预计到2027年,网络犯罪每年将给全球造成23.8万亿美元的惊人损失。当今网络攻击背后的动力似乎无穷无尽,每天都有新的、巧妙的恶意软件、网络钓鱼和社交攻击出现。
本文将深入剖析五种常见的高技术网络钓鱼攻击:EvilProxy、SocGholish、二维码钓鱼、MFA操纵以及多层二维码攻击。我们不仅会一步步了解每种攻击是如何运作的,更重要的是,将揭示如何有效识别并阻止它们。
EvilProxy网络钓鱼工具包
随着黑客适应增强的安全控制,像EvilProxy这类旨在绕过多因素身份验证(MFA)的威胁正变得越来越频繁。传统方法(如IP或链接过滤)已不足以应对。
EvilProxy是一种可窃取用户凭证和MFA令牌的网络钓鱼工具包。其核心原理是利用反向代理技术隐藏在合法网页之后。当受害者连接到钓鱼网页时,会看到一个伪造的、与真实登录门户别无二致的页面。一旦用户尝试登录,EvilProxy便会实时拦截并捕获其凭证和身份验证会话令牌。随后,攻击者便能利用这些信息绕过MFA保护,冒用受害者身份。
攻击是如何发生的
-
欺骗性信息:攻击始于一封伪装成合法DocuSign通知的电子邮件,提示收件人有一份文档待签署。这封看似无害的邮件实为高级攻击的入口。
-
恶意链接:当收件人点击邮件中的链接后,会被重定向至一个伪造的微软登录页面,攻击者的代理服务器就潜伏在此页面之后。
-
EvilProxy钓鱼:这是攻击的关键。攻击者通过反向代理技术,在用户与真实的微软登录页面之间充当“中间人”。用户在假页面输入信息时,其凭证和MFA代码会被实时窃取。
-
绕过MFA验证:凭借窃取的MFA代码和登录凭证,攻击者得以顺利访问被入侵的账户,畅通无阻地进入公司内部环境。
人工智能如何检测
AI通过综合分析邮件正文、上下文及发件人的典型行为模式,来判定邮件性质。对于包含可疑链接的邮件,系统会将其提交至沙盒进行深度行为分析。
在此案例中,系统发现多个可疑点:收件人通常不会与该发件人有邮件往来,且邮件内含催促点击的链接。系统因此主动对链接进行沙盒分析。
跟踪该链接时,系统发现其使用了重定向规避策略。进一步分析指向的网页,其行为模式暴露了它正在使用代理服务实时窃取用户凭证和MFA响应,这与EvilProxy的特征完全吻合。
SocGholish攻击
自2018年被发现以来,SocGholish一直是一种持续活跃且难以捉摸的恶意软件。它通过不断变化的攻击阶段、资格检查和混淆例程来逃避检测。
其攻击通常分为四个阶段:
- 恶意注入:黑客入侵合法网站,并注入恶意JavaScript代码,用于对访问用户进行分析,筛选出理想攻击目标。
- 下载SocGholish:对于符合特定条件的用户,JavaScript会连接并推送一个伪装成“浏览器更新”的SocGholish载荷。
- 回呼:SocGholish在受害者设备上运行后,会与命令与控制(C2)服务器通信,获取下一步指令。
- 后续感染:根据C2指令,SocGholish可能会下载并部署后续恶意软件,如远程访问木马或勒索软件。
攻击是如何进行的
-
初始信息:受害者收到一封邀请其向某知名学术期刊投稿的邮件。这封邮件本身是真实的,并非由黑客伪造。恶意代码隐藏在邮件中链接所指向的被入侵的合法网站上。
-
被入侵的链接:用户点击链接后,被入侵网站上的恶意JavaScript开始对用户设备进行剖析。被选中的目标会看到一个全屏弹窗,提示其浏览器需要紧急更新。
-
下载SocGholish:如果用户下载了“更新”,SocGholish便会在设备上执行,进一步搜集信息并联系C2服务器,等待部署更严重的恶意软件。
为什么传统防御系统难以捕捉
SocGholish天生具备极强的躲避性。其用于剖析设备(如检查IP、OS、浏览器、语言)的技术难以被检测。同时,由于初始邮件和链接均属合法,依赖异常检测的工具很容易失效。此外,SocGholish还能感知沙盒环境,在模拟分析中保持静默。
人工智能如何检测
AI通过深度链接行为分析,能够检测到SocGholish相关的多种可疑行为,例如尝试连接C2服务器、进行异常DNS查询等。
在本案例中,AI识别出不寻常的发送模式,从而在用户点击前就对链接进行了沙盒分析。这种主动防御能力使其能够发现新型的、前所未见的威胁。
二维码钓鱼
二维码钓鱼将攻击载体从受保护的电子邮件环境转移到了安全措施通常较弱的个人移动设备上。由于链接不直接暴露在邮件正文中,这使得大多数依赖链接扫描的电子邮件安全工具失效。
攻击是如何进行的
-
欺骗性信息:员工收到一封冒充公司HR团队的邮件,声称内含员工福利或薪酬调整信息。
-
诱导扫码:邮件指示员工使用手机摄像头扫描邮件中的二维码来查看详情,而非点击传统链接。
-
钓鱼引诱:扫码后,手机会打开一个伪造的登录页面,诱骗员工输入公司账户凭证。
为什么传统防御系统难以捕捉
二维码本身是中性的,大量合法邮件(如签名档)也包含二维码,因此无法仅凭存在二维码就判定为威胁。许多工具仅依靠“不常见发件人”等单一信号,容易产生误报或漏报。
人工智能如何检测
AI采用多信号融合分析。它不仅检查发件人及其历史模式,还对邮件正文进行语言和语义分析,识别出“请用手机扫描二维码”等诱导性关键语句。同时,AI会利用OCR技术扫描并提取二维码中隐藏的链接,将其送入检测引擎进行深度行为分析,从而判断其恶意性。
MFA操纵
MFA操纵是云环境中的一种高级威胁。攻击者在窃取云账户后,会在该账户中注册自己的MFA方法(如新的验证器应用),从而建立持久性访问,即使原密码被修改或MFA重置也难以将其踢出。
攻击是如何进行的
-
确保立足点:攻击者通过“中间人”(AiTM)攻击窃取用户凭证和会话Cookie后,登录受害者的Microsoft 365账户,并立即访问“我的登录”设置,添加自己的MFA验证器。
-
结合攻击策略:攻击者将MFA操纵与非法OAuth应用授权结合。他们诱导用户授权一个看似无害的第三方应用(如“PERFECTDATA SOFTWARE”)获取高权限。
-
获得持久访问权:该非法OAuth应用被授予了诸如“完全访问邮箱”、“离线访问数据”等持久性权限。即使攻击者的初始会话被终止,他们仍可通过该应用保持访问。
为什么传统防御系统难以捕捉
这类攻击利用了合法的云平台功能(如添加MFA、授权OAuth应用),且每一步都与正常用户活动相似,传统安全工具很难将孤立事件关联起来,看清整个攻击链条。
人工智能如何检测
AI通过用户和实体行为分析(UEBA),能够发现异常行为序列,例如:一个账户在短时间内从陌生位置登录,并立即执行了添加新MFA方法和授权高风险OAuth应用的操作。AI系统可以自动修复此类恶意会话,并清除非法授权的应用程序。
多层二维码攻击
这是二维码钓鱼的复杂变种。恶意二维码不再直接贴在邮件里,而是隐藏在PDF附件中。并且,二维码指向的链接还可能受到Cloudflare验证码保护,以阻碍自动扫描。
攻击是如何进行的
-
欺骗性引诱:邮件主题涉及紧迫的薪资调整,诱导收件人打开附件PDF。
-
PDF中嵌入恶意二维码:恶意链接隐藏在PDF附件内的二维码中,规避了邮件正文扫描。
-
Cloudflare验证:扫描二维码后打开的链接,首先会遇到一个Cloudflare验证页面,旨在绕过仅依赖链接信誉的检测工具。
-
网络钓鱼:通过验证后,用户最终抵达一个旨在窃取凭证的钓鱼登录页面。
为什么传统防御系统难以捕捉
许多工具虽然能解析二维码提取链接,但缺乏深度分析提取后链接行为的能力。对于藏在附件图片或PDF中的二维码,以及受验证码保护的链接,传统检测方法更是束手无策。
人工智能如何检测
AI将二维码扫描与多层行为分析堆栈相结合。它能:
- 扫描提取:支持从PDF、图片等多种格式中提取二维码链接。
- 行为沙盒:将提取的链接置于沙盒中运行,分析其重定向模式、网络活动、进程行为等,即使链接受验证码保护,也能通过分析其整体行为模式进行判断。
- 上下文分析:结合邮件主题的紧急性和诱导性语言,综合判定威胁。
综合防御策略
面对日益复杂的网络钓鱼攻击,企业需要构建多层次、主动式的安全防御体系:
- 在威胁到达前进行拦截:研究表明,每7个用户中就有1个会在收到邮件后1分钟内点击链接。因此,安全工具必须具备在邮件发送前就识别并拦截高级威胁的能力,这需要结合机器学习与实时威胁情报。
- 持续教育用户:员工作为第一道防线,必须定期接受涵盖所有新型攻击(如二维码钓鱼、MFA疲劳攻击)的安全意识培训。
- 定期进行安全审计与配置监控:定期检查身份验证日志、OAuth应用授权列表和系统配置,查找异常。启用自动修复功能,及时纠正未经授权的更改。
- 制定并演练事件响应计划:针对不同的攻击场景制定详细的响应流程,并通过模拟演练确保其有效性。
在安全领域,攻击者的技术始终在进化。从EvilProxy到多层二维码攻击,这些案例提醒我们,依赖单一或传统的防御手段已远远不够。通过采用融合了高级人工智能、行为分析和上下文感知的主动安全平台,并结合持续的员工教育和严格的运维管理,企业才能在这场不对称的攻防战中建立起有效的防线。如果你对具体的技术实现或防御产品有更多兴趣,欢迎在技术社区进行深入探讨。
发表于 3 天前
|
查看: 11|
回复: 0
