使用Outlook欺骗性云附件进行网络钓鱼
2024-09-05 19:10:17
滥用Microsoft365 Outlook 云附件的方式发送恶意文件,使恶意可执行云附件规避云查杀检测
介绍
在本文中,我们将探讨如何滥用 O365 上的云附件功能使可执行文件(或任何其他文件类型)显示为无害的附件。
O365 允许您通过以下两种方式之一上传附件:
- 直接附件 - 上传文件的传统方式。 严格限制允许的文件类型。
- 云附件 - 附加云上可用的文件 (OneDrive/SharePoint)。 文件类型不受限制。
下图显示了附件对目标用户的显示方式。 唯一真正的视觉区别是图标和云附件部分显示链接。
现在了解了区别,让我们滥用云附件技术来附加恶意可执行文件。
准备工作
在继续之前,您应该做几件事:
1.搭建HTTP服务器并配置域名,由于云附件会显示链接,因此建议创建一个子域,例如 onedrive.microsoft.*,增加云附件的可信度。 在以下演示中,条件有限一切从简,但在实战中强烈推荐。
2.在HTTP服务器上托管准备的恶意可执行文件。
3.在服务器上设置一个 HTTP重定向,它将以无害扩展名(.xls、.pdf、.docx 等)结尾的路径重定向到您的恶意可执行文件。 这非常重要,因为我们将看到 Microsoft365 根据链接的文件扩展名选择附件的图标。 这里,设置了一个重定向 /test/testfile.pdf到 /evil.exe.
附加欺骗的恶意可执行文件
向目标用户撰写邮件,单击附件图标 > Browse Cloud Locations。
接下来,选择要附加的任意文件(对后面操作无影响)。
选中“Share as a OneDrive link”选项。 这是将文件附加为云附件的选项。
拦截请求并修改location地址。 将其设置为以重定向到恶意可执行文件的无害扩展名结尾的 URL,在示例中修改为 /test/testfile.pdf。
当电子邮件发送给目标用户时,他们看到的只是一个 PDF 附件。 但是,当单击附件时,会下载我们精心准备的恶意可执行文件。
结论
这是一项非常棒的技术,在红队工作中尝试获得初始访问权限时很有帮助。 使用此技术的另一个好处是附件指向的链接不会被扫描,因此减少了邮箱发送文件过程中被拦截的可能。
致谢
最新文章
- SQL Server 积累
- 1201MySQL配置文件mysql.ini参数详解
- 动画--android图片点击放大动画,并遮挡旁边的控件
- UITableView的常用属性和代理方法
- API
- node.js和express.js安装和使用步骤 [windows]
- Java多线程学习(转载)
- codeforces 713A A. Sonya and Queries(状态压缩)
- Sui 弹框固定
- 教程-Delphi第三方控件安装卸载指南
- SDWebImage 源码阅读分享
- linux系统下svn服务器操作命令
- 搭讪培训班 - 名品试用 - YOKA时尚论坛 - YOKA社区
- 第52周四ApplicationContext
- 斯坦福大学IOS开发课程笔记(第七课第一部分)
- Android开发ListView使用OnScrollListener实现分页加载数据
- MyCat-schema.xml详解
- Day11--Python--函数名,闭包,迭代器
- 设计模式---接口隔离模式之门面模式(Façade)
- SkylineGlobe的PopupMessage里面嵌入的网页如何与主页面交互通讯