一种称为“GIFShell”的新攻击技术允许威胁参与者滥用 Microsoft Teams 进行新型网络钓鱼攻击,并秘密执行命令以使用… GIF 窃取数据。
与 BleepingComputer 独家共享的新攻击场景说明了攻击者如何将众多 Microsoft Teams 漏洞和缺陷串在一起,以滥用合法的 Microsoft 基础设施来传递恶意文件、命令并通过 GIF 执行泄露数据。
由于数据泄露是通过 Microsoft 自己的服务器完成的,因此将其视为合法 Microsoft Team 流量的安全软件将更难检测到流量。
总体而言,攻击技术利用了各种 Microsoft Teams 缺陷和漏洞:
绕过 Microsoft Teams 安全控制允许外部用户向 Microsoft Teams 用户发送附件。
修改发送的附件,让用户从外部 URL 而不是生成的 SharePoint 链接下载文件。
欺骗 Microsoft 将附件显示为无害文件,但下载恶意可执行文件或文档。
不安全的 URI 方案允许 SMB NTLM 哈希盗窃或 NTLM 中继攻击。
Microsoft 支持发送 HTML base64 编码的 GIF,但不扫描这些 GIF 的字节内容。这允许恶意命令在看起来正常的 GIF 中传递。
Microsoft 将 Teams 消息存储在可解析的日志文件中,该文件位于受害者计算机的本地,可供低权限用户访问。
Microsoft 服务器从远程服务器检索 GIF,从而允许通过 GIF 文件名泄露数据。
GIFShell – 通过 GIF 的反向外壳
新的攻击链是由网络安全顾问和渗透测试人员 Bobby Rauch发现的,他在 Microsoft Teams 中发现了许多漏洞或缺陷,这些漏洞或缺陷可以链接在一起用于命令执行、数据泄露、安全控制绕过和网络钓鱼攻击。
这种攻击的主要组件称为“ GIFShell ”,它允许攻击者创建一个反向 shell,通过 Teams 中的 base64 编码 GIF 传递恶意命令,并通过微软自己的基础设施检索到的 GIF 泄露输出。
要创建此反向 shell,攻击者必须首先说服用户安装执行命令的恶意 stager,并通过 GIF url 将命令输出上传到 Microsoft Teams 网络挂钩。然而,正如我们所知,网络钓鱼攻击在感染设备时效果很好,Rauch 在 Microsoft Teams 中提出了一种新的网络钓鱼攻击来帮助解决这个问题,我们将在下一节中进行描述。
GIFShell 的工作原理是诱使用户在其设备上加载名为“stager”的恶意软件可执行文件,该可执行文件将持续扫描位于 $HOME\AppData\Roaming\Microsoft\Teams\IndexedDB\https_teams.microsoft.com_0.indexeddb 的 Microsoft Teams 日志。级别数据库\*.log。
Microsoft Teams 日志文件夹
来源:zzqidc
所有收到的消息都会保存到这些日志中,并且所有 Windows 用户组都可以读取,这意味着设备上的任何恶意软件都可以访问它们。
一旦 stager 就位,威胁参与者将创建他们自己的 Microsoft Teams 租户并联系其组织外的其他 Microsoft Teams 用户。攻击者可以轻松实现这一点,因为 Microsoft 在 Microsoft Teams 中默认允许外部通信。
为了发起攻击,攻击者可以使用 Rauch 的 GIFShell Python 脚本 向 Microsoft Teams 用户发送包含特制 GIF 的消息。这个合法的 GIF 图像已被修改为包含在目标机器上执行的命令。
当目标收到消息时,消息和 GIF 将存储在 Microsoft Team 的日志中,恶意 stager 会对其进行监控。
当 stager 检测到带有 GIF 的消息时,它将提取 base64 编码的命令并在设备上执行它们。然后,GIFShell PoC 将获取执行命令的输出并将其转换为 base64 文本。
此 base64 文本用作嵌入在 Microsoft Teams 调查卡中的远程 GIF 的文件名,stager 将其提交给攻击者的公共 Microsoft Teams webhook。
当 Microsoft Teams 为用户呈现闪存卡时,Microsoft 的服务器将连接回攻击者的服务器 URL 以检索 GIF,该 GIF 使用执行命令的 base64 编码输出命名。
运行在攻击者服务器上的 GIFShell 服务器将收到此请求并自动解码文件名,从而使攻击者可以看到在受害者设备上运行的命令的输出,如下所示。
例如,检索到的名为“dGhlIHVzZXIgaXM6IA0KYm9iYnlyYXVjaDYyNzRcYm9iYnlyYXVJa0K.gif”的 GIF 文件将解码为在受感染设备上执行的“whoami”命令的输出:
the user is:
bobbyrauch6274\bobbyrauIkBáë
威胁参与者可以继续使用 GIFShell 服务器发送更多 GIF,并执行更多嵌入命令,并在 Microsoft 尝试检索 GIF 时继续接收输出。
由于这些请求是由 Microsoft 网站urlp.asm.skype.com 发出的,用于常规 Microsoft Teams 通信,因此流量将被视为合法且不会被安全软件检测到。
这允许 GIFShell 攻击通过将其命令的输出与合法的 Microsoft Teams 网络通信混合来秘密窃取数据。
更糟糕的是,由于 Microsoft Teams 作为后台进程运行,甚至不需要用户打开它就可以接收攻击者的命令来执行。
还发现其他程序访问了 Microsoft Teams 日志文件夹,包括 Veriato 等业务监控软件和潜在的恶意软件。
微软承认这项研究,但表示不会修复,因为没有绕过安全边界。
微软在与zzqidc共享的电子邮件中告诉 Rauch:“对于这种情况,72412,虽然这是一项伟大的研究,工程团队将努力随着时间的推移改进这些领域,但这些都是后期利用,并且依赖于已经受到攻击的目标。”
“似乎没有绕过安全边界。产品团队将审查该问题以了解未来可能的设计更改,但安全团队不会对此进行跟踪。”
滥用微软团队进行网络钓鱼攻击
正如我们之前所说,GIFShell 攻击需要安装可执行文件来执行在 GIF 中接收到的命令。
为了帮助解决这个问题,Rauch 发现了 Microsoft Teams 的缺陷,这些缺陷允许他向 Teams 用户发送恶意文件,但在网络钓鱼攻击中将它们伪装成无害的图像。
“这项研究展示了如何通过 Microsoft Teams 向受害者发送极具说服力的网络钓鱼附件,而无需用户预先筛选链接的附件是否是恶意的,”Rauch 在他关于网络钓鱼方法的文章中解释道。
正如我们之前在讨论 GIFShell 时所说,默认情况下,Microsoft Teams 允许 Microsoft Teams 用户向其他租户中的用户发送消息。
但是,为了防止攻击者在恶意软件网络钓鱼攻击中使用 Microsoft Teams,Microsoft 不允许外部用户向其他租户的成员发送附件。
在 Microsoft Teams 中处理附件时,Rauch 发现当有人向同一租户中的另一个用户发送文件时,Microsoft 会生成一个 Sharepoint 链接,该链接嵌入到 Teams 端点的 JSON POST 请求中。
但是,可以修改此 JSON 消息以包含攻击者想要的任何下载链接,甚至是外部链接。更糟糕的是,当 JSON 通过 Teams 的对话端点发送给用户时,它还可以用来作为外部用户发送附件,从而绕过 Microsoft Teams 的安全限制。
例如,下面的 JSON 已被修改为显示文件名 Christmas_Party_Photo.jpeg ,但实际上提供了远程 Christmas_Party_Photo.jpeg………….exe 可执行文件。
Microsoft Teams JSON 欺骗附件
来源:Bobby Rauch
附件在 Teams 中呈现时,显示为 Christmas_Party_Photo.jpeg,高亮显示时,将继续显示该名称,如下所示。
欺骗 JPEG 文件
来源:Bobby Rauch
然而,当用户点击链接时,附件将从攻击者的服务器下载可执行文件。
除了使用这种 Microsoft Teams 欺骗网络钓鱼攻击向外部用户发送恶意文件外,攻击者还可以修改 JSON 以使用 Windows URI,例如 ms-excel:,以 自动启动应用程序来检索文档。
Rauch 说,这将允许攻击者欺骗用户连接到远程网络共享,让威胁参与者窃取 NTLM 哈希,或者本地攻击者执行 NTLM 中继攻击以提升权限。
“这些允许的、可能不安全的 URI 方案,加上缺乏权限执行和附件欺骗漏洞,可以允许通过 Microsoft Teams 中的 NTLM 中继进行一键式 RCE,”Rauch 在他关于欺骗攻击的报告中解释道。
微软没有立即修复错误
Rauch 告诉zzqidc,他在 2022 年 5 月和 6 月向微软披露了这些漏洞,尽管微软表示它们是有效的问题,但他们决定不立即修复它们。
当zzqidc联系 Microsoft 询问未修复错误的原因时,我们对他们对 GIFShell 攻击技术的回应并不感到惊讶,因为它要求设备已经受到恶意软件的攻击。
“这种类型的网络钓鱼很重要,我们一如既往地建议用户养成良好的在线计算习惯,包括在单击网页链接、打开未知文件或接受文件传输时要小心谨慎。
我们评估了该研究人员报告的技术,并确定上述两种技术不符合紧急安全修复的标准。我们一直在寻找更好地抵御网络钓鱼的新方法,以帮助确保客户安全,并可能在未来的版本中采取行动来帮助缓解这种技术。” ——微软发言人。
然而,令我们惊讶的是,微软并未将外部攻击者绕过安全控制并将附件发送给另一个租户的能力视为不应该立即修复的问题。
此外,没有立即修复修改 JSON 附件卡的功能,以使 Microsoft Teams 收件人可能被欺骗从远程 URL 下载文件也令人惊讶。
然而,微软为解决这些问题敞开了大门,并告诉zzqidc,它们可能会在未来的版本中得到服务。
微软在给zzqidc的一份声明中解释说:“一些不会对客户构成直接风险的低严重性漏洞不会优先考虑立即进行安全更新,但会考虑在 Windows 的下一个版本或发行版中使用。”
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » GIFShell攻击使用Microsoft Teams GIF创建反向shell
