https://book.hacktricks.xyz/pentesting-web/csrf-cross-site-request-forgery クロスサイト リクエスト フォージェリ (CSRF とも呼ばれる) は Web セキュリティの脆弱性であり、攻撃者がユーザーに次のようなアクションを実行するよう誘導することができます。彼らは実行するつもりはありません。
これは、被害者のプラットフォームにログインしているユーザーを、攻撃者が制御する Web サイトにアクセスさせ、そこから悪意のある JS コードを実行させたり、フォームを送信したり、被害者のアカウントに「画像」を取得させたりすることによって行われます。
CSRF の脆弱性を悪用できるようにするには、まず悪用に関連するアクションを見つける必要があります (パスワードや電子メールを変更する、ソーシャル ネットワークで被害者にあなたをフォローさせる、より多くの権限を与えるなど)。セッションは Cookie または HTTP 基本認証ヘッダーのみに依存する必要があり、他のヘッダーを使用してセッションを処理することはできません。最後に、リクエストに予測不可能なパラメータがあってはなりません。
この脆弱性を回避するために、いくつかの対策が講じられている可能性があります。一般的な防御:
- SameSite cookie: セッション cookie がこのフラグを使用している場合、任意の Web サイトから cookie を送信できない場合があります。
- クロスオリジン リソース共有: 関連アクションを悪用するために実行する必要がある HTTP 要求の種類に応じて、被害者サイトの CORS ポリシーを考慮に入れることができます。フォームから GET リクエストまたは POST リクエストを送信するだけで、応答を読み取る必要がない場合、CORS ポリシーは影響しないことに注意してください。
- パスワード ユーザーにアクションを承認するように依頼します。
- キャプチャを解決する
- Referrer または Origin ヘッダーを読み取ります。正規表現が使用されている場合、次の例のようにバイパスできます。
http://mal.net?orig=http://example.com (URL で終わる)
http://example.com.mal.net (URL で始まる)
- Post または Get リクエストのパラメータの名前を変更します
- 各セッションで CSRF トークンを使用します。このトークンは、アクションを確認するためにリクエスト内で送信する必要があります。このトークンは CORS で保護できます。

https://us-cert.cisa.gov/ncas/alerts/TA18-201A
現在、Emotet は、NetPass.exe、WebBrowserPassView、Mail PassView、Outlook スクレーパー、資格情報列挙子の 5 つの既知のスプレッダー モジュールを使用しています。Credential enumerator は、バイパス コンポーネントとサービス コンポーネントの 2 つのコンポーネントを含む自己解凍型の RAR ファイルです。バイパス コンポーネントは、ネットワーク リソースの列挙に使用され、サーバー メッセージ ブロック (SMB) を使用して書き込み可能な共有ドライブを見つけるか、管理者アカウントを含むユーザー アカウントをブルート フォースしようとします。利用可能なシステムが見つかると、Emotet はシステムにサービス コンポーネントを書き込み、それが Emotet をディスクに書き込みます。Emotet が SMB にアクセスすると、ドメイン全体 (サーバーとクライアント) が感染する可能性があります。