ROPEMAKER：利用簡單CSS屬性就可以篡改已發送的郵件內容

最新 08-28

郵件與雲安全公司 Mimecast 的安全研究人員 Francisco Ribeiro 最近發現一種名為 ROPEMAKER 的攻擊手法。ROPEMAKER 全稱叫 Remotely Originated Post-delivery Email Manipulation Attacks Keeping Email Risky。攻擊者利用這個攻擊方法，可以讓一封合法郵件瞬間變身惡意郵件，一般的安全工具還檢測不出來。攻擊者給受害人發送一封 HTML 格式的郵件，在這封原本合法的郵件發出之後，攻擊者還能篡改郵件內容，比如將其中的合法 URL 地址置換成惡意地址。

整個過程可躲避垃圾郵件和安全檢查，甚至不需要訪問收件人的計算機或者郵件應用。聽起來是不是特別不可思議？其本質還是在於對 CSS 樣式表的利用。攻擊者發送的郵件沒有採用內聯 CSS，而是從他自己的伺服器上載入 CSS。這樣一來，在郵件抵達收件人的收件箱之後，攻擊者再改換伺服器上的 CSS 文件，就可以起到篡改郵件內容本身的目的。

研究人員表示，ROPEMAKER 攻擊可以是很多樣的，主要取決於攻擊者的創造力。

」ROPEMAKER的出現源於電子郵件和web技術之間的交集，更準確的說，是HTML中的css造成的，「Mimecast的高級產品營銷經理Matthew Gardiner在博文中寫道。

」相比於純文本的展示方式，在郵件中使用web技術會讓郵件更加吸引人，更加動態化，但這樣同時也讓電子郵件更容易被黑客攻擊。「

ROPEMAKER可以成功欺騙當前的郵件安全工具

發件人剛開始發出的郵件的確是乾淨的，所以它能夠通過目標網路（收件人網路）的郵件安全掃描。在郵件安靜躺在收件箱之後，攻擊者再通過修改外部css文件來篡改郵件內容，自然就不會觸發安全檢查了，因為郵件的安全系統不會再次對已經發入收件箱的郵件做二次檢查。

舉個例子，比如攻擊者在郵件中提供了兩個鏈接，一個正常鏈接，一個惡意鏈接。

首先，有一個前提條件我們要知道：

URL在發送過程中是不會被渲染出來的。

「URL在被發送後才被展示出來，像Minecast這樣的郵件安全保護手段是無法探測到URL是否篡改了的，只是在接收端點擊時才會檢查鏈接安全性。這是因為在郵件發送的時候，根本就沒有URL，也就不會被探測到了，如果想保證安全郵件安全的話，需要對css文件經行解析，這已經超過了當前郵件安全能系統的範疇。」

也就是說：對於偽造的惡意鏈接來說，在發送過程中，URL不會被解析，也就不會被發現，在發送後，正常鏈接被隱藏，顯示的是惡意鏈接，郵件安全系統在不審查外部css文件的情況下，是無法核實鏈接的安全性的。

兩種ROPEMAKER方式

來自Mimecast的研究員Francisco Ribeiro（負責郵件和雲的安全）發現了這種有威脅的攻擊方式，並且指出存在兩種ROPEMAKER方式。

第一種稱為ROPEMAKER Switch Exploit：

攻擊者改變元素css中「display」屬性。

比如上文提到：攻擊者給受害人發送的郵件包含了兩個鏈接，一個是正常鏈接，一個是惡意鏈接，一開始發送的時候，只顯示正常的鏈接。但當郵件投遞完成後，攻擊者會再修改遠程css文件，這樣一來郵件中原本隱藏的惡意鏈接就會顯示在用戶面前。惡意網址可能會讓用戶感染惡意程序獲取竊取敏感信息。

正常的鏈接：