Гомоглифы, фрактуры и символы нулевой ширины. Разбираемся в техниках «инбоксфускации» — нового метода взлома Exchange

Компания Permiso представила новую технологию под названием Inboxfuscation, предназначенную для сокрытия правил обработки входящих писем (inbox rules) в средах Microsoft Exchange.

Inboxfuscation — это комплексный фреймворк, который использует разнообразные Unicode-приёмы, чтобы создавать обфусцированные правила, остающиеся работоспособными, но труднее обнаруживаемыми стандартными системами мониторинга. Он может применяться как в оффенсивных сценариях (например, при тестировании безопасности), так и в защитных целях — для выявления уже скрытых или замаскированных правил.

Среди техник, которые использует Inboxfuscation: символы из математических наборов (полужирный, курсив, фрактур и др.), «невидимые» символы с нулевой шириной, управляющие символы для смены направления текста (RTL-контроль), символы-гомоглифы (то есть визуально похожие, но из другого алфавита), а также окружённые и альтернативные алфавитно-цифровые символы.

Инструмент интегрируется с PowerShell и расширяет стандартные команды Exchange вроде New-InboxRule, Set-InboxRule, позволяя задавать уровни обфускации (например: Light, Medium, Heavy, Maximum).

Также есть возможности анализа: Inboxfuscation может сканировать существующие правила, искать обфусцированные элементы, оценивать риск, экспортировать результаты в различных форматах (JSON, CSV, XML и др.).

Это представляет серьёзную угрозу: злоумышленники могут скрывать правила, например, перенаправлять, удалять или маркировать письма так, чтобы системы защиты не замечали. В то же время этот инструмент даёт защитникам возможность выявлять такие скрытые правила и создавать правила детектирования.