這篇文章將為大家詳細(xì)講解有關(guān)如何使用Sysmon和Zone.Identifier文件檢測(cè)HTML走私攻擊，小編覺(jué)得挺實(shí)用的，因此分享給大家做個(gè)參考，希望大家閱讀完這篇文章后可以有所收獲。

公司2013年成立成都創(chuàng)新互聯(lián)公司專(zhuān)注于”幫助中小企業(yè)+互聯(lián)網(wǎng)”, 也是目前成都地區(qū)具有實(shí)力的互聯(lián)網(wǎng)服務(wù)商。團(tuán)隊(duì)致力于為企業(yè)提供--站式網(wǎng)站建設(shè)、移動(dòng)端應(yīng)用( H5手機(jī)營(yíng)銷(xiāo)、app軟件開(kāi)發(fā)公司、微信開(kāi)發(fā))、軟件開(kāi)發(fā)、信息化解決方案等服務(wù)。

Sysmon ID 15（FileCreateStreamHash）

從版本11.10開(kāi)始，Sysmon可以記錄ADS的內(nèi)容。因此，如果HTML Smuggling在Zone.Identifier ADS中工件，那么我們可以使用Sysmon來(lái)檢測(cè)到發(fā)生了HTML Smuggling。

測(cè)試方法

為了測(cè)試每個(gè)瀏覽器，我使用了Outflank.nl中的此文檔。在瀏覽器中，我都是通過(guò)原始URL和本地保存的副本打開(kāi)文檔的。這是為了確定瀏覽器是否根據(jù)所使用的協(xié)議（http://或https://和file://）對(duì)下載的文件進(jìn)行了不同的處理。

結(jié)果

瀏覽器版本經(jīng)過(guò)測(cè)試

Google Chrome版本88.0.4324.96（正式版本）（64位）

Mozilla Firefox版本84.0.2（64位）

Microsoft Edge（Chromium）版本88.0.705.50（官方版本）（64位）

Microsoft Edge（舊版）版本44.18362.449.0

注意：通過(guò)“smuggling頁(yè)面”，我的意思是例如https://www.outflank.nl/demo/html_smuggling.html或C:\Users\Joshua\Downloads\html_smuggling.html

Google Chrome，F(xiàn)irefox和Chromium Edge都表現(xiàn)出相同的行為。對(duì)于托管和本地走私頁(yè)面，都創(chuàng)建了Zone.Identifier ADS，但是HostUrl屬性設(shè)置為about：internet，而不是原始頁(yè)面。

另一方面，Legacy Edge對(duì)這些文件的處理方式有所不同。通過(guò)HTTP(S)為走私頁(yè)面提供服務(wù)時(shí)，將創(chuàng)建Zone.Identifier ADS，并將HostUrl屬性設(shè)置為原始頁(yè)面，并以**blob：**開(kāi)頭。

當(dāng)在本地提供走私頁(yè)面時(shí)，則舊版Edge只會(huì)為下載的文檔創(chuàng)建一個(gè)Zone.Identifier ADS。現(xiàn)代電子郵件客戶(hù)端將為來(lái)自互聯(lián)網(wǎng)的電子郵件創(chuàng)建附件的Zone.Identifier ADS，因此Sysmon仍應(yīng)檢測(cè)通過(guò)電子郵件發(fā)送的走私頁(yè)面下載并在舊版邊緣中打開(kāi)的文件。

在這種情況下，HostUrl屬性的原點(diǎn)為空，但是ReferrerUrl將指向走私頁(yè)面。

總結(jié)

	MOTW Created (http://)	MOTW Created (file://)	流包含文檔URL	可識(shí)別的HTML走私
谷歌瀏覽器	是的	是的	不	是的
火狐瀏覽器	是的	是的	不	是的
Chromium Edge	是的	是的	不	是的
舊版Edge	是的	這取決于*	是的	對(duì)于http://，是的，對(duì)于file://，取決于*

對(duì)于本地走私頁(yè)面（file://），如果走私頁(yè)面只有一個(gè)，舊版Edge只會(huì)為下載的文件創(chuàng)建一個(gè)Zone.Identifier ADS。

Sysmon規(guī)則

從以上結(jié)果中，我們可以看到Sysmon可以通過(guò)查找包含以下兩個(gè)值之一的Zone.Identifier備用數(shù)據(jù)流來(lái)檢測(cè)HTML Smuggling攻擊：

HostUrl=about:internet

HostUrl=blob:

Sysmon XML

<RuleGroup name="" groupRelation="or"><FileCreateStreamHash onmatch="include">
	<Rule name="HTML_Smuggling" groupRelation="and"><TargetFilename condition="end with">:Zone.Identifier</TargetFilename><Contents condition="contains any">blob:;about:internet</Contents>		
	</Rule></FileCreateStreamHash>
</RuleGroup>?

關(guān)于“如何使用Sysmon和Zone.Identifier文件檢測(cè)HTML走私攻擊”這篇文章就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，使各位可以學(xué)到更多知識(shí)，如果覺(jué)得文章不錯(cuò)，請(qǐng)把它分享出去讓更多的人看到。

當(dāng)前標(biāo)題：如何使用Sysmon和Zone.Identifier文件檢測(cè)HTML走私攻擊
網(wǎng)址分享：http://jinyejixie.com/article32/pdcesc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供、網(wǎng)頁(yè)設(shè)計(jì)公司、網(wǎng)站改版、品牌網(wǎng)站設(shè)計(jì)、微信公眾號(hào)、網(wǎng)站營(yíng)銷(xiāo)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)