Basic hacking

Phishing bằng cách đính kèm mã độc trên Office 365

Posted on by 5Pink

Thủ thuật sử dụng Office 365 Outlook để đính kèm tệp từ Cloud và làm ngụy trang chúng như tệp vô hại đang trở thành một cách thủ đoạn để che đậy mã độc nhưng vẫn duy trì tính nguy hiểm. Trong bài viết này, chúng ta sẽ khám phá cùng 5Pink cách tiến hành việc này trong Office 365 để tạo ra sự xuất hiện của một tệp đính kèm vô hại.

Cách thức đính kèm tệp

 Office 365 cho phép bạn thực hiện việc đính kèm tệp theo hai cách:

  1. Đính kèm trực tiếp: Đây là cách truyền thống, nhưng nó có hạn chế nghiêm trọng về loại tệp cho phép đính kèm.
  2. Đính kèm từ Cloud: Đây là cách đính kèm tệp có sẵn trên các dịch vụ Cloud như OneDrive hoặc SharePoint. Loại tệp không bị hạn chế.

Hình ảnh dưới đây minh họa cách một tệp đính kèm trên Cloud được hiển thị đối với người nhận. Sự khác biệt quan trọng giữa hai loại tệp đính kèm này là biểu tượng và liên kết của tệp đính kèm Cloud.

tệp đính kèm trên Cloud

Chúng ta đã thấy sự khác biệt giữa hai cách này. Giờ, chúng ta sẽ sử dụng kỹ thuật đính kèm tệp độc hại lên Cloud.

Các điều kiện tiên quyết Trước khi tiến hành

 Các bước bạn cần thực hiện:

  1. Thiết lập domain và máy chủ HTTP: Tạo một tên miền phụ, ví dụ: “onedrive.microsoft.*”, để làm cho liên kết tệp đính kèm trông ít đáng ngờ hơn.
  2. Lưu trữ tệp trên máy chủ.
  3. Cấu hình chuyển hướng HTTP từ một đường dẫn kết thúc bằng một phần mở rộng vô hại (ví dụ: .txt, .pdf, .docx, vv.) đến tệp độc hại của bạn. Điều này quan trọng vì Office 365 sẽ chọn biểu tượng của tệp đính kèm dựa trên phần mở rộng của liên kết.
Cấu hình chuyển hướng HTTP
Cấu hình chuyển hướng HTTP

Đính kèm tệp độc hại

  1. Soạn email cho nạn nhân và chọn biểu tượng tệp đính kèm > Duyệt địa điểm Cloud.
Soạn email cho nạn nhân và chọn biểu tượng tệp đính kèm > Duyệt địa điểm Cloud.
Soạn email cho nạn nhân và chọn biểu tượng tệp đính kèm > Duyệt địa điểm Cloud.
  1. Sau đó, chọn một tệp ngẫu nhiên để đính kèm, tệp này có thể là bất kỳ loại tệp nào.
chọn một tệp ngẫu nhiên để đính kèm
chọn một tệp ngẫu nhiên để đính kèm
  1. Đảm bảo bạn chọn tùy chọn ‘Chia sẻ dưới dạng liên kết OneDrive’. Đây là cách để đính kèm tệp dưới dạng tệp đính kèm Cloud.
Chia sẻ dưới dạng liên kết OneDrive
Chia sẻ dưới dạng liên kết OneDrive
  1. Ngay lập tức chặn yêu cầu và sửa đổi đường dẫn URL. Đặt nó thành URL có phần mở rộng vô hại và chuyển hướng đến tệp độc hại, ví dụ: /test/testfile.pdf.
Đặt nó là URL phần mở rộng vô hại
Đặt nó là URL phần mở rộng vô hại

Khi email được gửi đến nạn nhân, họ sẽ thấy chỉ có tệp đính kèm PDF và không có lý do gì để nghĩ rằng đó là một tệp độc hại. Tuy nhiên, khi họ nhấp vào tệp đính kèm, tệp độc hại sẽ được tải xuống.

họ sẽ thấy chỉ có tệp đính kèm PDF
họ sẽ thấy chỉ có tệp đính kèm PDF

 

khi tệp đính kèm được nhấp vào, tệp độc hại sẽ được tải xuống
khi tệp đính kèm được nhấp vào, tệp độc hại sẽ được tải xuống

Tổng kết 

Đây là một kỹ thuật hữu ích khi bạn muốn duy trì sự bí mật trong việc lây lan mã độc. Một lợi ích khác của việc sử dụng kỹ thuật này là liên kết không dễ bị quét và do đó tăng khả năng thất bại của email trong hộp thư đến của nạn nhân.

Kỹ thuật Basic Hacking này chỉ dùng cho nghiên cứu, nghiêm cấm sử dụng cho các mục đích phi pháp!!!