中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

如何使用Sysmon和Zone.Identifier文件檢測HTML走私攻擊

發布時間:2021-09-14 18:23:21 來源:億速云 閱讀:176 作者:小新 欄目:編程語言

這篇文章將為大家詳細講解有關如何使用Sysmon和Zone.Identifier文件檢測HTML走私攻擊,小編覺得挺實用的,因此分享給大家做個參考,希望大家閱讀完這篇文章后可以有所收獲。

Sysmon ID 15(FileCreateStreamHash)

從版本11.10開始,Sysmon可以記錄ADS的內容。因此,如果HTML Smuggling在Zone.Identifier ADS中工件,那么我們可以使用Sysmon來檢測到發生了HTML Smuggling。

測試方法

為了測試每個瀏覽器,我使用了Outflank.nl中的此文檔。在瀏覽器中,我都是通過原始URL和本地保存的副本打開文檔的。這是為了確定瀏覽器是否根據所使用的協議(http://https://file://)對下載的文件進行了不同的處理。

結果

瀏覽器版本經過測試

Google Chrome版本88.0.4324.96(正式版本)(64位)

Mozilla Firefox版本84.0.2(64位)

Microsoft Edge(Chromium)版本88.0.705.50(官方版本)(64位)

Microsoft Edge(舊版)版本44.18362.449.0

注意:通過“smuggling頁面”,我的意思是例如https://www.outflank.nl/demo/html_smuggling.html或C:\Users\Joshua\Downloads\html_smuggling.html

Google Chrome,Firefox和Chromium Edge都表現出相同的行為。對于托管和本地走私頁面,都創建了Zone.Identifier ADS,但是HostUrl屬性設置為about:internet,而不是原始頁面。

如何使用Sysmon和Zone.Identifier文件檢測HTML走私攻擊

另一方面,Legacy Edge對這些文件的處理方式有所不同。通過HTTP(S)為走私頁面提供服務時,將創建Zone.Identifier ADS,并將HostUrl屬性設置為原始頁面,并以**blob:**開頭。

如何使用Sysmon和Zone.Identifier文件檢測HTML走私攻擊

當在本地提供走私頁面時,則舊版Edge只會為下載的文檔創建一個Zone.Identifier ADS。現代電子郵件客戶端將為來自互聯網的電子郵件創建附件的Zone.Identifier ADS,因此Sysmon仍應檢測通過電子郵件發送的走私頁面下載并在舊版邊緣中打開的文件。

在這種情況下,HostUrl屬性的原點為空,但是ReferrerUrl將指向走私頁面。

如何使用Sysmon和Zone.Identifier文件檢測HTML走私攻擊

總結


MOTW Created (http://)MOTW Created (file://)流包含文檔URL可識別的HTML走私
谷歌瀏覽器是的是的是的
火狐瀏覽器是的是的是的
Chromium Edge是的是的是的
舊版Edge是的這取決于*是的對于http://,是的,對于file://,取決于*

對于本地走私頁面(file://),如果走私頁面只有一個,舊版Edge只會為下載的文件創建一個Zone.Identifier ADS。

Sysmon規則

從以上結果中,我們可以看到Sysmon可以通過查找包含以下兩個值之一的Zone.Identifier備用數據流來檢測HTML Smuggling攻擊:

HostUrl=about:internet

HostUrl=blob:

Sysmon XML

<RuleGroup name="" groupRelation="or"><FileCreateStreamHash onmatch="include">
	<Rule name="HTML_Smuggling" groupRelation="and"><TargetFilename condition="end with">:Zone.Identifier</TargetFilename><Contents condition="contains any">blob:;about:internet</Contents>		
	</Rule></FileCreateStreamHash>
</RuleGroup>?

關于“如何使用Sysmon和Zone.Identifier文件檢測HTML走私攻擊”這篇文章就分享到這里了,希望以上內容可以對大家有一定的幫助,使各位可以學到更多知識,如果覺得文章不錯,請把它分享出去讓更多的人看到。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

龙江县| 宁城县| 南漳县| 洪泽县| 台中市| 农安县| 陵水| 海兴县| 高邑县| 盐城市| 临城县| 阳曲县| 宁河县| 马龙县| 合阳县| 马关县| 阳新县| 乌拉特后旗| 麻阳| 淮滨县| 吐鲁番市| 左贡县| 玉环县| 广西| 文水县| 庆元县| 科技| 亳州市| 海南省| 陇南市| 科尔| 太湖县| 泾阳县| 肥乡县| 五华县| 万安县| 莲花县| 连平县| 定远县| 务川| 文山县|