本周二，网络安全公司Avanan发现了一种新的网络钓鱼攻击，该攻击绕过了EOP（Exchange Online Protection）URL过滤器，该过滤器能够扫描Office文档，如Word（.docx）、Excel（.xlsx）和PowerPoint（.pptx）。

钓鱼电子邮件包括一个.docx附件，其中附有一个恶意链接，定向到一个骗取用户凭据的登录页面。链接解析器不扫描整个文档，而是依赖于附件中包含的链接列表的关系（xml.rels）文件，因此无法识别恶意URL。

简单来说，就像书本上的索引目录一样，关系文件也列出了文档各部分的基本要素——外部链接和图像，或内部文档组件，如字体表。有时，关键术语可能不会包含在索引目录中，但它们仍然在书中出现。这次攻击中，黑客从关系文件中删除了外部链接，以绕过只读取索引目录而不是整个“书本”的链接解析器。

背景

Office Open XML文档是所有Office应用程序的默认格式。Office文档（.docx，.xlsx，.pptx）由许多XML文件组成，这些文件包含构成文档的所有字体、图像、格式和目标信息。

研究人员将任一.docx文件转换为ZIP格式，随后解压缩该文件，并在计算机的文档查找器中查看，如下所示：

MacOS系统中解压缩的.docx文件

可以看到，关系目录（word/_rels/document.xml.rels）是一个XML文件，它映射.docx文件中的关系（字体表、文档设置、注释、脚注、样式定义、编号定义）和文件包外部资源，如链接和图像。当文档包含Web链接时，它们将被添加到document.xml.rels 关系文件中。

上图示例关系文件中包含内部资源（如字体、主题和Web设置）和外部资源（如安全连接和恶意链接）。

上述关系文件中的链接在Word文档中呈现为超链接。

如果由于某种原因导致其中一个链接中断，那么当用户在原始文档中单击该链接时，该链接仍然有效。为了向后兼容，Word将解析链接。

NoRelationship攻击如何运作

在扫描附件以查找恶意内容时，大多数电子邮件过滤器会扫描文档中的外部Web链接，并将其与恶意网站数据库进行比较，甚至可以跟踪链接评估其攻击目标。

但是，许多解析器采用快捷方式，只查看document.xmls.rels文件，该文件通常包含完整文档中的所有URL列表。 如果由于某种原因，该文档中包含未体现在xmls.rels文件中的URL链接，即使它们仍处于活跃状态且可在文档中单击，这些解析器也不会发现。因此，“精明”的黑客们正在利用这种漏洞，从关系文件中删除URL，以逃避解析器的检测。

NoRelationship攻击可绕过哪些链接解析器？

Avanan研究人员在最流行的安全工具上测试了此漏洞，以确定哪些人群可能受这一攻击的影响。

结论

Avanan在情人节之前发现了NoRelationship攻击活动。通过从document.xml.rels关系文件中删除恶意链接，黑客混淆了仅扫描关系文件以查找外部链接的解析器。因此，可以说目前针对电子邮件扫描没有捷径可走。唯一的解决方案仍然是全盘扫描整个文件。