溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇文章將為大家詳細講解有關如何使用Sysmon和Zone.Identifier文件檢測HTML走私攻擊,小編覺得挺實用的,因此分享給大家做個參考,希望大家閱讀完這篇文章后可以有所收獲。
從版本11.10開始,Sysmon可以記錄ADS的內容。因此,如果HTML Smuggling在Zone.Identifier ADS中工件,那么我們可以使用Sysmon來檢測到發生了HTML Smuggling。
為了測試每個瀏覽器,我使用了Outflank.nl中的此文檔。在瀏覽器中,我都是通過原始URL和本地保存的副本打開文檔的。這是為了確定瀏覽器是否根據所使用的協議(http://或https://和file://)對下載的文件進行了不同的處理。
Google Chrome版本88.0.4324.96(正式版本)(64位)
Mozilla Firefox版本84.0.2(64位)
Microsoft Edge(Chromium)版本88.0.705.50(官方版本)(64位)
Microsoft Edge(舊版)版本44.18362.449.0
注意:通過“smuggling頁面”,我的意思是例如https://www.outflank.nl/demo/html_smuggling.html或C:\Users\Joshua\Downloads\html_smuggling.html
Google Chrome,Firefox和Chromium Edge都表現出相同的行為。對于托管和本地走私頁面,都創建了Zone.Identifier ADS,但是HostUrl屬性設置為about:internet,而不是原始頁面。
另一方面,Legacy Edge對這些文件的處理方式有所不同。通過HTTP(S)為走私頁面提供服務時,將創建Zone.Identifier ADS,并將HostUrl屬性設置為原始頁面,并以**blob:**開頭。
當在本地提供走私頁面時,則舊版Edge只會為下載的文檔創建一個Zone.Identifier ADS。現代電子郵件客戶端將為來自互聯網的電子郵件創建附件的Zone.Identifier ADS,因此Sysmon仍應檢測通過電子郵件發送的走私頁面下載并在舊版邊緣中打開的文件。
在這種情況下,HostUrl屬性的原點為空,但是ReferrerUrl將指向走私頁面。
| MOTW Created (http://) | MOTW Created (file://) | 流包含文檔URL | 可識別的HTML走私 | |
|---|---|---|---|---|
| 谷歌瀏覽器 | 是的 | 是的 | 不 | 是的 |
| 火狐瀏覽器 | 是的 | 是的 | 不 | 是的 |
| Chromium Edge | 是的 | 是的 | 不 | 是的 |
| 舊版Edge | 是的 | 這取決于* | 是的 | 對于http://,是的,對于file://,取決于* |
對于本地走私頁面(file://),如果走私頁面只有一個,舊版Edge只會為下載的文件創建一個Zone.Identifier ADS。
從以上結果中,我們可以看到Sysmon可以通過查找包含以下兩個值之一的Zone.Identifier備用數據流來檢測HTML Smuggling攻擊:
HostUrl=about:internet
HostUrl=blob:
<RuleGroup name="" groupRelation="or"><FileCreateStreamHash onmatch="include"> <Rule name="HTML_Smuggling" groupRelation="and"><TargetFilename condition="end with">:Zone.Identifier</TargetFilename><Contents condition="contains any">blob:;about:internet</Contents> </Rule></FileCreateStreamHash> </RuleGroup>?
關于“如何使用Sysmon和Zone.Identifier文件檢測HTML走私攻擊”這篇文章就分享到這里了,希望以上內容可以對大家有一定的幫助,使各位可以學到更多知識,如果覺得文章不錯,請把它分享出去讓更多的人看到。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
