如何使用Sysmon和Zone.Identifier文件检测HTML走私攻击

这篇文章将为大家详细讲解有关如何使用Sysmon和Zone.Identifier文件检测HTML走私攻击,小编觉得挺实用的,因此分享给大家做个参考,希望大家阅读完这篇文章后可以有所收获。

公司2013年成立成都创新互联公司专注于”帮助中小企业+互联网”, 也是目前成都地区具有实力的互联网服务商。团队致力于为企业提供--站式网站建设、移动端应用( H5手机营销、app软件开发公司、微信开发)、软件开发、信息化解决方案等服务。

Sysmon ID 15(FileCreateStreamHash)

从版本11.10开始,Sysmon可以记录ADS的内容。因此,如果HTML Smuggling在Zone.Identifier ADS中工件,那么我们可以使用Sysmon来检测到发生了HTML Smuggling。

测试方法

为了测试每个浏览器,我使用了Outflank.nl中的此文档。在浏览器中,我都是通过原始URL和本地保存的副本打开文档的。这是为了确定浏览器是否根据所使用的协议(http://https://file://)对下载的文件进行了不同的处理。

结果

浏览器版本经过测试

Google Chrome版本88.0.4324.96(正式版本)(64位)

Mozilla Firefox版本84.0.2(64位)

Microsoft Edge(Chromium)版本88.0.705.50(官方版本)(64位)

Microsoft Edge(旧版)版本44.18362.449.0

注意:通过“smuggling页面”,我的意思是例如https://www.outflank.nl/demo/html_smuggling.html或C:\Users\Joshua\Downloads\html_smuggling.html

Google Chrome,Firefox和Chromium Edge都表现出相同的行为。对于托管和本地走私页面,都创建了Zone.Identifier ADS,但是HostUrl属性设置为about:internet,而不是原始页面。

如何使用Sysmon和Zone.Identifier文件检测HTML走私攻击

另一方面,Legacy Edge对这些文件的处理方式有所不同。通过HTTP(S)为走私页面提供服务时,将创建Zone.Identifier ADS,并将HostUrl属性设置为原始页面,并以**blob:**开头。

如何使用Sysmon和Zone.Identifier文件检测HTML走私攻击

当在本地提供走私页面时,则旧版Edge只会为下载的文档创建一个Zone.Identifier ADS。现代电子邮件客户端将为来自互联网的电子邮件创建附件的Zone.Identifier ADS,因此Sysmon仍应检测通过电子邮件发送的走私页面下载并在旧版边缘中打开的文件。

在这种情况下,HostUrl属性的原点为空,但是ReferrerUrl将指向走私页面。

如何使用Sysmon和Zone.Identifier文件检测HTML走私攻击

总结


MOTW Created (http://)MOTW Created (file://)流包含文档URL可识别的HTML走私
谷歌浏览器是的是的是的
火狐浏览器是的是的是的
Chromium Edge是的是的是的
旧版Edge是的这取决于*是的对于http://,是的,对于file://,取决于*

对于本地走私页面(file://),如果走私页面只有一个,旧版Edge只会为下载的文件创建一个Zone.Identifier ADS。

Sysmon规则

从以上结果中,我们可以看到Sysmon可以通过查找包含以下两个值之一的Zone.Identifier备用数据流来检测HTML Smuggling攻击:

HostUrl=about:internet

HostUrl=blob:

Sysmon XML


	:Zone.Identifierblob:;about:internet		
	


关于“如何使用Sysmon和Zone.Identifier文件检测HTML走私攻击”这篇文章就分享到这里了,希望以上内容可以对大家有一定的帮助,使各位可以学到更多知识,如果觉得文章不错,请把它分享出去让更多的人看到。


文章题目:如何使用Sysmon和Zone.Identifier文件检测HTML走私攻击
本文地址:http://ybzwz.com/article/pdcesc.html