无视防守!NoRelationship攻击绕过Office 365安全防护

无视防守!NoRelationship攻击绕过Office 365安全防护

本周二,网络安全公司Avanan发现了一种新的网络钓鱼攻击,该攻击绕过了EOP(Exchange Online Protection)URL过滤器,该过滤器能够扫描Office文档,如Word(.docx)、Excel(.xlsx)和PowerPoint(.pptx)。

钓鱼电子邮件包括一个.docx附件,其中附有一个恶意链接,定向到一个骗取用户凭据的登录页面。链接解析器不扫描整个文档,而是依赖于附件中包含的链接列表的关系(xml.rels)文件,因此无法识别恶意URL。

简单来说,就像书本上的索引目录一样,关系文件也列出了文档各部分的基本要素——外部链接和图像,或内部文档组件,如字体表。有时,关键术语可能不会包含在索引目录中,但它们仍然在书中出现。这次攻击中,黑客从关系文件中删除了外部链接,以绕过只读取索引目录而不是整个“书本”的链接解析器。

背景

Office Open XML文档是所有Office应用程序的默认格式。Office文档(.docx,.xlsx,.pptx)由许多XML文件组成,这些文件包含构成文档的所有字体、图像、格式和目标信息。

研究人员将任一.docx文件转换为ZIP格式,随后解压缩该文件,并在计算机的文档查找器中查看,如下所示:

无视防守!NoRelationship攻击绕过Office 365安全防护

MacOS系统中解压缩的.docx文件

可以看到,关系目录(word/_rels/document.xml.rels)是一个XML文件,它映射.docx文件中的关系(字体表、文档设置、注释、脚注、样式定义、编号定义)和文件包外部资源,如链接和图像。当文档包含Web链接时,它们将被添加到document.xml.rels 关系文件中。

无视防守!NoRelationship攻击绕过Office 365安全防护

上图示例关系文件中包含内部资源(如字体、主题和Web设置)和外部资源(如安全连接和恶意链接)。

无视防守!NoRelationship攻击绕过Office 365安全防护

上述关系文件中的链接在Word文档中呈现为超链接。

如果由于某种原因导致其中一个链接中断,那么当用户在原始文档中单击该链接时,该链接仍然有效。为了向后兼容,Word将解析链接。

NoRelationship攻击如何运作

在扫描附件以查找恶意内容时,大多数电子邮件过滤器会扫描文档中的外部Web链接,并将其与恶意网站数据库进行比较,甚至可以跟踪链接评估其攻击目标。

但是,许多解析器采用快捷方式,只查看document.xmls.rels文件,该文件通常包含完整文档中的所有URL列表。 如果由于某种原因,该文档中包含未体现在xmls.rels文件中的URL链接,即使它们仍处于活跃状态且可在文档中单击,这些解析器也不会发现。因此,“精明”的黑客们正在利用这种漏洞,从关系文件中删除URL,以逃避解析器的检测。

NoRelationship攻击可绕过哪些链接解析器?

Avanan研究人员在最流行的安全工具上测试了此漏洞,以确定哪些人群可能受这一攻击的影响。

无视防守!NoRelationship攻击绕过Office 365安全防护

结论

Avanan在情人节之前发现了NoRelationship攻击活动。通过从document.xml.rels关系文件中删除恶意链接,黑客混淆了仅扫描关系文件以查找外部链接的解析器。因此,可以说目前针对电子邮件扫描没有捷径可走。唯一的解决方案仍然是全盘扫描整个文件。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/134531.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code