detecting-email-forwarding-rules-attack

检测攻击者创建的恶意邮件转发规则,以维持对邮件通信的持久访问,用于情报收集和商业电子邮件入侵(BEC)攻击。

9 stars

Best use case

detecting-email-forwarding-rules-attack is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

检测攻击者创建的恶意邮件转发规则,以维持对邮件通信的持久访问,用于情报收集和商业电子邮件入侵(BEC)攻击。

Teams using detecting-email-forwarding-rules-attack should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/detecting-email-forwarding-rules-attack/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/detecting-email-forwarding-rules-attack/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/detecting-email-forwarding-rules-attack/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How detecting-email-forwarding-rules-attack Compares

Feature / Agentdetecting-email-forwarding-rules-attackStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

检测攻击者创建的恶意邮件转发规则,以维持对邮件通信的持久访问,用于情报收集和商业电子邮件入侵(BEC)攻击。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 检测邮件转发规则攻击

## 适用场景

- 主动狩猎环境中邮件转发规则攻击的相关指标时
- 威胁情报表明使用这些技术的攻击活动正在活跃时
- 事件响应期间确定与这些技术相关的攻击范围时
- EDR 或 SIEM 告警触发相关指标时
- 定期安全评估和紫队(Purple Team)演练期间

## 前置条件

- 具备进程和网络遥测功能的 EDR 平台(CrowdStrike、MDE、SentinelOne)
- 已接入相关日志数据的 SIEM(Splunk、Elastic、Sentinel)
- 部署了完整配置的 Sysmon
- 已启用 Windows 安全事件日志转发
- 用于 IOC 关联的威胁情报 feeds

## 工作流程

1. **制定假设**:基于威胁情报或 ATT&CK 差距分析,定义可测试的假设。
2. **识别数据源**:确定验证或反驳假设所需的日志和遥测数据。
3. **执行查询**:针对 SIEM 和 EDR 平台运行检测查询,收集相关事件。
4. **分析结果**:检查查询结果中的异常,并跨多个数据源进行关联。
5. **验证发现**:通过上下文分析区分真阳性和假阳性。
6. **关联活动**:将发现结果链接到更广泛的攻击链和威胁行为者 TTP。
7. **记录与报告**:记录发现结果、更新检测规则并推荐响应措施。

## 核心概念

| 概念 | 描述 |
|------|------|
| T1114.003 | 邮件转发规则(Email Forwarding Rule) |
| T1114.002 | 远程邮件收集(Remote Email Collection) |
| T1098.002 | 额外邮件委托权限(Additional Email Delegate Permissions) |

## 工具与系统

| 工具 | 用途 |
|------|------|
| CrowdStrike Falcon | EDR 遥测和威胁检测 |
| Microsoft Defender for Endpoint | 使用 KQL 进行高级狩猎 |
| Splunk Enterprise | 使用 SPL 查询进行 SIEM 日志分析 |
| Elastic Security | 检测规则和调查时间线 |
| Sysmon | 详细的 Windows 事件监控 |
| Velociraptor | 终端工件收集和狩猎 |
| Sigma Rules | 跨平台检测规则格式 |

## 常见场景

1. **场景 1**:商业电子邮件入侵(BEC)行为者创建转发规则到外部邮箱
2. **场景 2**:受攻击账户创建规则删除安全告警
3. **场景 3**:收件箱规则将 CEO 邮件转发到攻击者邮箱
4. **场景 4**:OAuth 应用滥用创建传输规则用于数据收集

## 输出格式

```
Hunt ID: TH-DETECT-[DATE]-[SEQ]
Technique: T1114.003
Host: [主机名]
User: [账户上下文]
Evidence: [日志条目、进程树、网络数据]
Risk Level: [Critical/High/Medium/Low]
Confidence: [High/Medium/Low]
Recommended Action: [遏制、调查、监控]
```

Related Skills

testing-for-email-header-injection

9
from killvxk/cybersecurity-skills-zh

测试 Web 应用程序邮件功能中的 SMTP 头部注入漏洞,这些漏洞允许攻击者注入额外的邮件头部、修改收件人,并通过联系表单实施垃圾邮件中继。

recovering-from-ransomware-attack

9
from killvxk/cybersecurity-skills-zh

按照 NIST 和 CISA 框架执行结构化勒索软件事件恢复,包括环境隔离、取证证据保全、 干净基础设施重建、从已验证备份优先还原系统、凭据重置,以及针对再感染的验证。 涵盖 Active Directory 恢复、数据库还原和按依赖顺序重建应用栈。

performing-web-cache-poisoning-attack

9
from killvxk/cybersecurity-skills-zh

在授权安全测试期间,通过未纳入缓存键的头部和参数毒化缓存响应,利用 Web 缓存机制向其他用户投递恶意内容。

performing-web-cache-deception-attack

9
from killvxk/cybersecurity-skills-zh

通过利用 CDN 缓存层与源服务器之间的路径规范化差异,执行 Web 缓存欺骗攻击,从而缓存并获取敏感的已认证内容。

performing-vlan-hopping-attack

9
from killvxk/cybersecurity-skills-zh

在授权环境中使用交换机欺骗(Switch Spoofing)和双标签(Double Tagging)技术模拟 VLAN 跳转攻击, 测试 VLAN 分段有效性,并验证交换机端口安全配置对二层旁路攻击的抵御能力。

performing-threat-hunting-with-yara-rules

9
from killvxk/cybersecurity-skills-zh

使用 YARA 模式匹配规则在文件系统和内存转储中狩猎恶意软件、可疑文件和入侵指标。 涵盖规则编写、yara-python 扫描以及与威胁情报源的集成。

performing-supply-chain-attack-simulation

9
from killvxk/cybersecurity-skills-zh

模拟和检测软件供应链攻击,包括通过 Levenshtein 距离检测域名抢注(Typosquatting)、针对私有注册表的依赖混淆(Dependency Confusion)测试、使用 pip 进行包哈希验证,以及使用 pip-audit 扫描已知漏洞。

performing-ssl-stripping-attack

9
from killvxk/cybersecurity-skills-zh

在授权环境中使用 sslstrip、Bettercap 和 mitmproxy 模拟 SSL 剥离(SSL Stripping)攻击, 测试 HSTS 强制执行、证书验证以及保护用户免受加密连接降级攻击的 HTTPS 升级机制。

performing-packet-injection-attack

9
from killvxk/cybersecurity-skills-zh

在授权安全评估中使用 Scapy、hping3 和 Nemesis 构造并注入自定义网络数据包, 测试防火墙规则、IDS 检测、协议处理能力以及网络协议栈对畸形和伪造流量的抵御能力。

performing-kerberoasting-attack

9
from killvxk/cybersecurity-skills-zh

Kerberoasting 是一种后渗透技术,通过为设置了服务主体名称(SPN)的账户请求 Kerberos TGS 票据来针对活动目录中的服务账户。这些票据用服务账户的 NTLM 哈希加密,允许在不产生登录失败事件的情况下进行离线暴力破解。

performing-jwt-none-algorithm-attack

9
from killvxk/cybersecurity-skills-zh

通过操纵 JSON Web Token 中的 alg 头部字段,执行并测试 JWT None 算法攻击,以绕过签名验证。

performing-http-parameter-pollution-attack

9
from killvxk/cybersecurity-skills-zh

执行 HTTP 参数污染(HPP)攻击,通过注入由前端和后端系统以不同方式处理的重复参数,绕过输入验证、WAF 规则和安全控制。