使用Outlook欺骗性云附件进行网络钓鱼

滥用Microsoft365 Outlook 云附件的方式发送恶意文件，使恶意可执行云附件规避云查杀检测

介绍

在本文中，我们将探讨如何滥用 O365 上的云附件功能使可执行文件（或任何其他文件类型）显示为无害的附件。

O365 允许您通过以下两种方式之一上传附件：

• 直接附件 - 上传文件的传统方式。 严格限制允许的文件类型。
• 云附件 - 附加云上可用的文件 (OneDrive/SharePoint)。 文件类型不受限制。

下图显示了附件对目标用户的显示方式。 唯一真正的视觉区别是图标和云附件部​​分显示链接。

现在了解了区别，让我们滥用云附件技术来附加恶意可执行文件。

准备工作

在继续之前，您应该做几件事：

1.搭建HTTP服务器并配置域名，由于云附件会显示链接，因此建议创建一个子域，例如 onedrive.microsoft.*，增加云附件的可信度。 在以下演示中，条件有限一切从简，但在实战中强烈推荐。

2.在HTTP服务器上托管准备的恶意可执行文件。

3.在服务器上设置一个 HTTP重定向，它将以无害扩展名（.xls、.pdf、.docx 等）结尾的路径重定向到您的恶意可执行文件。 这非常重要，因为我们将看到 Microsoft365 根据链接的文件扩展名选择附件的图标。 这里，设置了一个重定向 /test/testfile.pdf到 /evil.exe.

附加欺骗的恶意可执行文件

向目标用户撰写邮件，单击附件图标 > Browse Cloud Locations。

接下来，选择要附加的任意文件（对后面操作无影响）。

选中“Share as a OneDrive link”选项。 这是将文件附加为云附件的选项。

拦截请求并修改location地址。 将其设置为以重定向到恶意可执行文件的无害扩展名结尾的 URL，在示例中修改为 /test/testfile.pdf。

当电子邮件发送给目标用户时，他们看到的只是一个 PDF 附件。 但是，当单击附件时，会下载我们精心准备的恶意可执行文件。

结论

这是一项非常棒的技术，在红队工作中尝试获得初始访问权限时很有帮助。 使用此技术的另一个好处是附件指向的链接不会被扫描，因此减少了邮箱发送文件过程中被拦截的可能。

致谢

@mrd0x