HTML Smuggling, широко известная техника доставки пейлоадов в рамках фишинга для получения начального доступа при Red Teaming, активно используется с 2018 года и сохраняет свою эффективность по сей день🙈. Суть этой техники хорошо описана в блоге ее авторов из компании Outflank. Кроме того, я также делился информацией об этом на PHDays12 в прошлом году.
Буквально на прошлой неделе появился Bob the Smuggler - инструмент для автоматизации создания HTML-страницы с защищенным паролем и зашифрованным XOR 7z/zip архивом, а также изображением в форматах png/gif, внутри которого спрятана полезная нагрузка в exe/dll🙊.
🔴 Хостим созданное изображение на внешнем сервере.
Буквально на прошлой неделе появился Bob the Smuggler - инструмент для автоматизации создания HTML-страницы с защищенным паролем и зашифрованным XOR 7z/zip архивом, а также изображением в форматах png/gif, внутри которого спрятана полезная нагрузка в exe/dll🙊.
🔴 Хостим созданное изображение на внешнем сервере.
🔴 Отправляем жертве архив, который при распаковке и открытии HTML страницы загружает изображение.
🔴 JavaScript расшифровывает и создает из JavaScript blob объект, помещая нашу пейлоад в папку загрузки.
🔴 Затем все зависит от выбранного претекста, ограниченного лишь фантазией оператора.
🔴 MOTW отключен в 7z по умолчанию, если запускать файл прямо из архива, без предварительной распаковки. Поэтому, если в качестве дополнительного претекста предоставлена соответствующая "подробная инструкция", MOTW также легко обходится😎.
❓Что делать:
🔵 Защитникам: Рекомендации общего характера.
