滥用 Microsoft Outlook 365 捕获 NTLM

本文将讨论“攻击者如何利用 Microsoft Office 进行钓鱼攻击，从 Windows 获取 NTLM 哈希值。”因为我们都知道，像Word、PowerPoint、Excel和Outlook这样的Microsoft Office应用程序是任何组织最可靠的资源，攻击者利用这种依赖来伪装用户。

在这里，我们试图解释一种攻击在钓鱼攻击中采用的不同方法来捕获Microsoft Windows NTLM哈希值。

实际上，攻击者试图利用UNC路径注入技术捕获Windows NTLM哈希，并利用钓鱼手段实现目标。

目录

• 链接UNC路径的图像
• 在文本文件中链接UNC PATH
• 链接 UNC PATH Word 文档

攻略

我们用的是Kali Linux，IP是192.168.1.112，这个IP将用于UNC Path。

链接UNC路径的图像

目标1：向目标用户发送包含恶意图像的钓鱼邮件。

首先，使用Office 365在图片中链接UNC路径。插入图片并起草邮件，让受害者伪装他/她。

通过添加超链接到图像，如下所示，注入UNC路径。如今，攻击者利用COVID-19防范图像发动大规模钓鱼攻击。

我们用Kali Linux IP窃取了NTLM哈希值。威胁猎人可以认为这一阶段很容易，同时根据平原金字塔寻找IOC。在这里，攻击者利用恶意域名地址或 IP 以 dword 格式规避入侵检测系统。

用Office 365草拟好消息后，在你的Kali Linux中安装 响应器 ，以捕获NTLM哈希。

响应者是LLMNR、NBT-NS和MDNS毒害器，内置HTTP/SMB/MSSQL/FTP/LDAP流氓认证服务器，支持NTLMv1/NTLMv2/LMv2，扩展安全NTLMSSP和基本HTTP认证。

执行给定命令，执行完后，响应者将邮件发送给受害者。

responder -I eth0 -v

responder -I eth0 -v

然后，当受害者打开邮件点击图片、打开新标签页或保存图片时，有人在他/她不知情的情况下偷走了他的NTLM哈希。

因此，攻击者将获得受害者机器的NTLM哈希值，如下图所示。这里你可以看到它给出了NetBIOS用户名和哈希值。

攻击者可能会使用John的破解工具或其他NTLM哈希破解工具来获取密码。正如你在这里看到的，我们利用了上述由响应者生成的NTLM哈希文件，在开膛手约翰的帮助下提取了受害者的密码。

在文本文件中链接UNC PATH

目标2：向目标用户发送包含该对象的钓鱼邮件。

直到 Office 2013，注入 UNC Path 可以发送恶意附件。但在 Office 2013 之后，文件链接选项被禁用了。这可以防止攻击者通过恶意附件进行钓鱼攻击。

然而攻击者仍然发现了发送恶意附件的第二种选择。尽管发送附件，他们仍试图在邮件中链接物品。

这里我们添加了一个文本文件作为对象，这里无法使用“链接到文件”功能来注入 UNC 路径。

添加对象后，像上面那样注入UNC路径的超链接，即\192.168.1.112，然后发送给受害者。另一方面，像上面那样用 responder，窃取 NLTM 哈希。

然后，当受害者打开邮件并点击文本或在新标签页打开时，攻击者会在不知情的情况下窃取他的NTLM哈希值。

因此，攻击者将获得受害者机器的NTLM哈希值，如下图所示。这里你可以看到它给出了NetBIOS用户名和哈希值。

链接 UNC PATH Word 文档

目的： 向目标用户发送包含Word文档附件的钓鱼邮件。

在大多数情况下，攻击者使用Word文档使邮件看起来真实。所以，他通过在文档文件中添加超链接，将UNC路径注入其中。但正如我们提到的，Outlook移除了“链接到文件”或“插入链接”选项，以防止攻击者发送恶意文档。

还有一种替代技术允许攻击者将UNC路径注入附件。我们将HTML代码写入包含原图中UNC路径链接的文本文件，如HTML图所示。

然后打开一个Word文档，把HTML文件作为一个对象链接。因此我们切换到**“插入>文件中的对象>文本”**。

现在插入HTML文件，并选择“作为链接插入”选项，如图片所示。

然后使用包含HTML文件链接的Word文档，附上链接，然后将邮件发送给受害者。然后等待受害者回应，把应答者从后门放进去。

现在，当受害者打开邮件并点击短信或打开新标签页时，他/她的NTLM哈希值在他/她不知情的情况下被盗。

因此，攻击者将获得受害者机器的NTLM哈希值，如下图所示。你可以看到它给出了NetBIOS用户名和哈希值。

**结论：**因此，我们看到攻击者巧妙地将UNC路径注入图像、文本文件或Word文档，并通过发送钓鱼邮件来伪装受害者。