使用Outlook欺骗性云附件进行网络钓鱼

利用Microsoft365 Outlook 云附件的方式发送恶意可执行件，达到伪装效果。
踩坑提示：此场景要用 Microsoft365 客户端！

介绍

在本文中，我们将探讨如何滥用 O365 上的云附件功能使可执行文件（或任何其他文件类型）显示为无害的附件。

Microsoft365 允许用户通过以下两种方式之一上传附件：

• 直接附件 - 传统的上传文件方式，严格限制允许的文件类型。
• 云附件 - 云上可用的附件 (OneDrive/SharePoint)，文件类型不受限制。

下图显示了附件对目标用户的显示方式，唯一区别是视觉上的图标和云附件部​​分显示链接。

了解了区别，让我们简单演示下，如何利用云附件技术来附加恶意可执行文件。

准备

在继续之前，你应该做几件事：

1.搭建HTTP服务器并配置域名，由于云附件会显示链接，因此建议创建一个子域，例如 onedrive.microsoft.*，增加云附件的可信度。 在以下演示中，条件有限一切从简，但在实战中强烈推荐。

2.在HTTP服务器上托管准备的恶意可执行文件。

3.在服务器上设置一个 HTTP重定向，它将以无害扩展名（.xls、.pdf、.docx 等）结尾的路径重定向到您的恶意可执行文件。 这非常重要，因为我们将看到 Microsoft365 根据链接的文件扩展名选择附件的图标。 这里，设置了一个重定向 /test/testfile.pdf到 /evil.exe.

附加欺骗的恶意可执行文件

向目标用户撰写邮件，单击附件图标 > Browse Cloud Locations。

接下来，选择要附加的任意文件（对后面操作无影响）。

选中“Share as a OneDrive link”选项。 这是将文件附加为云附件的选项。

拦截请求并修改location地址。 将其设置为以重定向到恶意可执行文件的无害扩展名结尾的 URL，在示例中修改为 /test/testfile.pdf。

当电子邮件发送给目标用户时，他们看到的只是一个 PDF 附件。 但是，当单击附件时，会下载我们精心准备的恶意可执行文件。

结论

这项技术，在红队工作中尝试获得初始访问权限时很有帮助。 使用此技术的另一个好处是附件指向的链接不会被扫描，因此减少了邮箱发送文件过程中被拦截的可能。

致谢

@mrd0x