使用Outlook欺骗性云附件进行网络钓鱼
滥用Microsoft365 Outlook 云附件的方式发送恶意文件,使恶意可执行云附件规避云查杀检测
介绍
在本文中,我们将探讨如何滥用 O365 上的云附件功能使可执行文件(或任何其他文件类型)显示为无害的附件。
O365 允许您通过以下两种方式之一上传附件:
- 直接附件 - 上传文件的传统方式。 严格限制允许的文件类型。
- 云附件 - 附加云上可用的文件 (OneDrive/SharePoint)。 文件类型不受限制。
下图显示了附件对目标用户的显示方式。 唯一真正的视觉区别是图标和云附件部分显示链接。
现在了解了区别,让我们滥用云附件技术来附加恶意可执行文件。
准备工作
在继续之前,您应该做几件事:
1.搭建HTTP服务器并配置域名,由于云附件会显示链接,因此建议创建一个子域,例如 onedrive.microsoft.*,增加云附件的可信度。 在以下演示中,条件有限一切从简,但在实战中强烈推荐。
2.在HTTP服务器上托管准备的恶意可执行文件。
3.在服务器上设置一个 HTTP重定向,它将以无害扩展名(.xls、.pdf、.docx 等)结尾的路径重定向到您的恶意可执行文件。 这非常重要,因为我们将看到 Microsoft365 根据链接的文件扩展名选择附件的图标。 这里,设置了一个重定向 /test/testfile.pdf到 /evil.exe.
附加欺骗的恶意可执行文件
向目标用户撰写邮件,单击附件图标 > Browse Cloud Locations。
接下来,选择要附加的任意文件(对后面操作无影响)。
选中“Share as a OneDrive link”选项。 这是将文件附加为云附件的选项。
拦截请求并修改location地址。 将其设置为以重定向到恶意可执行文件的无害扩展名结尾的 URL,在示例中修改为 /test/testfile.pdf。
当电子邮件发送给目标用户时,他们看到的只是一个 PDF 附件。 但是,当单击附件时,会下载我们精心准备的恶意可执行文件。
结论
这是一项非常棒的技术,在红队工作中尝试获得初始访问权限时很有帮助。 使用此技术的另一个好处是附件指向的链接不会被扫描,因此减少了邮箱发送文件过程中被拦截的可能。
致谢
使用Outlook欺骗性云附件进行网络钓鱼的更多相关文章
- 云平台编程与开发(七)-使用X5Cloud云平台开发网络彩讯
云平台编程与开发(七)-使用X5Cloud云平台开发网络彩讯 博客分类: 云平台 云计算 Java Android Android 云平台 Java 网络彩讯定义以及工作大概流程 下载试用地址:ap ...
- iPhone 5s网络钓鱼邮件,和苹果发布会同步亮相
正如预期的一样,网络犯罪分子会利用Apple最新发表的iPhone 5s消息,几乎在苹果的新产品发表会同时,这个网络钓鱼(Phishing)信件开始流传.此次,趋势科技病毒防治中心 Trend Lab ...
- TOP100summit【分享实录-网易】构建云直播分发网络
本篇文章内容来自2016年TOP100summit网易视频云.网易杭州研究院服务端技术专家邵峰的案例分享.编辑:Cynthia 邵峰:网易视频云.网易杭州研究院服务端技术专家浙江大学计算机专业博士毕业 ...
- powershell网络钓鱼获取用户密码
1.powershell网络钓鱼脚本: https://raw.githubusercontent.com/enigma0x3/Invoke-LoginPrompt/master/Invoke-Log ...
- 2019 GNTC 阿里云参会分享:云原生SDWAN网络2.0 一站式上云服务
本次10/22-24 南京2019 GNTC大会上,阿里云网络云原生SDWAN网络2.0 由于独特的云原生定位.创新的解决方案,及成熟的应用案例.行业用户,获得行业媒体C114中国通信网.产业专家高度 ...
- Red Team 工具集之网络钓鱼和水坑攻击
来自:信安之路(微信号:xazlsec),作者:myh0st 参考项目:https://github.com/infosecn1nja/Red-Teaming-Toolkit 上图是一个 Red Te ...
- CVPR2020:4D点云语义分割网络(SpSequenceNet)
CVPR2020:4D点云语义分割网络(SpSequenceNet) SpSequenceNet: Semantic Segmentation Network on 4D Point Clouds 论 ...
- 云原生虚拟网络 tun/tap & veth-pair
云原生虚拟网络 tun/tap & veth-pair 转载请声明出处哦~,本篇文章发布于luozhiyun的博客:https://www.luozhiyun.com/archives/684 ...
- Outlook不能打开附件(提示:无法创建文件xx,请右键单击要在其中创建文件的文件夹..)
问题分析: 出现这种问题的几率很小,除非你是每天都需要使用Outlook的办公人员.出现这种问题我想有如下两种可能.1.注册表中指定的附档临时保存的目录没有写入的相关权限.2.同名附档已存在且权限出现 ...
随机推荐
- react组件配置样式hover效果的实现
需求 react 自定义一个组件,组件内部样式可以灵活配置 问题 一般样式都可以通过属性传入,比如:颜色,字号等,但是对于一些有hover效果的地方,属性传入后,按照平时css的使用方式不太容易实现 ...
- SQL注入绕过
空格字符绕过 %09 TAB建(水平) %0a 新建一行,换行 %0b TAB建(垂直) %0c 新的一页 %0d return 功能 %a0 空格 %00 /**/ /*!*/./*!50009*/ ...
- IDEA报错 Unable to open debugger port (127.0.0.1:63342): java.net.BindException "Address already in use
Unable to open debugger port (127.0.0.1:63342): java.net.BindException "Address already in use ...
- 细聊.NET6 ConfigurationManager的实现
前言 友情提示:建议阅读本文之前先了解下.Net Core配置体系相关,也可以参考本人之前的文章<.Net Core Configuration源码探究>然后对.Net Core的Conf ...
- 【LeetCode】1137. N-th Tribonacci Number 解题报告(C++)
作者: 负雪明烛 id: fuxuemingzhu 个人博客: http://fuxuemingzhu.cn/ 目录 题目描述 题目大意 解题方法 动态规划 日期 题目地址:https://leetc ...
- vue.js是什么?它的优点有哪些?
Vue.js 是一套响应式的 JavaScript 开发库.其他前端开发库也有很多,比如 jQuery.ExtJS.Angular 等. Vue.js 自问世以来所受关注度不断提高,在现在的市场上,V ...
- [高数]高数部分-Part II 导数与微分
Part II 导数与微分 回到总目录 Part II 导数与微分 一元函数微分的定义 一元函数定义注意点 基本求导公式 基本求导方法 复合函数求导 隐函数求导 对数求导法 反函数求导 参数方程求导 ...
- gojs 如何实现虚线(蚂蚁线)动画?
在绘制 dag 图时,通过节点和来箭头的连线来表示节点彼此之间的关系.而节点常常又带有状态,为了更好的表示节点之间的流程关系,loading 状态的节点,与后续节点之间,需要用 动画着的虚线 表示,表 ...
- Kafka基础教程(一):认识Kafka
Kafka是Apache下的一个子项目,是一个高性能跨语言分布式发布/订阅消息队列系统,吞吐速率非常快,可以作为Hadoop的日志收集.Kafka是一个完全的分布式系统,这一点依赖于Zookeeper ...
- nodejs创建一个简单的web服务
这是一个突如其来的想法,毕竟做web服务的框架那么多,为什么要选择nodejs,因为玩前端时,偶尔想调用接口获取数据,而不想关注业务逻辑,只是想获取数据,使用java或者.net每次修改更新后还要打包 ...