diff --git a/content/blog/2023-08-26-Umgehen-Proxy-MOTW.md b/content/blog/2023-08-26-Umgehen-Proxy-MOTW.md
new file mode 100644
index 0000000..3af2133
--- /dev/null
+++ b/content/blog/2023-08-26-Umgehen-Proxy-MOTW.md
@@ -0,0 +1,59 @@
+---
+title: "Umgehen von Proxy und Dateibasierten Schutzmechanismen"
+date: 2023-08-28
+draft: false
+---
+
+## Einleitung
+Seit einigen Monaten arbeite ich hin und wieder an diesem Verfahren, das es einem ermöglicht, auch an ansonsten 
+sehr robust konfigurierten Proxies vorbeizukommen, aber auch Endpoint-Basierte Schutzmechanismen zu umgehen, deren 
+primäre verteidigung die Quelle eines Dateidownloads ist. Der grundsätzlich Ablauf des Verfahrens ist relativ
+einfach. Am besten lässt es sich an einem Beispiel verstehen: 
+
+## 1. Stufe - Seltsame E-Mail
+Der Benutzer hat diese Mail bekommen:
+[![E-Mail mit HTML anhang](/img/blog/2023-08-28-email.png)]
+Die meisten Benutzer werden diesen Anhang vermutlich öffnen, da sie nichts verwerfliches daran sehen.
+
+## 2.Stufe - Download der Datei aus dem Browser
+Das öffnen der Datei führt dann zu dieser Seite:
+[!["Secure File" Portal](/img/blog/2023-08-28-securefileportal.png)
+In diesem Beispiel ist die HTML-Seite bewusst sehr einfach gehalten und nicht obfuscated oder anderweitig 
+odifiziert. Auf dieser Seite könnten ggf. auch Instruktionen zum weiteren Verfahren sein. 
+
+## 3.a Stufe - Entblocken
+Wenn das Attachment auf einem Windows-Computer geöffnet wurde und ein Microsoft Office-Dokument ist, muss - je nach 
+Zonen-Einstellungen - die Datei "Entblockt" werden. Dies kann allerdings dann mit einem Mark-Of-The-Web-Bypass 
+umgangen werden. Hierfür können die Dateien z.B. in einem Archiv oder Filesystem-Container untergebracht werden, 
+der kein NTFS beherrscht (etwa ISO 9660), oder über einen weniger offensichtlichen Loader geöffnet werden.
+Unter Linux/UNIX-Systemen muss hier in der Regel das Execute-Bit auf der Datei gesetzt werden, sofern die Datei
+ausführbar sein soll.
+
+## 3.b - Dateien sind lokal auf dem Computer
+Bei Dateitypen, die keiner so starken Absicherung unterliegen, oder bei Systemen, die dieses Prinzip der Absicherung
+nicht nutzen, steht die Datei im vollen Umfang zur verfügung. Wird der Benutzer jetzt dazu angeleitet, die Warnung
+gegen das Ausführen von aus dem Internet heruntergeladenen Dateien zu ignorieren (oder diese wird umgangen), kann
+Schadcode ausgeführt werden. Da die Datei auf dem Rechner selbst generiert wird und nicht aus dem Internet kommt,
+greifen auch viele Antivirus/EDR-Tools nicht unbedingt ein.
+
+## 4. Stufe - Exploitation
+Nachdem die Malware an den Netzwerk - und manchen Endpoint - angekommen ist und optimalerweise vom Anwender
+ausgeführt wurde, kann der Computer übernommen werden und sich weiter im Netzwerk verbreitet werden.
+
+## Wie funktioniert es?
+Web- und Emailfilter (Proxy, Gateway, File inspection etc) führen in der Regel keine dynamische Analyse von Dateien
+(e-Mail-Anhängen, heruntergeladene Dateien o.ä.) durch. Daher ist es möglich, Dateien in einem eigentlich harmlosen 
+und auch oft verwendeten Dateiformat (z.B. HTML) an diesen Sicherheitsmaßnahmen vorbeizuschleusen.
+Beispieldateien finden sich [Hier](https://cloud.jmbit.de/s/AJ6wW32dc5qfGd6), das Projekt zur erstellung von solchen
+Dateien findet sich [Hier](https://codeberg.org/jmbit/trojantool)
+
+## Was kann man dagegen tun?
+Das wichtigste Mittel gegen solche Angriffe ist, sich weniger auf statische Attribute zu verlassen, sondern mehr auf
+Verhalten. Es gibt Verhaltensmuster, die im Alltag extrem selten auftreten, aber in fast jedem Angriff in
+irgendeiner Form auftauchen. Das klassische Beispiel ist das Command `whoami` unter UNIX. ein alltäglicher Benutzer 
+hat sehr selten Bedarf daran, anzuzeigen, welcher User er gerade ist. normalerweise steht dieser als teil des Prompt
+in der Konsole, oder ist anderweitig indiziert (z.B. $/# als teil des Prompt etc). 
+
+
+
+< vim: set wrap linebreak textwidth=120 cc=120 : -->
diff --git a/static/img/blog/2023-08-28-email.png b/static/img/blog/2023-08-28-email.png
new file mode 100644
index 0000000..ce5763f
Binary files /dev/null and b/static/img/blog/2023-08-28-email.png differ
diff --git a/static/img/blog/2023-08-28-securefileportal.png b/static/img/blog/2023-08-28-securefileportal.png
new file mode 100644
index 0000000..c1ea926
Binary files /dev/null and b/static/img/blog/2023-08-28-securefileportal.png differ