Bob the Smuggler

HTML Smuggling, всем известная техника доставки пейлоадов в рамках фишинга для получения первоначального доступа во время Red Teaming активно используется с 2018 года и не теряет своей эффективности по сей день��
Про суть этой техники можно почитать в блоге ее авторов из компании Outflank, ну и я тоже рассказывал об этом на PHDays12 в прошлом году.

Буквально на прошлой неделе появился Bob the Smuggler - инструмент для автоматизации создания HTML страницы с запароленным и зашифрованным XOR 7z/zip архивом и картинкой в формате png/gif внутри которой спрятана полезная нагрузка в exe/dll��

�� Хостим созданную картинку на внешнем сервере
�� Отправляем жертве архив, при распаковке которого и открытию HTML страницы JavaScript загружает картинку
�� JavaScript расшифровывает и создает из JavaScript blob объект и кладёт наш пейлоад в папку загрузки
�� Дальше все зависит от выбранного претекста, ограниченного лишь фантазией оператора
�� MOTW отключен в 7z по умолчанию, если запускать файл прямо из архива, без предварительной распаковки, поэтому если в качестве дополнения претекста будет соответствующая "подробная инструкция", то MOTW тоже легко обходится��

❓Что делать:
�� Атакующим: Статья автора утилиты
�� Защитникам: Рекомендации общего характера

#phishing #html_smuggling #red_teaming