admin
滥用Microsoft365 Outlook 云附件的方式发送恶意文件,使恶意可执行云附件规避云查杀检测
介绍
在本文中,我们将探讨如何滥用 O365 上的云附件功能使可执行文件(或任何其他文件类型)显示为无害的附件。
O365 允许您通过以下两种方式之一上传附件:
- 直接附件 - 上传文件的传统方式。 严格限制允许的文件类型。
- 云附件 - 附加云上可用的文件 (OneDrive/SharePoint)。 文件类型不受限制。
下图显示了附件对目标用户的显示方式。 唯一真正的视觉区别是图标和云附件部分显示链接。
现在了解了区别,让我们滥用云附件技术来附加恶意可执行文件。
准备工作
在继续之前,您应该做几件事:
1.搭建HTTP服务器并配置域名,由于云附件会显示链接,因此建议创建一个子域,例如 onedrive.microsoft.*,增加云附件的可信度。 在以下演示中,条件有限一切从简,但在实战中强烈推荐。
2.在HTTP服务器上托管准备的恶意可执行文件。
3.在服务器上设置一个 HTTP重定向,它将以无害扩展名(.xls、.pdf、.docx 等)结尾的路径重定向到您的恶意可执行文件。 这非常重要,因为我们将看到 Microsoft365 根据链接的文件扩展名选择附件的图标。 这里,设置了一个重定向 /test/testfile.pdf到 /evil.exe.
附加欺骗的恶意可执行文件
向目标用户撰写邮件,单击附件图标 > Browse Cloud Locations。
接下来,选择要附加的任意文件(对后面操作无影响)。
选中“Share as a OneDrive link”选项。 这是将文件附加为云附件的选项。
拦截请求并修改location地址。 将其设置为以重定向到恶意可执行文件的无害扩展名结尾的 URL,在示例中修改为 /test/testfile.pdf。
当电子邮件发送给目标用户时,他们看到的只是一个 PDF 附件。 但是,当单击附件时,会下载我们精心准备的恶意可执行文件。
结论
这是一项非常棒的技术,在红队工作中尝试获得初始访问权限时很有帮助。 使用此技术的另一个好处是附件指向的链接不会被扫描,因此减少了邮箱发送文件过程中被拦截的可能。
致谢
@mrd0x