Inboxfuscation: Because Rules Are Meant to Be Broken
8 months ago
- #unicode-obfuscation
- #cybersecurity
- #email-security
- Microsoft Exchange收件箱规则是APT组织的重要攻击途径
- 收箱混淆(Inboxfuscation)是基于Unicode的规避检测技术
- 四种主要Unicode混淆技术:字符替换、零宽度注入、双向文本操纵和混合技术
- 功能性混淆技巧包括将邮件转发至日历文件夹和使用空字符
- 理论攻击场景包括长期数据渗出和反取证操作
- 当前检测局限包括基于ASCII的模式匹配和Unicode认知不足
- 高级检测方法涉及字符类别分析和多格式日志分析
- 防御框架支持多种Exchange日志格式并提供SIEM集成结构化输出
- 研究揭示了电子邮件安全态势的漏洞,包括检测盲点和合规风险
- 开源Inboxfuscation框架可帮助模拟、检测和缓解混淆邮箱规则