背景
现今针对钓鱼邮件的安全防护产品日益健全,能高效的通过域名识别标记恶意链接,也能动态扫描标记恶意附件,诸如.exe或者宏文档附件已经基本无法进入收件箱,甚至加密压缩包也会被标记为高可疑附件。而由于html附件是不可执行文件,默认会被认为是无害的静态文件,黑客正是利用这种“无害”特性规避安全产品的扫描,将钓鱼邮件投递到受害者的邮箱。
01 替代钓鱼网站
大多数人了解的钓鱼网站通常由几个部分构成,包括:高仿的恶意域名、高仿钓鱼页面、隐蔽传播的恶意链接(如通过按钮跳转),实际上通过附件传播的html文件能够实现钓鱼网站的全部功能,双击打开html附件后浏览器会解析html文件里面的样式和恶意js代码,攻击者只需要构造一个欺骗性的html页面,然后将提交地址指向他控制的服务器,而不需要购买高仿的域名来欺骗受害者点击,同时也避免了域名暴露后影响整个钓鱼行动。
如图,当受害者在html文件中输入密码后,凭据信息将被提交给攻击者控制的test.com。
图:HTML 附件钓鱼页面效果演示
图:HTML 附件钓鱼页面部分代码
02 HTML Smuggling
为了躲避邮件沙箱的分析,邮件的附件通常会采取加密压缩、多层压缩包的处理,而利用HTML Smuggling技术可以达到更隐蔽的规避效果,简单来说利用该技术可以将恶意文件以Base64编码的形式嵌在HTML代码中,当目标打开html文件时会展示给目标一个诱导的html文件,同时触发html文件里面的JavaScript代码,自动下载原本的恶意文件,这样可以有效躲避邮件网关对恶意附件的自动分析。
同时,由于受害者浏览器本身位于防火墙之后,动态生成的文件在下载过程中并不产生新的访问流量,这种方法可以有效地绕过防火墙、全流量设备和沙箱等对恶意文档的检测。如图,当受害者打开一个html附件后浏览器自动下载了包含恶意文件的压缩包,并且页面通过js代码完成了诱导跳转。
图:HTML Smuggling效果演示
图:HTML Smuggling技术展示
03 剪贴板劫持
通过前两个例子不难看出,html附件之所以能被恶意利用是由于浏览器会解析文件中的js代码,不免联想JavaScript还有没有什么骚操作呢,想到了JavaScript可以操作剪贴板,对这个技术感兴趣的可以看下官方说明。
大致思路就是诱导受害者复制页面上的内容,然后通过js代码劫持html页面上的所有复制事件,然后在剪贴板写入任意的恶意内容,这样就达到了剪贴板劫持的效果。可能有人会问劫持剪贴板有什么用,这里举一个例子:
如图,首先仿造一个“xxx教学手册”的html文件,然后诱导目标打开cmd框,当目标复制看似无害的内容时,将剪贴板劫持成恶意一句话上线命令+输出给目标看的伪造字符,当目标粘贴进cmd后直接上线,并且看到的是伪造的字符,毫无察觉。
图:剪贴板劫持html附件
图:剪贴板劫持效果演示
04 写在最后
文中介绍了实战钓鱼中滥用Html附件的几种姿势旨在抛砖引玉,欢迎交流更多有意思的钓鱼思路。同时当下勒索软件等黑灰产日益猖獗,希望相关企业在发展的同时能兼顾安全,认识到人员就是企业的边界。
绿盟科技天元实验室专注于新型实战化攻防对抗技术研究。
研究目标包括:漏洞利用技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等蓝军技术,以及攻击技战术、攻击框架的研究。涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究,以及工业互联网、车联网等业务场景的攻击技术研究。通过研究攻击对抗技术,从攻击视角提供识别风险的方法和手段,为威胁对抗提供决策支撑。
M01N Team公众号
聚焦高级攻防对抗热点技术
绿盟科技蓝军技术研究战队
官方攻防交流群
网络安全一手资讯
攻防技术答疑解惑
扫码加好友即可拉群