太阳集团2138备用网址

  • 防弹少年团金泰亨蓝发登各国热搜 玩儿转红粉金黑棕各种发色实力演绎“有颜任性”【组图】 2019-04-25
  • 龙烨为袁竹逍遥画派配画诗欣赏之三 2019-04-25
  • 因应增值税下调 多个豪车品牌在华降价 2019-04-25
  • “小屏论”话两会:“习语”暖人心 2019-04-25
  • 低价 贴心 保障 国美3.15,为消费者保驾护航低价贴心保障 国美315,为消费者保驾护航-国美 2019-04-25
  • 中央政治局同志向党中央和习近平总书记述职 2019-04-25
  • China Daily Website 2019-04-25
  • 【守护好我们的美丽家园】新疆的明天一定会更好 2019-04-25
  • 22年后紫霞仙子归来 可至尊宝已经不是他了 2019-04-25
  • 【独家V观】你好 意大利 2019-04-25
  • 合肥一文化公司人去楼空老板跑路 老人购买保健品被骗上万元 2019-04-25
  • 北京二手房交易实现一网通办 20分钟就办完 ——凤凰网房产北京 2019-04-25
  • NBA史上最牛的9大名帅 波波在这里只能排倒三 2019-04-25
  • 《阿丽塔》要和《流浪地球》抢票房 2019-04-24
  • 百城住宅均价环比涨幅持续收窄 变化大多在1%内 2019-04-24
  • 欢迎来到 黑吧太阳集团2138备用网址 是业内专业的游戏平台,为你提供各式各样的精品游戏,最全的游戏项目,同时还为您提供各种游戏专题游戏攻略人气论坛。

    NoRelationship新型钓鱼攻击能绕过Office文档检测

    来源:本站整理 作者:佚名 时间:2019-02-22 TAG: 我要投稿

    太阳集团2138备用网址 www.r-island.com 近日,Avanan发现了一种可以绕过EOP (Exchange Online Protection) URL过滤器的新型钓鱼攻击。EOP可以扫描Word (.docx)、Excel (.xlsx)和PowerPoint (.pptx)等办公文档,通过对邮件内容、header、语言、附件和所有超链接进行检测,尽量不会让垃圾邮件进入到你的邮箱中。
    用于攻击的电子邮件携带了一个.docx附件,附件中包含了一个恶意链接,点击该链接后会跳转到一个获取用户凭证的登录页面。由于链接解析器是依靠关系(xml. accounts)文件获取附件中包含的链接列表,而不会扫描整个文档,因此无法识别恶意URL。
    关系文件就像书籍的索引一样,会列出文档各部分的基本内容,包括外部链接、图像,或是字体表之类的内部文档组件。有时,一些关键的条目可能没有写在索引中,但实际内容还是在“书本”当中的。就像在此类攻击中,攻击者删除了关系文件中的外部链接,从而绕过了只读取索引而非内容的链接解析器。
    背景
    Office Open XML文件是所有Office应用程序的默认格式。Office文档(.docx,.xlsx,.pptx)由许多XML文件组成,这些文件包含构成文档的所有字体、图像、格式和对象信息。
    你可以通过如下方式查看一个Office文档的XML文件:先将.docx文件转换为ZIP格式,解压该文件后在计算机的文档查找器中查看(参照下图)。

    图1.解压的.docx文件在macOS中的呈现
    如上所示,关系目录(word/_rels/document.xml.rels)是一个XML文件,它将.docx文件内的关系(字体表、文档设置、注释、脚注、样式定义、编号定义)与包外的资源(如链接和图像)进行映射。当文档包含Web链接时,链接将被添加到document.xml.rels关系文件中。

    图2.关系文件中,一些内部资源(字体、主题和web设置等)和外部资源(安全或恶意的链接)示意

    图3.图2中关系文件中的链接示例在Word文档中的对应呈现
    如果由于某种原因,其中一个链接遭到破坏,当用户在原始文档中点击该链接时,仍是可以访问的。为了向后兼容,Word会对链接作解析。
    NoRelationship攻击是如何运作的
    当扫描附件中的恶意内容时,大多数电子邮件过滤器会扫描文档中的外部web链接,并将其与恶意站点的数据库进行比较,甚至可以按照链接评估其目标。
    然而,许多解析器会采用较为快捷的方式,只查看document.xmls,它通常包含文档中所有url的列表。
    如果文档里有未包含在xmls.rels文件中的URL链接,则解析器则将无视其存在,因此黑客能通过从关系文件中删除URL的方式绕过解析器。
    NoRelationship攻击能绕过哪些链接解析器?
    Avanan对当前一些流行的安全工具进行了测试,以确定哪些人群可能会受到这次攻击的影响。

    结论
    通过从document.xml.rels关系文件中删除恶意链接,黑客混淆了仅扫描关系文件以获取外部链接的链接解析器。 看来电子邮件扫描没有捷径可走,唯一的解决方案是扫描整个文件。
     

    【声明】:太阳集团2138备用网址(http://www.r-island.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@www.r-island.com,我们会在最短的时间内进行处理。