利用Microsoft365 Outlook 雲附件的方式傳送惡意可執行件,達到偽裝效果。
介紹
在本文中,我們將探討如何濫用 O365 上的雲附件功能使可執行檔案(或任何其他檔案型別)顯示為無害的附件。
Microsoft365 允許您通過以下兩種方式之一上傳附件:
- 直接附件 - 傳統的上傳檔案方式,嚴格限制允許的檔案型別。
- 雲附件 - 雲上可用的附件 (OneDrive/SharePoint),檔案型別不受限制。
下圖顯示了附件對使用者的顯示方式。 唯一區別是視覺上的圖示和雲附件部分顯示連結。
瞭解了區別,讓我們簡單演示下,如何利用雲附件技術來附加惡意可執行檔案。
準備
在繼續之前,你應該做幾件事:
1.搭建HTTP伺服器並配置域名,由於雲附件會顯示連結,因此建議建立一個子域,例如 onedrive.microsoft.*,增加雲附件的可信度。 在以下演示中,條件有限一切從簡,但在實戰中強烈推薦。
2.在HTTP伺服器上託管準備的惡意可執行檔案。
3.在伺服器上設定一個 HTTP重定向,它將以無害副檔名(.xls、.pdf、.docx 等)結尾的路徑重定向到您的惡意可執行檔案。 這非常重要,因為我們將看到 Microsoft365 根據連結的副檔名選擇附件的圖示。 這裡,設定了一個重定向 /test/testfile.pdf到 /evil.exe.
附加欺騙的惡意可執行檔案
向目標使用者撰寫郵件,單擊附件圖示 > Browse Cloud Locations。
接下來,選擇要附加的任意檔案(對後面操作無影響)。
選中“Share as a OneDrive link”選項。 這是將檔案附加為雲附件的選項。
攔截請求並修改location地址。 將其設定為以重定向到惡意可執行檔案的無害副檔名結尾的 URL,在示例中修改為 /test/testfile.pdf。
當電子郵件傳送給目標使用者時,他們看到的只是一個 PDF 附件。 但是,當單擊附件時,會下載我們精心準備的惡意可執行檔案。
結論
這項技術,在紅隊工作中嘗試獲得初始訪問許可權時很有幫助。 使用此技術的另一個好處是附件指向的連結不會被掃描,因此減少了郵箱傳送檔案過程中被攔截的可能。