您好,登錄后才能下訂單哦!
這篇文章將為大家詳細(xì)講解有關(guān)如何使用Sysmon和Zone.Identifier文件檢測(cè)HTML走私攻擊,小編覺得挺實(shí)用的,因此分享給大家做個(gè)參考,希望大家閱讀完這篇文章后可以有所收獲。
從版本11.10開始,Sysmon可以記錄ADS的內(nèi)容。因此,如果HTML Smuggling在Zone.Identifier ADS中工件,那么我們可以使用Sysmon來檢測(cè)到發(fā)生了HTML Smuggling。
為了測(cè)試每個(gè)瀏覽器,我使用了Outflank.nl中的此文檔。在瀏覽器中,我都是通過原始URL和本地保存的副本打開文檔的。這是為了確定瀏覽器是否根據(jù)所使用的協(xié)議(http://
或https://
和file://
)對(duì)下載的文件進(jìn)行了不同的處理。
Google Chrome版本88.0.4324.96(正式版本)(64位)
Mozilla Firefox版本84.0.2(64位)
Microsoft Edge(Chromium)版本88.0.705.50(官方版本)(64位)
Microsoft Edge(舊版)版本44.18362.449.0
注意:通過“smuggling頁面”,我的意思是例如https://www.outflank.nl/demo/html_smuggling.html或C:\Users\Joshua\Downloads\html_smuggling.html
Google Chrome,F(xiàn)irefox和Chromium Edge都表現(xiàn)出相同的行為。對(duì)于托管和本地走私頁面,都創(chuàng)建了Zone.Identifier ADS,但是HostUrl屬性設(shè)置為about:internet,而不是原始頁面。
另一方面,Legacy Edge對(duì)這些文件的處理方式有所不同。通過HTTP(S)為走私頁面提供服務(wù)時(shí),將創(chuàng)建Zone.Identifier ADS,并將HostUrl屬性設(shè)置為原始頁面,并以**blob:**開頭。
當(dāng)在本地提供走私頁面時(shí),則舊版Edge只會(huì)為下載的文檔創(chuàng)建一個(gè)Zone.Identifier ADS?,F(xiàn)代電子郵件客戶端將為來自互聯(lián)網(wǎng)的電子郵件創(chuàng)建附件的Zone.Identifier ADS,因此Sysmon仍應(yīng)檢測(cè)通過電子郵件發(fā)送的走私頁面下載并在舊版邊緣中打開的文件。
在這種情況下,HostUrl屬性的原點(diǎn)為空,但是ReferrerUrl將指向走私頁面。
MOTW Created (http://) | MOTW Created (file://) | 流包含文檔URL | 可識(shí)別的HTML走私 | |
---|---|---|---|---|
谷歌瀏覽器 | 是的 | 是的 | 不 | 是的 |
火狐瀏覽器 | 是的 | 是的 | 不 | 是的 |
Chromium Edge | 是的 | 是的 | 不 | 是的 |
舊版Edge | 是的 | 這取決于* | 是的 | 對(duì)于http://,是的,對(duì)于file://,取決于* |
對(duì)于本地走私頁面(file://),如果走私頁面只有一個(gè),舊版Edge只會(huì)為下載的文件創(chuàng)建一個(gè)Zone.Identifier ADS。
從以上結(jié)果中,我們可以看到Sysmon可以通過查找包含以下兩個(gè)值之一的Zone.Identifier備用數(shù)據(jù)流來檢測(cè)HTML Smuggling攻擊:
HostUrl=about:internet
HostUrl=blob:
<RuleGroup name="" groupRelation="or"><FileCreateStreamHash onmatch="include"> <Rule name="HTML_Smuggling" groupRelation="and"><TargetFilename condition="end with">:Zone.Identifier</TargetFilename><Contents condition="contains any">blob:;about:internet</Contents> </Rule></FileCreateStreamHash> </RuleGroup>?
關(guān)于“如何使用Sysmon和Zone.Identifier文件檢測(cè)HTML走私攻擊”這篇文章就分享到這里了,希望以上內(nèi)容可以對(duì)大家有一定的幫助,使各位可以學(xué)到更多知識(shí),如果覺得文章不錯(cuò),請(qǐng)把它分享出去讓更多的人看到。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。