Microsoft Outlook’un HTML oluşturma özelliklerini, son kullanıcılara karşı etkinliklerini korurken kurumsal güvenlik sistemlerinden uzaklaştırma özelliklerini kullanan sofistike bir kimlik avı tekniği.
Saldırı, e -postanın Outlook veya Alternatif E -posta istemcilerinde görüntülendiğine bağlı olarak farklı içerik görüntülemek için koşullu HTML ifadelerinden yararlanır ve tehdit aktörlerinin kurumsal ortamlarda yaygın olarak konuşlandırılan güvenlik tarama mekanizmalarını atlamasına izin verir.
HTML koşullu kimlik avı saldırısı
SANS Tech, kimlik avı kampanyasının Microsoft Office uygulamaları için özel olarak tasarlanmış HTML koşullu ifadeleri kullandığını bildiriyor.
.png
)
Bu ifadeler ve başlangıçta farklı istemciler arasında uygun e -posta biçimlendirmesini sağlamak için oluşturulmuştur, ancak şimdi siber suçlular tarafından silahlandırılmıştır.
Microsoft Outlook’ta bu koşullu ifadeleri içeren bir e -posta açıldığında, MSO (Microsoft Office) koşullu kodu yürütülür ve hem kullanıcılar hem de otomatik güvenlik sistemleri için meşru görünen iyi huylu içeriği görüntüleyicidir.
Teknik, tek bir e -posta mesajında iki farklı kod yolu oluşturarak çalışır. İlk yol, Outlook kullanıcılarını meşru görünen bağlantılarla hedeflerken, ikinci yol diğer e-posta istemcilerinin kullanıcılarını kimlik bilgisi hasat web sitelerine yönlendirir.
Bu çift işlevsellik yaklaşımı, e-postalar ağırlıklı olarak görünüm tabanlı tarama mekanizmalarına dayanan kurumsal güvenlik altyapısı tarafından işlendiğinde saldırganların meşruiyet görünümünü sürdürmesini sağlar.
Güvenlik analistleri, bu tekniğin öncelikle finansal kurumlara karşı kullanıldığını gözlemlediler ve saldırganlar, büyük bankalardan hesap doğrulaması isteyen e -postalar hazırladı.
Bu saldırıların sofistike doğası, e -posta müşteri oluşturma motorlarının ve kurumsal güvenlik mimarilerinin teknik nüanslarını anlayan deneyimli tehdit aktörlerinin çalışmaları olduğunu göstermektedir.
Kötü niyetli uygulama, e -posta istemcisinin kimliğine göre farklı köprü hedefleri yürüten koşullu HTML bloklarının gömülmesini içerir. Kod yapısı şu deseni izler:
Bu kod yapısı, Outlook kullanıcılarının meşru bankacılık alanlarına referanslar görmesini sağlarken, Apple Mail, Thunderbird, Gmail Web Arayüzü ve diğer Outlook olmayan istemcilerin kullanıcıları saldırgan kontrollü altyapıya yönlendirilir.
Koşullu ifadeler, davranışını hedef ortama göre uyarlayan bir çatallı saldırı vektörü etkili bir şekilde oluşturur.
MSO koşullu ifadeleri, Microsoft Outlook’un IE’nin oluşturma motoruna geçmiş güvenine bağlı olarak devralındığı Internet Explorer’ın koşullu yorum sözdiziminden yararlanır.
Microsoft, Outlook’un oluşturma yeteneklerini modernize ederken, bu eski koşullu ifadeler geriye dönük uyumluluk için işlevsel kalır ve tehdit aktörlerinin kötüye kullanabileceği sömürülebilir bir saldırı yüzeyi oluşturur.
Savunma Stratejileri
Bu tekniğin keşfi, kurumsal e -posta güvenlik mimarilerinde önemli zayıflıkları vurgulamaktadır.
Çoğu kurumsal güvenlik çözümü, outlook uyumlu motorları kullanarak e-postaları tarar, yani sadece iyi huylu şubeyi işlerler ve kötü niyetli alternatif yolu tespit edemezler.
Bu, gerçek tehditlerin mesajlara gömüldüğünde otomatik sistemlerin temiz e -posta bildirdiği yanlış bir güvenlik duygusu yaratır.
Kurumsal güvenlik ekipleri, istemci tarafı saldırılarını tanımlamak için e-posta içeriğini farklı istemci sunumlarında test eden çok motorlu e-posta taraması uygulamalıdır.
Buna ek olarak, kuruluşlar koşullu ifadelerden bağımsız olarak tüm gömülü bağlantıları inceleyen URL itibarını kontrol etmeli ve bağımsız kanallar aracılığıyla gönderen özgünlüğünün doğrulanmasını vurgulayan kullanıcı eğitimi programları uygulamalıdır.
Ağ yöneticileri ayrıca, bilinen kötü niyetli alanların DNS düzeyinde engellenmesini ve e-posta içeriğini birden çok istemci ortamında aynı anda yürütebilen kum havuzu çözümlerinin dağıtılmasını düşünmelidir.
Bu kimlik avı tekniği 2019’dan beri belgelenmiş olsa da, aktif kampanyalardaki son ortaya çıkışı, tehdit aktörlerinin kurumsal güvenlik mimarileri ve e -posta müşteri güvenlik açıklarını anlamalarında giderek daha karmaşık olduğunu göstermektedir.
Tehdit istihbarat aramasıyla tehdit araştırmalarını hızlandırın ve zenginleştirin! -> 50 Deneme Arama İsteği