如何使用Sysmon和Zone.Identifier文件檢測HTML走私攻擊
這篇文章將為大家詳細講解有關如何使用Sysmon和Zone.Identifier文件檢測HTML走私攻擊,小編覺得挺實用的,因此分享給大家做個參考,希望大家閱讀完這篇文章后可以有所收獲。
公司2013年成立成都創新互聯公司專注于”幫助中小企業+互聯網”, 也是目前成都地區具有實力的互聯網服務商。團隊致力于為企業提供--站式網站建設、移動端應用( H5手機營銷、app軟件開發公司、微信開發)、軟件開發、信息化解決方案等服務。
Sysmon ID 15(FileCreateStreamHash)
從版本11.10開始,Sysmon可以記錄ADS的內容。因此,如果HTML Smuggling在Zone.Identifier ADS中工件,那么我們可以使用Sysmon來檢測到發生了HTML Smuggling。
測試方法
為了測試每個瀏覽器,我使用了Outflank.nl中的此文檔。在瀏覽器中,我都是通過原始URL和本地保存的副本打開文檔的。這是為了確定瀏覽器是否根據所使用的協議(http://或https://和file://)對下載的文件進行了不同的處理。
結果
瀏覽器版本經過測試
Google Chrome版本88.0.4324.96(正式版本)(64位)
Mozilla Firefox版本84.0.2(64位)
Microsoft Edge(Chromium)版本88.0.705.50(官方版本)(64位)
Microsoft Edge(舊版)版本44.18362.449.0
注意:通過“smuggling頁面”,我的意思是例如https://www.outflank.nl/demo/html_smuggling.html或C:\Users\Joshua\Downloads\html_smuggling.html
Google Chrome,Firefox和Chromium Edge都表現出相同的行為。對于托管和本地走私頁面,都創建了Zone.Identifier ADS,但是HostUrl屬性設置為about:internet,而不是原始頁面。
另一方面,Legacy Edge對這些文件的處理方式有所不同。通過HTTP(S)為走私頁面提供服務時,將創建Zone.Identifier ADS,并將HostUrl屬性設置為原始頁面,并以**blob:**開頭。
當在本地提供走私頁面時,則舊版Edge只會為下載的文檔創建一個Zone.Identifier ADS。現代電子郵件客戶端將為來自互聯網的電子郵件創建附件的Zone.Identifier ADS,因此Sysmon仍應檢測通過電子郵件發送的走私頁面下載并在舊版邊緣中打開的文件。
在這種情況下,HostUrl屬性的原點為空,但是ReferrerUrl將指向走私頁面。
總結
| MOTW Created (http://) | MOTW Created (file://) | 流包含文檔URL | 可識別的HTML走私 | |
|---|---|---|---|---|
| 谷歌瀏覽器 | 是的 | 是的 | 不 | 是的 |
| 火狐瀏覽器 | 是的 | 是的 | 不 | 是的 |
| Chromium Edge | 是的 | 是的 | 不 | 是的 |
| 舊版Edge | 是的 | 這取決于* | 是的 | 對于http://,是的,對于file://,取決于* |
對于本地走私頁面(file://),如果走私頁面只有一個,舊版Edge只會為下載的文件創建一個Zone.Identifier ADS。
Sysmon規則
從以上結果中,我們可以看到Sysmon可以通過查找包含以下兩個值之一的Zone.Identifier備用數據流來檢測HTML Smuggling攻擊:
HostUrl=about:internet
HostUrl=blob:
Sysmon XML
<RuleGroup name="" groupRelation="or"><FileCreateStreamHash onmatch="include"> <Rule name="HTML_Smuggling" groupRelation="and"><TargetFilename condition="end with">:Zone.Identifier</TargetFilename><Contents condition="contains any">blob:;about:internet</Contents> </Rule></FileCreateStreamHash> </RuleGroup>?
關于“如何使用Sysmon和Zone.Identifier文件檢測HTML走私攻擊”這篇文章就分享到這里了,希望以上內容可以對大家有一定的幫助,使各位可以學到更多知識,如果覺得文章不錯,請把它分享出去讓更多的人看到。
當前標題:如何使用Sysmon和Zone.Identifier文件檢測HTML走私攻擊
網址分享:http://vcdvsql.cn/article32/pdcesc.html
成都網站建設公司_創新互聯,為您提供、網頁設計公司、網站改版、品牌網站設計、微信公眾號、網站營銷
聲明:本網站發布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源: 創新互聯
- 創新互聯:電商網站建設計助你在千萬電商內脫穎而出 2022-10-29
- 分享網站建設行業中我三年的經驗 2021-08-03
- 一次優秀的網站建設需要重視那些內容? 2021-05-21
- 揭秘網站建設的重要性 2022-11-26
- 網站建設排名外鏈另類攻略 2022-05-08
- 廣州企業網站建設:建站時必須中重視這些安全問題! 2021-11-03
- 你企業的網站建設了嗎? 2018-01-09
- 企業網站建設中如何做好網站優化 2022-06-07
- 定制網站建設有哪些好處? 2021-08-10
- 網站建設的流程和要求 2021-06-03
- 如何快速搶占高端網站建設的市場 2022-08-20
- 手機網站建設應該考慮的問題有哪些? 2020-07-12