溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

如何使用Sysmon和Zone.Identifier文件檢測(cè)HTML走私攻擊

發(fā)布時(shí)間:2021-09-14 18:23:21 來源:億速云 閱讀:165 作者:小新 欄目:編程語言

這篇文章將為大家詳細(xì)講解有關(guān)如何使用Sysmon和Zone.Identifier文件檢測(cè)HTML走私攻擊,小編覺得挺實(shí)用的,因此分享給大家做個(gè)參考,希望大家閱讀完這篇文章后可以有所收獲。

Sysmon ID 15(FileCreateStreamHash)

從版本11.10開始,Sysmon可以記錄ADS的內(nèi)容。因此,如果HTML Smuggling在Zone.Identifier ADS中工件,那么我們可以使用Sysmon來檢測(cè)到發(fā)生了HTML Smuggling。

測(cè)試方法

為了測(cè)試每個(gè)瀏覽器,我使用了Outflank.nl中的此文檔。在瀏覽器中,我都是通過原始URL和本地保存的副本打開文檔的。這是為了確定瀏覽器是否根據(jù)所使用的協(xié)議(http://https://file://)對(duì)下載的文件進(jìn)行了不同的處理。

結(jié)果

瀏覽器版本經(jīng)過測(cè)試

Google Chrome版本88.0.4324.96(正式版本)(64位)

Mozilla Firefox版本84.0.2(64位)

Microsoft Edge(Chromium)版本88.0.705.50(官方版本)(64位)

Microsoft Edge(舊版)版本44.18362.449.0

注意:通過“smuggling頁面”,我的意思是例如https://www.outflank.nl/demo/html_smuggling.html或C:\Users\Joshua\Downloads\html_smuggling.html

Google Chrome,F(xiàn)irefox和Chromium Edge都表現(xiàn)出相同的行為。對(duì)于托管和本地走私頁面,都創(chuàng)建了Zone.Identifier ADS,但是HostUrl屬性設(shè)置為about:internet,而不是原始頁面。

如何使用Sysmon和Zone.Identifier文件檢測(cè)HTML走私攻擊

另一方面,Legacy Edge對(duì)這些文件的處理方式有所不同。通過HTTP(S)為走私頁面提供服務(wù)時(shí),將創(chuàng)建Zone.Identifier ADS,并將HostUrl屬性設(shè)置為原始頁面,并以**blob:**開頭。

如何使用Sysmon和Zone.Identifier文件檢測(cè)HTML走私攻擊

當(dāng)在本地提供走私頁面時(shí),則舊版Edge只會(huì)為下載的文檔創(chuàng)建一個(gè)Zone.Identifier ADS?,F(xiàn)代電子郵件客戶端將為來自互聯(lián)網(wǎng)的電子郵件創(chuàng)建附件的Zone.Identifier ADS,因此Sysmon仍應(yīng)檢測(cè)通過電子郵件發(fā)送的走私頁面下載并在舊版邊緣中打開的文件。

在這種情況下,HostUrl屬性的原點(diǎn)為空,但是ReferrerUrl將指向走私頁面。

如何使用Sysmon和Zone.Identifier文件檢測(cè)HTML走私攻擊

總結(jié)


MOTW Created (http://)MOTW Created (file://)流包含文檔URL可識(shí)別的HTML走私
谷歌瀏覽器是的是的是的
火狐瀏覽器是的是的是的
Chromium Edge是的是的是的
舊版Edge是的這取決于*是的對(duì)于http://,是的,對(duì)于file://,取決于*

對(duì)于本地走私頁面(file://),如果走私頁面只有一個(gè),舊版Edge只會(huì)為下載的文件創(chuàng)建一個(gè)Zone.Identifier ADS。

Sysmon規(guī)則

從以上結(jié)果中,我們可以看到Sysmon可以通過查找包含以下兩個(gè)值之一的Zone.Identifier備用數(shù)據(jù)流來檢測(cè)HTML Smuggling攻擊:

HostUrl=about:internet

HostUrl=blob:

Sysmon XML

<RuleGroup name="" groupRelation="or"><FileCreateStreamHash onmatch="include">
	<Rule name="HTML_Smuggling" groupRelation="and"><TargetFilename condition="end with">:Zone.Identifier</TargetFilename><Contents condition="contains any">blob:;about:internet</Contents>		
	</Rule></FileCreateStreamHash>
</RuleGroup>?

關(guān)于“如何使用Sysmon和Zone.Identifier文件檢測(cè)HTML走私攻擊”這篇文章就分享到這里了,希望以上內(nèi)容可以對(duì)大家有一定的幫助,使各位可以學(xué)到更多知識(shí),如果覺得文章不錯(cuò),請(qǐng)把它分享出去讓更多的人看到。

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI