当前位置:安全资讯 >> 全文

老树新花:ZeroFont 助钓鱼邮件绕过 Office 365 安全过滤器

发布时间:2018-6-22 17:21 标签: 恶意软件,零字体
分享到 0

网络犯罪分子目前利用已存在几十年的 ZeroFont(“零字体”)技巧绕过微软的安全过滤器并向 Office 365 邮件账户传播垃圾邮件和钓鱼邮件。

“零字体”指在正常文本中插入零宽度的字体字符。虽然人类无法看到零宽字符,但邮件安全软件能够看到包括隐藏的字符在内的整个文本。零字体的目的是欺骗邮件安全系统以为它是一种杂乱无章的巨大文本块,但实际上却是钓鱼邮件向人类收件人发出的“诱饵”。

这种技术已存在且被利用多年,而且多数邮件安全系统通常会将包含零宽设置的文本标记为可疑文本。

Office 365 无法检测出零宽字体

云安全公司 Avanan 指出,微软 Office 365 平台无法将这些邮件标记为恶意邮件。

Avanan 指出,零字体之所以是有效的,主要是因为微软依靠自然语言处理来扫描邮件并确定某条信息的内容是否包含通常出现在钓鱼邮件或欺诈邮件如付款请求、多种关键字等中的文本指标。

通过将大量隐藏的零宽文本插入某个邮件主体内容中,犯罪分子将指标隐藏起来不被Office 265 自然语言处理引擎发现,从而有效地将这些“诱饵”放到随机语句的汪洋中,而肉眼根本无法看到,不过微软系统能够发现。

Avanan 公司表示,检测到零字体技术目前已遭利用,和其它技术如 PunycodeUnicode 或十六进制转义字符一起遭利用。

上个月,Avanan 公司的研究员还发现 Office 265 无法检测到利用 HTML 标签 <base> 分拆成两部分的钓鱼网站的链接。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.bleepingcomputer.com/news/security/zerofont-technique-lets-phishing-emails-bypass-office-365-security-filters/
参与讨论,请先 登录 | 注册

用户评论