LayerX Labs 发现了一个新的零日网络钓鱼活动,该活动冒充 Microsoft 安全通知来诱骗受害者分享他们的登录凭据和付款详细信息。 

此次攻击模仿了微软 Windows Defender 安全警报,敦促用户拨打热线电话、输入其凭证并向呼叫中心付款以“保护”他们的计算机。 

此次攻击之所以能够渗透传统网络安全机制,例如安全 Web 网关 (SWG) 和安全服务边缘 (SSE) 解决方案,是因为它使用了许多专门为逃避传统安全工具而设计的逃避技术

在这篇博客中,我们将分享此事件的详细信息,解释它的独特之处,解释它为何能突破传统安全机制,以及如何保护您自己(和您的组织)免受类似的攻击。

 

事件:Microsoft Alert 诈骗

此次攻击是在 LayerX 的一家大型企业客户的环境中发现的,它绕过了多层网络安全控制,但在造成危害之前被 LayerX 自动阻止。

此次攻击采用了一种简单但有效的策略——一个类似于 Microsoft Windows Defender 警报的网页,声称他们的计算机已感染恶意软件。

该消息声称用户的设备感染了恶意软件,敦促他们拨打支持电话寻求立即帮助。

试图离开该页面的用户会收到一条消息,声称他们的设备已被锁定,需要他们输入凭据才能登录。 

在我们测试的一些情况下,页面代码能够导致网络浏览器冻结,模仿微软的安全阻止并再次提示他们拨打虚假的安全帮助热线号码。

这种社交工程利用了毫无戒心的用户的紧迫感和焦虑感。通过模拟安全紧急情况,攻击者促使用户立即采取行动,这样他们就不会花时间仔细检查警报。

多层风险

攻击者通常使用网络钓鱼策略诱骗用户共享信息或提供系统访问权限。如果没有先进的检测技术,用户可能会遭受攻击,从而面临以下风险:

  • 拨打提供的热线号码,攻击者可以操纵他们支付赎金或授予他们系统的远程访问权限。
  • 将他们的凭证输入到钓鱼网站,攻击者可以窃取这些凭证并用于接管帐户。
  • 他们的用户信息被用于更复杂的攻击或在暗网上出售。

常规防御为何失败

许多组织部署了安全 Web 网关 (SWG) 解决方案来应对浏览威胁和网络钓鱼攻击。尽管如此,LayerX 客户还是检测到了此攻击,该攻击绕过了组织的 SWG。这是因为 SWG 和电子邮件网关等网络层防御通常依赖于两种主要方法: 

  • 已知恶意 URL 的阻止列表
  • 已知钓鱼页面的签名

此次攻击之所以能够绕过这两项措施,原因如下:

1. 合法的托管域名

攻击者将其网络钓鱼页面托管在合法的 Microsoft 托管域上:windows[.]net。 

Windows[.]net 是 Microsoft 为开发人员提供的托管 .net 和 Azure Web 应用程序的平台。这意味着钓鱼页面驻留在 Microsoft 自己的基础设施上。因此,该页面享有很高的顶级域名 (TLD) 声誉。

这使得它在外部观察者看来是微软的合法页面,并使其能够绕过传统的基于 URL 的防御。 

即使基于 URL 的防御解决方案确实识别出恶意活动,它通常也不会阻止 ULR,因为阻止“windows.net”下的所有子域会破坏 Microsoft 托管的无数合法服务,从而给组织带来运营问题。 

2. 零时随机子域名

袭击者利用 随机子域名 以避免被发现。LayerX 实验室捕获了“pushalm83e.z13.web.core.windows[.]net”。然而,这些域名字符串很容易生成,而且经常轮换。 

这样攻击者就可以确保该页面不会与任何现有的威胁情报或 URL 黑名单相匹配。这种策略通常被称为“零时”技术,它允许钓鱼网站在线停留足够长的时间,以诱捕受害者,然后将其关闭并转移到另一个随机子域。

3. 钓鱼工具包相似度低

该钓鱼页面设计新颖,与钓鱼工具包中常见的现有模板、哈希值和签名均不匹配,这使得该页面能够逃避依赖钓鱼页面相似性分析的解决方案的检测。

仅依赖钓鱼模板和列表的控制,而不检查网页内容本身,将被高级和有创意的攻击绕过。

尽管如此,尽管存在这些特点,LayerX 仍然能够及时检测并阻止这次攻击。

为什么传统防御措施失效时 LayerX 却能被检测到

与主要依赖已知不良 URL 列表的传统网络安全工具不同,LayerX 利用 URL 过滤和实时分析页面行为来防止网络钓鱼和社会工程。 

LayerX 对 Web 内容的实时分析不仅仅依赖于域信誉或静态签名。相反,它使用 AI 驱动的神经网络来实时检测风险因素,即使是以前未见过的攻击。因此,当网络钓鱼页面试图提示用户输入凭据或拨打支持电话时,LayerX 的解决方案会立即识别出此尝试,将其标记为可疑并自动阻止该页面,从而防止潜在损害。

LayerX 是第一个能够应对保护当今最有针对性和最暴露的攻击面——浏览器的挑战的解决方案,同时又不会影响用户体验。 

LayerX 通过对浏览会话中的任何事件和用户活动进行持续监控、风险分析和实时执行,为所有网络威胁提供全面的保护。 

企业利用这些功能来保护其设备、身份、数据和 SaaS 应用免受端点和网络解决方案无法防范的 Web 威胁和浏览风险。这些措施包括阻止通过 Web、SaaS 应用和 GenAI 工具泄露数据、防止凭据被网络钓鱼窃取、强制内部或外部员工安全访问 SaaS 资源以降低帐户被盗用的风险、发现和禁用恶意浏览器扩展、影子 SaaS 等。

LayerX 企业浏览器扩展与任何浏览器原生集成,将其转变为最安全、最易于管理的工作区。 了解更多