【翻译】威胁狩猎:解密中间人攻击配合HTML走私技术的新型威胁
字数 1775 2025-08-22 12:23:13
HTML走私与中间人攻击结合的新型威胁分析
1. 攻击概述
Huntress安全团队发现了一种结合HTML走私(HTML Smuggling)和中间人攻击(Adversary-in-the-Middle, AitM)的新型网络钓鱼技术,该技术能够绕过多重身份验证(MFA)保护,窃取用户凭证。
2. 攻击技术详解
2.1 HTML走私技术
HTML走私是一种绕过现代安全防护的技术手段:
-
工作原理:攻击者发送HTML文件而非可执行文件
-
执行流程:
- 用户在设备上打开HTML文件
- 文件中的HTML和JavaScript传递隐藏的有效载荷
- 有效载荷通常经过编码或加密
- 在浏览器中动态重新组合并下载
-
技术特点:
- 使用
document.write()函数动态解码和渲染HTML/JavaScript - 有效载荷逃避基于文件扩展名的安全检测
- 示例中使用了Base64编码文本块
- 使用
2.2 中间人攻击实现
攻击者结合透明代理技术实现中间人攻击:
- HTML文件注入合法的Microsoft认证门户iframe
- iframe通过攻击者控制的基础设施代理登录流量
- 受害者看到的是真实的Outlook登录页面(包含公司品牌标识)
- 攻击者能够窃取会话令牌和MFA凭证
2.3 完整攻击链条
- 攻击者发送包含HTML走私有效载荷的钓鱼邮件
- 受害者在本地计算机上打开HTML文件
- 浏览器渲染JavaScript,获取并嵌入Outlook登录门户iframe
- iframe通过攻击者基础设施代理所有登录流量
- 受害者输入用户名、密码和MFA代码
- 攻击者窃取凭证和会话令牌
- 攻击者使用被盗令牌绕过MFA,以受害者身份登录
3. 技术细节分析
3.1 HTML文件分析
关键代码特征:
// 第一次document.write()设置文档标题
document.write('<html lang="en"><title>Outløøk</title></html>');
// 第二次document.write()注入恶意代码
document.write('<div id="oyt"></div></body><script>...');
3.2 加密与通信机制
- 使用RSA-OAEP加密算法
- 包含硬编码的公钥:
const PUBLIC_KEY_PERM = `-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAynOl4t1+Seg3nPAGzBC2...`;
- 数据收集与发送:
const userData = JSON.stringify({ip: '', userAgent: navigator.userAgent});
const encodedUserAgent = new TextEncoder().encode(userData);
// 加密并发送到攻击者服务器
3.3 iframe注入技术
- 动态创建iframe元素:
const jq = document.createElement('iframe');
jq.width = '100%';
jq.height = '500px';
jq.setAttribute('sandbox', 'allow-scripts allow-presentation...');
document.body.appendChild(jq);
jq.src = cc.url; // 攻击者控制的URL
4. 攻击基础设施
4.1 已识别域名示例
- hxxps://rnsnno.szyby[.]pro/
- hxxps://rnsnno.kycmaxcapital[.]pro/
- hxxps://rnsnno.2398-ns[.]pro/
4.2 域名注册特征
- 通过NameCheap注册
- 注册时间集中(发现前一天注册)
- 使用相同子域名(rnsnno)但不同主域名
5. 防御措施
5.1 用户防护建议
- 谨慎处理意外收到的HTML文件
- 验证登录页面的URL是否为合法域名(如login.microsoftonline.com)
- 注意检查域名拼写和特殊字符(如Outløøk中的特殊ø字符)
5.2 组织防护措施
- 实施电子邮件过滤策略,拦截可疑HTML附件
- 部署能够检测HTML走私行为的安全解决方案
- 教育员工识别钓鱼攻击迹象
- 监控异常的网络流量模式
5.3 技术检测指标
- 监控包含
document.write()大量Base64编码的HTML文件 - 检测到可疑域名的网络连接(rnsnno.*.pro模式)
- 异常iframe加载行为(特别是sandbox属性配置)
6. IoC(入侵指标)
6.1 恶意文件哈希
- SHA256: 18470571777CA2628747C4F39C8DA39CA81D1686820B3927160560455A603E49
6.2 恶意基础设施
| 类型 | 指标 |
|---|---|
| AitM/钓鱼基础设施 | hxxps://rnsnno.2398-ns[.]pro/ |
| AitM/钓鱼基础设施 | hxxps://rnsnno.kycmaxcapital[.]pro/ |
| AitM/钓鱼基础设施 | hxxps://rnsnno.szyby[.]pro/ |
6.3 相关域名列表
(注意:并非所有域名都是恶意的,部分为合法服务)
AMS-efz.ms-acdc.office[.]com
aadcdn.msauth[.]net
aadcdn.msftauth[.]net
aadcdn.msftauthimages[.]net
autologon.microsoftazuread-sso[.]com
bovdrrqkblhbfk[.]local
clientservices.googleapis[.]com
content-autofill.googleapis[.]com
cs1100.wpc.omegacdn[.]net
edgedl.me.gvt1[.]com
identity.nel.measure.office[.]net
ihscshtfplb[.]local
login.live[.]com
ooc-g2.tm-4.office[.]com
outlook.ms-acdc.office[.]com
outlook.office365[.]com
part-0039.t-0009.t-msedge[.]net
passwordreset.microsoftonline[.]com
r3.i.lencr[.]org
r4.res.office365[.]com
rnsnno.szyby[.]pro
rnsnno.vcsar[.]pro
scxgcytrl[.]local
shed.dual-low.part-0039.t-0009.t-msedge[.]net
tse1.mm.bing[.]net
x1.i.lencr[.]org
7. 总结
这种结合HTML走私和中间人攻击的技术代表了网络钓鱼攻击的演进,其特点包括:
- 高度隐蔽性:利用合法服务的外观和行为
- 绕过MFA:通过会话劫持而非密码窃取
- 复杂的技术组合:融合多种攻击技术
- 基础设施快速更换:使用新注册的域名
安全团队需要更新检测规则,关注这种新型攻击模式,并加强对HTML文件附件的审查。