Лев Прокопьев

Лев Прокопьев 

Человеческий дух сильнее механизма.

5subscribers

2posts

Dec 16 2025 05:40

Тихое копирование почты без тормозов Outlook'а

https://github.com/ghe770mvp/Copy-OstFromTheShadowCopy
Всё, что описано ниже, допускается для применения только:
- на своём стенде;
- в рамках авторизованного тестирования на проникновение / Red Teaming проектов / отработки методологии DFIR с документальным разрешением заказчика и владельца инфраструктуры.
Любое повторение на боевых хостах без авторизации — это про уголовный кодекс, а не про «хакерскую романтику».

Зачем вообще лезть в ost

классический юношеский подход к пентесту AD:
- затащить всех звезд virustotal на DC;
- сделать DCSync / сдампить LSASS / тормознуть Outlook у целевого пользователя;
- выгрести все хэши, до кучи и просто всё, что плохо лежит.
Проблема:
для зрелого SOC это фейерверк телеметрии.
Зрелый заказчик чаще просит другое:
«Вам не нужно гробить наш домен, вам надо тихо забрать почту конкретных сотрудников и показать, как мы это можем не заметить».
Реальные APT / кибервойска давно уже не играют в «сломай им всё», а прицельно дергают чувствительные данные: руководители, финансовый блок, юристы, безопасники.
Почта — идеальный источник:
- переговоры с контрагентами;
- внутренние конфликты и утечки;
- иногда — голые пароли и ключи в переписке, «на время пришли» 🙃

Как outlook хранит почту и где наша точка входа

Outlook Classic хранит локальный кеш ящика в файлах формата OST:
C:\Users\<user>\AppData\Local\Microsoft\Outlook\<mailbox>@<domain>.ost
- внутри — вся переписка, календари и т.д.;
- пока outlook запущен — `.ost` залочен, обычный copy не проходит;
Что деламем мы в данном скрипте:
  • Volume Shadow Copy Service (VSS) → создаём теневую копию тома;
  • монтируем её в каталог через mklink;
  • копируем .ost уже из snapshot’а, где файл не залочен.
никаких левых бинарников, только powershell + один небольшой python-сервер для приёма файлов по HTTP PUT (по желанию).

Общая схема атаки

  • У нас уже есть локальный админ на рабочей станции пользователям.
  • Находим все .ost под C:\Users\*\AppData\Local\Microsoft\Outlook\.
  • Создаём одну теневую копию для тома C:\.
  • Монтируем её в каталог C:\ShadowMounts\shadow_mount.
  • Из этого mount’а копируем каждый ost в свой артефакт-каталог: C:\LabArtifacts\OST\<HOST>\<user>\<mailbox>.ost.ost2
  • Опционально — отправляем .ost2 по HTTP PUT на наш сборщик (python-сервер).
  • Дальше разбираем ost уже оффлайн: XstReader / MFCMAPI / что угодно.

Если вы желаете развития данного исследования до удаленного вектора эксплуатации голосуйте рублем.
Creator has disabled comments for this post.
Go to all posts
Next post
«Взломали один раз — значит, сидят до сих пор»
Dec 18 2025 10:30
Subscription levels5

Радиослушатель

$0.75 per month
Анонсы, короткие заметки
Выжимки из публичных исследований
Иногда обзоры громких новостей из мира IT

Наблюдатель

$2.99 per month
Для тех, кто хочет стабильный поток мысли и ресерча, но без глубокого погружения.
Полные тексты, которые не лезут в телегу (разборы, философия, выводы)
Чек-листы “что проверять” (ad/appsec/infra) без “нажми сюда и получи shell”
Monthly digest: что считаю важным за месяц

Оператор

$7.5 per month
Лабы/сценарии для тестового стенда (пошагово, без привязки к реальным целям)
Шаблоны: матрицы угроз, формы отчёта, карты поверхности атаки, пайплайны проверок
Способы обнаружения: что палит те или иные техники, как это видеть в логах
Доступ к закрытым комментариям под постами

Инженер

$20 per month
Для тех, кто хочет разобрать механику детально.
Глубокий анализ: архитектура, протоколы, RE, детальные разборы POC и способы их расширения.
Приложения в виде кода/псевдокода/паттерны реализации.
Разбор чужих кейсов/инцидентов и что бы я поменял в дизайне системы.

31337

$200 per month
Ранний доступ ко всему (когда есть)
Возможность предлагать темы/голосовать, куда копаем дальше
Иногда — закрытые “черновики” и материалы за кадром (как рождается пост/лаба)
Ваше имя/ник в списке поддержавших (по желанию, уважаю вашу приватность)
Go up