我们将按照我们在Fast Track OFFZONE-2019上的表现脚步发布一篇文章,其报告为“ Fishnet交易-Microsoft Azure如何帮助进行网络钓鱼攻击。”
在进行带有恶意附件分发的网络钓鱼攻击时,主要问题是绕过受害者邮件服务器上的垃圾邮件过滤器。 许多公司在Microsoft云中都有邮件-因此,您确实需要成为邮件列表专家,恶意附件才能经过Microsoft训练有素的垃圾邮件过滤器。
进行RedTeam时,我们尝试使用用户使用的合法手段。 例如,公司中存在VPN服务有助于我们以用户权限进入公司,同时引起最少的怀疑(或根本不会引起怀疑)。
有一个想法可以了解微软如何为我们提供帮助。 我们研究了Microsoft提供的保护类型,并决定了解Azure信息保护是什么样的野兽。
Azure信息保护
在本研究中,我们将研究Azure信息保护(AIP),该工具可让您根据机密程度对文档进行分类,并限制组织的不同用户对其的访问。
它非常易于使用-已下载软件,借助该软件可以为每个文档设置某些权限。 为每个公司配置标签和隐私级别-管理员具有此类权利和义务。 默认情况下,仅创建2个级别-机密和高度机密。
也可以允许单个用户访问并为他们分配使用文档的权限。 例如,如果您需要特定的用户才能更改文档中的任何内容,但是要接收信息,则可以专门为他设置查看器模式。
Azure信息保护与Office365集成在一起,并且用户不需要其他软件即可打开文档并对其执行允许的操作(从阅读到编辑以及文档的完整权限)。
当不将AIP用于Office365时-受保护的文档具有pfile扩展名,如果没有Azure信息保护查看器,则无法打开它。
通常,该解决方案似乎很有趣,因此我们决定进行研究。
要重新部署,我们需要:
- 选择并为我们注册一个合适的Microsoft帐户
- 注册2家公司(攻击者和受害者)
- 创建恶意文档,然后将其发送到网络钓鱼电子邮件中
Microsoft帐户注册
在本研究中,我们选择一个Microsoft商业帐户,因为它具有Azure信息保护。 AIP也在其他关税计划中,可以在
此处找到。
我们不会详细描述注册帐户时遇到的困难。 我们将简要介绍-您无法在俄罗斯自行注册企业帐户。 都是因为制裁。 但是您可以求助于合作伙伴(官方公司,其中有4家在俄罗斯),也可以先在欧洲购买本地SIM卡,然后在欧洲度假注册。
注册了2家公司。 1家公司-受害者公司MyMetalCompany,域为mymetalcompany.club,还有两个用户-Petr Petrov,Vasya Vasechkin。 受害公司不使用AIP。
2家公司-攻击公司-具有来自Microsoft的标准域的Gem公司-gemcompany.onmicrosoft.com,并且唯一的用户-Evil用户,该用户将网络钓鱼电子邮件发送给Petrov和Vasechkin。
Evil用户将对恶意文档进行实验,该恶意文档被分类为DDEDownloader-具有内置链接的文档,通过该链接可以下载Power Shell脚本并在命令行上启动。 宝石公司使用AIP。
测试中
回想一下,我们的主要目标是使恶意文档通过垃圾邮件过滤器,并在“收件箱”文件夹中吸引用户。
首先要检查的是,如果我们以所谓的“干净形式”发送恶意文件,则该恶意文件是否到达用户。 我们会将刚刚从邪恶用户那里产生的文件发送给瓦塞奇金同志。
结果是可以预见的-微软不喜欢我们的来信,他认为瓦塞奇金不值得关注这种垃圾。 实际上,这封信没有写给瓦塞奇金。
我们将尝试通过Azure信息保护,只有Vasechkin可以在读取模式下读取文档。 为什么只在读取模式下? 因为对于我们来说重要的是用户打开文档,并且他对该文档可以执行的操作完全无关紧要。 因此,读取模式就足够了。 请注意,我们不会更改文档中的任何内容。 我们只是对使用文档设置了限制。 再有就是加密技术,它组织了AIP,但是在本研究中我们不在乎。
我们会将此类文件发送给Petrov和Vasechkin。 让我们看看它们每个都会发生什么。 请注意,Petrov通常无权使用该文档。
您首先要注意的是,恶意文件最终出现在Petrov和Vasechkin的收件箱中!
Vasechkin使用Microsoft Word平静地打开文档。 他不需要任何其他软件。
我们看到访问受到限制,但是文档的所有内容也是可见的。
另一点-受AIP保护的文档只能在Word中打开,即 您无法在邮件客户端或某些在线服务的查看模式下看到它。
彼得罗夫(Petrov)的情况恰恰相反-他无法打开文档,因为他“没有文档”(正如他们在一部著名漫画中所说)。
在缺点中-您可以看到他们使用AIP保护文档的帐户。 这可能在调查事件时为BlueTeam提供某种线索。 否则,一切都会按照我们设置的规则进行。
太好了,但是如果我们尝试仅设置隐私级别会怎样? 我们不需要任何人都可以打开文档-本研究的主要内容是进入收件箱。
他们试图设置文档的机密级别-使用垃圾邮件过滤器剪切文档。
另外,可以对字母设置限制。 一个附加组件出现在Outlook客户端中,它使您可以设置对信件的限制,并且这些限制(根据Microsoft在文档中的编写方式)适用于信件的所有内容,包括附件。 如果用户使用的是AIP,则会出现加载项。 在我们的例子中,Evil User使用它,并且它具有这样的附加组件。
他们试图在带有附件的信件上贴上高度保密标签-信件没有进入收件箱。
我们了解不应设置“针对所有用户”,因为“所有用户”还包括用于检查传入信件中是否存在恶意软件的服务帐户。
追踪系统
跟踪系统是AIP的一项很酷的功能,它使您可以确定谁,何时何地从何处打开了文档或试图打开文档。
在这种情况下,我们看到Petrov尝试打开该文档,但他没有成功。 Vasechkin打开了文件。 在进行网络钓鱼攻击时,您无需考虑任何事情(例如救赎),我们会立即查看您打开的朋友是否是附件。
您还可以配置通知系统,以便在您尝试打开文档时收到一封电子邮件。
结论
该研究的目的是绕过使用Microsoft本身(使用公司提供的保护手段)的Microsoft垃圾邮件过滤器。
- 只需备注即可成功实现该目标-您需要专门使用AIP来设置特定用户的访问权限。 绕过其他安全功能-防病毒,打开文档时被激活的入侵检测系统(我们采取了被所有安全功能检测到的故意恶意文件)-取决于您的想象力。 我们仅在收件箱中查找字母。
- Azure信息保护仅适用于授权的Office365用户(这是加密的魔力)。 在几乎所有组织中,用户都登录到Office365,没有任何困难。 但是认为这个事实是必要的。
- 跟踪系统通常是很漂亮的东西,使用起来方便实用。
- 使用AIP保护文档(可以说达到其预期的目的)也很酷,并且会引起攻击者的头痛-访问文档变得更加困难。
演示文稿中的演示文稿可以在我们的
GitHub上找到 。
感谢OFFZONE的组织者参加会议! 真有趣!