使用Microsoft.com域来绕过防火墙并执行有效载荷

Microsoft.com是互联网上最广泛的域名之一，目前拥有数千个注册的子域名。 Windows 10将每小时对这些子域进行数百次ping操作，这对防火墙和监控操作系统发出的所有请求构成了安全挑战，攻击者可以使用这些子域来提供有效载荷以逃避网络防火墙。

最近，当我试图在社交媒体上分享一篇文章时，Twitter阻止我在tweet窗口中输入一个简单的PowerShell命令。之后，Twitter显示了一条错误消息，说明该推文无法提交。

我突然想到，黑客过去一直在twitter上发布PowerShell命令，目的是将该服务用作一个有效的载荷托管系统。这个概念并不新鲜，让我想到了可以类似使用的其他流行域名，以及该活动对攻击可能带来的潜在好处。比如，你可以阅读一下这篇文章《在不到2小时内入侵200个社交媒体账号》。

为什么使用Microsoft域而不是专用的VPS？

最显著的优势可能是这些流行域对网络防火墙和高度安全环境的影响，攻击者将在Microsoft域上托管其有效载荷。当目标计算机试图下载Windows 10时，经过强化的操作系统和网络将更有可能允许Web请求遍历网络并绕过防火墙和组织设置的入侵检测系统（IDS）。

Windows 10计算机每天可以ping数万次。即使使用了强化设置，Windows 10也会对Microsoft服务器进行数千次ping操作。需要一些传输到Microsoft域和从Microsoft域传输的数据，来维护系统更新和操作系统的其他重要方面。PHP大马

某些Microsoft域可能会出现不常见的子域（例如，“geover-prod.do.dsp.mp.microsoft.com”），这些域通常用于在后台运行的专用服务，资源和应用程序。这意味着一些严格的防火墙和IDS将允许这些具有通配符的域（例如，allow *.microsoft.com）通过网络。某些系统管理员也可能完全忽略Microsoft域，因为它们不太可能被恶意攻击者滥用。

攻击者可以利用这些信息来为攻击做准备，以下面的Wireshark捕获为例，你注意到什么异常了吗？

“social.msdn.microsoft.com”域名仅用于下载攻击者的有效载荷。对于任何执行深度包检测（DPI）的人来说，这种流量看起来大多是良性的，该域名属于Microsoft针对开发人员和日常Windows 10用户的社区论坛。请求（TCP / TLS）被加密，因此进一步检查数据包是不会显示网页或内容（即有效载荷）的完整路径的，观察网络上此流量的管理员可能会认为目标用户只是在浏览Microsoft论坛。

导航到攻击者设置的页面，我们可以看到嵌入到“关于我”部分的有效载荷。天天好彩

许多Microsoft拥有的域可用于此类活动，如Microsoft Answers，Office Forms，OneDrive，甚至其他Microsoft新闻媒体的评论部分，所有这些合法的Microsoft域都允许用户输入可以被滥用来承载有效载荷。

第1步：创建有效载荷

我们要先定义将在目标计算机上执行的最后一段代码。为了简单起见，有效载荷将在Documents\文件夹中创建一个名为pwn_sauce的空文本文件。注意三重反斜杠(\\\)，在Bash（Kali终端）中，需要将有效载荷中的PowerShell变量作为文字字符串传递。

<