电子邮件隐藏规则

对手可能会使用电子邮件规则来隐藏被入侵用户邮箱中的入站电子邮件。许多电子邮件客户端允许用户为各种电子邮件功能创建收件箱规则，包括将电子邮件移动到其他文件夹、将电子邮件标记为已读或删除电子邮件。可以在电子邮件客户端内或通过外部功能（如Windows系统上的New-InboxRule或Set-InboxRule PowerShell cmdlet）创建或修改规则。(引用: Microsoft Inbox Rules)(引用: MacOS Email Rules)(引用: Microsoft New-InboxRule)(引用: Microsoft Set-InboxRule) 对手可能会利用被入侵用户邮箱中的电子邮件规则来删除和/或移动电子邮件到不太显眼的文件夹。对手可能这样做是为了隐藏安全警报、C2通信或对从被入侵帐户发送的内部鱼叉式网络钓鱼电子邮件的回复。 组织内的任何用户或管理员（或具有有效凭据的对手）都可以创建规则以自动移动或删除电子邮件。这些规则可以被滥用以削弱/延迟检测，如果电子邮件内容被用户或防御者立即看到的话。恶意规则通常根据消息正文和主题行中的关键字（如malware、suspicious、phish和hack）过滤电子邮件。(引用: Microsoft Cloud App Security) 在某些环境中，管理员可能能够启用在整个组织范围内而不是在单个收件箱上运行的电子邮件规则。例如，Microsoft Exchange支持传输规则，这些规则根据用户指定的条件评估组织接收的所有邮件，然后对符合这些条件的邮件执行用户指定的操作。(引用: Microsoft Mail Flow Rules 2023) 滥用此类功能的对手可能能够自动修改或删除与特定主题（如内部安全事件通知）相关的所有电子邮件。