使用Outlook欺骗性云附件进行网络钓鱼

利用Microsoft365 Outlook 云附件的方式发送恶意可执行件,达到伪装效果。
踩坑提示:此场景要用 Microsoft365 客户端!

介绍

在本文中,我们将探讨如何滥用 O365 上的云附件功能使可执行文件(或任何其他文件类型)显示为无害的附件。

Microsoft365 允许用户通过以下两种方式之一上传附件:

  • 直接附件 - 传统的上传文件方式,严格限制允许的文件类型。
  • 云附件 - 云上可用的附件 (OneDrive/SharePoint),文件类型不受限制。

下图显示了附件对目标用户的显示方式,唯一区别是视觉上的图标和云附件部​​分显示链接。

了解了区别,让我们简单演示下,如何利用云附件技术来附加恶意可执行文件。

准备

在继续之前,你应该做几件事:

1.搭建HTTP服务器并配置域名,由于云附件会显示链接,因此建议创建一个子域,例如 onedrive.microsoft.*,增加云附件的可信度。 在以下演示中,条件有限一切从简,但在实战中强烈推荐。

2.在HTTP服务器上托管准备的恶意可执行文件。

3.在服务器上设置一个 HTTP重定向,它将以无害扩展名(.xls、.pdf、.docx 等)结尾的路径重定向到您的恶意可执行文件。 这非常重要,因为我们将看到 Microsoft365 根据链接的文件扩展名选择附件的图标。 这里,设置了一个重定向 /test/testfile.pdf到 /evil.exe.


附加欺骗的恶意可执行文件

向目标用户撰写邮件,单击附件图标 > Browse Cloud Locations。

接下来,选择要附加的任意文件(对后面操作无影响)。

选中“Share as a OneDrive link”选项。 这是将文件附加为云附件的选项。

拦截请求并修改location地址。 将其设置为以重定向到恶意可执行文件的无害扩展名结尾的 URL,在示例中修改为 /test/testfile.pdf。

当电子邮件发送给目标用户时,他们看到的只是一个 PDF 附件。 但是,当单击附件时,会下载我们精心准备的恶意可执行文件。

结论

这项技术,在红队工作中尝试获得初始访问权限时很有帮助。 使用此技术的另一个好处是附件指向的链接不会被扫描,因此减少了邮箱发送文件过程中被拦截的可能。

致谢

@mrd0x

posted @ 2022-01-22 14:08  zha0gongz1  阅读(412)  评论(0编辑  收藏  举报