级别，以保持对攻击者控制的电子邮件帐户的持久访问。 例如，Add-MailboxPermission PowerShell cmdlet（在本地Exchange和基于云的服务Office 365中可用）向邮箱添加权限。(引用: Microsoft - Add-MailboxPermission)(引用: FireEye APT35 2018)(引用: Crowdstrike Hiding in Plain Sight 2018) 在Google Workspace中，可以通过Google Admin控制台启用委托，用户可以通过其Gmail设置委托帐户。(引用: Gmail委托)(引用: Google确保您的信息安全) 攻击者还可以通过单独的文件夹权限或角色分配邮箱文件夹权限。在Office 365环境中，攻击者可能会为“信息存储顶部”（根目录）、收件箱或其他邮箱文件夹分配默认或匿名用户权限或角色。通过为一个文件夹分配一个或两个用户权限，攻击者可以利用租户中的任何其他帐户来保持对目标用户邮件文件夹的持久访问。(引用: Mandiant Defend UNC2452白皮书) 这可能用于持久威胁事件以及BEC（商业电子邮件入侵）事件，其中攻击者可以向他们希望入侵的帐户添加额外的云角色。这可能进一步启用其他技术以获取系统访问权限。例如，受入侵的业务帐户通常用于向目标业务网络中的其他帐户发送消息，同时创建收件箱规则（例如：内部鱼叉式钓鱼），以便消息规避垃圾邮件/钓鱼检测机制。(引用: Bienstock, D. - 防御O365 - 2019)