detecting-email-forwarding-rules-attack
检测攻击者创建的恶意邮件转发规则,以维持对邮件通信的持久访问,用于情报收集和商业电子邮件入侵(BEC)攻击。
Best use case
detecting-email-forwarding-rules-attack is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
检测攻击者创建的恶意邮件转发规则,以维持对邮件通信的持久访问,用于情报收集和商业电子邮件入侵(BEC)攻击。
Teams using detecting-email-forwarding-rules-attack should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/detecting-email-forwarding-rules-attack/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How detecting-email-forwarding-rules-attack Compares
| Feature / Agent | detecting-email-forwarding-rules-attack | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
检测攻击者创建的恶意邮件转发规则,以维持对邮件通信的持久访问,用于情报收集和商业电子邮件入侵(BEC)攻击。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 检测邮件转发规则攻击 ## 适用场景 - 主动狩猎环境中邮件转发规则攻击的相关指标时 - 威胁情报表明使用这些技术的攻击活动正在活跃时 - 事件响应期间确定与这些技术相关的攻击范围时 - EDR 或 SIEM 告警触发相关指标时 - 定期安全评估和紫队(Purple Team)演练期间 ## 前置条件 - 具备进程和网络遥测功能的 EDR 平台(CrowdStrike、MDE、SentinelOne) - 已接入相关日志数据的 SIEM(Splunk、Elastic、Sentinel) - 部署了完整配置的 Sysmon - 已启用 Windows 安全事件日志转发 - 用于 IOC 关联的威胁情报 feeds ## 工作流程 1. **制定假设**:基于威胁情报或 ATT&CK 差距分析,定义可测试的假设。 2. **识别数据源**:确定验证或反驳假设所需的日志和遥测数据。 3. **执行查询**:针对 SIEM 和 EDR 平台运行检测查询,收集相关事件。 4. **分析结果**:检查查询结果中的异常,并跨多个数据源进行关联。 5. **验证发现**:通过上下文分析区分真阳性和假阳性。 6. **关联活动**:将发现结果链接到更广泛的攻击链和威胁行为者 TTP。 7. **记录与报告**:记录发现结果、更新检测规则并推荐响应措施。 ## 核心概念 | 概念 | 描述 | |------|------| | T1114.003 | 邮件转发规则(Email Forwarding Rule) | | T1114.002 | 远程邮件收集(Remote Email Collection) | | T1098.002 | 额外邮件委托权限(Additional Email Delegate Permissions) | ## 工具与系统 | 工具 | 用途 | |------|------| | CrowdStrike Falcon | EDR 遥测和威胁检测 | | Microsoft Defender for Endpoint | 使用 KQL 进行高级狩猎 | | Splunk Enterprise | 使用 SPL 查询进行 SIEM 日志分析 | | Elastic Security | 检测规则和调查时间线 | | Sysmon | 详细的 Windows 事件监控 | | Velociraptor | 终端工件收集和狩猎 | | Sigma Rules | 跨平台检测规则格式 | ## 常见场景 1. **场景 1**:商业电子邮件入侵(BEC)行为者创建转发规则到外部邮箱 2. **场景 2**:受攻击账户创建规则删除安全告警 3. **场景 3**:收件箱规则将 CEO 邮件转发到攻击者邮箱 4. **场景 4**:OAuth 应用滥用创建传输规则用于数据收集 ## 输出格式 ``` Hunt ID: TH-DETECT-[DATE]-[SEQ] Technique: T1114.003 Host: [主机名] User: [账户上下文] Evidence: [日志条目、进程树、网络数据] Risk Level: [Critical/High/Medium/Low] Confidence: [High/Medium/Low] Recommended Action: [遏制、调查、监控] ```
Related Skills
testing-for-email-header-injection
测试 Web 应用程序邮件功能中的 SMTP 头部注入漏洞,这些漏洞允许攻击者注入额外的邮件头部、修改收件人,并通过联系表单实施垃圾邮件中继。
recovering-from-ransomware-attack
按照 NIST 和 CISA 框架执行结构化勒索软件事件恢复,包括环境隔离、取证证据保全、 干净基础设施重建、从已验证备份优先还原系统、凭据重置,以及针对再感染的验证。 涵盖 Active Directory 恢复、数据库还原和按依赖顺序重建应用栈。
performing-web-cache-poisoning-attack
在授权安全测试期间,通过未纳入缓存键的头部和参数毒化缓存响应,利用 Web 缓存机制向其他用户投递恶意内容。
performing-web-cache-deception-attack
通过利用 CDN 缓存层与源服务器之间的路径规范化差异,执行 Web 缓存欺骗攻击,从而缓存并获取敏感的已认证内容。
performing-vlan-hopping-attack
在授权环境中使用交换机欺骗(Switch Spoofing)和双标签(Double Tagging)技术模拟 VLAN 跳转攻击, 测试 VLAN 分段有效性,并验证交换机端口安全配置对二层旁路攻击的抵御能力。
performing-threat-hunting-with-yara-rules
使用 YARA 模式匹配规则在文件系统和内存转储中狩猎恶意软件、可疑文件和入侵指标。 涵盖规则编写、yara-python 扫描以及与威胁情报源的集成。
performing-supply-chain-attack-simulation
模拟和检测软件供应链攻击,包括通过 Levenshtein 距离检测域名抢注(Typosquatting)、针对私有注册表的依赖混淆(Dependency Confusion)测试、使用 pip 进行包哈希验证,以及使用 pip-audit 扫描已知漏洞。
performing-ssl-stripping-attack
在授权环境中使用 sslstrip、Bettercap 和 mitmproxy 模拟 SSL 剥离(SSL Stripping)攻击, 测试 HSTS 强制执行、证书验证以及保护用户免受加密连接降级攻击的 HTTPS 升级机制。
performing-packet-injection-attack
在授权安全评估中使用 Scapy、hping3 和 Nemesis 构造并注入自定义网络数据包, 测试防火墙规则、IDS 检测、协议处理能力以及网络协议栈对畸形和伪造流量的抵御能力。
performing-kerberoasting-attack
Kerberoasting 是一种后渗透技术,通过为设置了服务主体名称(SPN)的账户请求 Kerberos TGS 票据来针对活动目录中的服务账户。这些票据用服务账户的 NTLM 哈希加密,允许在不产生登录失败事件的情况下进行离线暴力破解。
performing-jwt-none-algorithm-attack
通过操纵 JSON Web Token 中的 alg 头部字段,执行并测试 JWT None 算法攻击,以绕过签名验证。
performing-http-parameter-pollution-attack
执行 HTTP 参数污染(HPP)攻击,通过注入由前端和后端系统以不同方式处理的重复参数,绕过输入验证、WAF 规则和安全控制。