在过去几年中,我们目睹了来自网络的网络攻击前所未有的增长:网络钓鱼计划、社会工程、恶意软件网站和其他恶意攻击。目前市场上提供的用于保护用户免受这些威胁的主要安全服务之一是基于信誉的 URL 过滤器。
基于信誉的安全服务根据域的信誉确定 URL 的安全级别。这些服务通过在访问时阻止来自不安全网站的连接来提示用户推迟访问不安全的网站。然而,它们的有效性最近显着下降。
源自合法域的未标记 URL 可以被授予原始域的声誉。网络钓鱼攻击利用此功能并将其恶意攻击隐藏在合法域下以逃避安全过滤器。这是一个需要解决的重大安全漏洞。
在本文中,我们详细阐述了原因以及可以采取的措施。
什么是基于声誉的安全?
网站信誉安全服务通常通过 URL 过滤解决方案保护用户免受互联网上恶意或不当内容的侵害。他们根据网站的网络声誉确定网站的安全级别。 Web 声誉是通过计算不同的指标(例如 URL 的年龄和历史记录、IP 声誉、托管位置、受欢迎程度等)而产生的。不同供应商之间的指标略有不同,但概念保持不变:根据网站的基本遥测数据为其赋予数字声誉。
如果您曾经在工作中尝试访问网页并收到“网站被阻止”通知,那么您的公司正在使用网页过滤。
挑战:网络钓鱼攻击可以轻松逃避声誉过滤器
人们多次发现网络钓鱼活动利用受信任的站点来绕过过滤资源,特别是声誉过滤器。这意味着当受害者点击链接时,没有保护层阻止他们到达登陆页面。
网络钓鱼用例示例
下面的例子有助于理解这个问题:
作为我们在 LayerX 正在进行的网络威胁研究的一部分,我们在 URL 下发现了一个网络钓鱼网站: https://navarrebeach.com/wp-includes/fonts/cgi/auth/。从屏幕截图中可以看出,该网站是伪装成合法登录窗口的网络钓鱼活动。毫无戒心的用户可能会想输入他们的凭据。 (注:我们最初在野外发现了这个钓鱼网站,几天后它就被删除了。这篇文章是在它被删除之前写的)。
当我们将 URL 粘贴到 Google Chrome 中时,不会弹出任何警告。这意味着 Google 安全浏览不会将此网站检测为恶意网站。
也许不同的安全供应商会成功?我们检查了 Palo Alto Networks URL 过滤中的 URL,该 URL 将该网站分类为 低风险, 在下面 旅行用品 类别。
链接
我们尝试了第三个供应商 - Norton Safe Web。但不幸的是,这个 URL 过滤器也认为该网站是安全的。
链接
最令人震惊的是,我们扫描了 VirusTotal 中的 URL,这是一个聚合了许多防病毒产品和在线扫描引擎的网站。结果发现 88家安全供应商之一 将该网站标记为恶意网站(!)。
链接
他们缺少什么?
为什么该网络钓鱼站点被归类为安全站点?原因是相同域名的原始网站具有良好的网络声誉。从SimilarWeb的截图中可以看出,纳瓦拉海滩网站拥有全球排名、可信类别和合法行业分类。所有这些都表明原始网站可能拥有足够好的声誉,足以不被标记为危险。
因此,网络钓鱼站点通过利用其先前托管的域的声誉,很容易绕过过滤器。我们可以看到原始网站确实是一个合法网站,为佛罗里达州纳瓦拉海滩的旅游景点做广告:
链接
我们推测原始网站已被破坏,或者该域名被购买并重新用于网络钓鱼活动。不管怎样,问题仍然存在:网络钓鱼攻击在不被注意的情况下悄然发生。
作为 Verizon 2022 年数据泄露调查报告 指出,网络钓鱼活动仍然是一个突出的威胁。现有的攻击很可能是未来更多网络钓鱼攻击的先兆。因此,需要一种新的方法来解决这个问题。
如何识别利用信誉良好域名的网络钓鱼网站
现有的 URL 过滤器会失败,因为它们主要依赖于有关域的遥测数据。但是,如果除了网站元数据之外还可以分析网站内容呢?
恶意网络钓鱼网站具有网站本身中出现的明显特征,例如:错误链接、拼写错误、用户界面故障、重定向到其他恶意网站的链接、等待下载的潜在 .exe 文件等。分析网站的实际内容可以更好地表明网站是否恶意。
建议寻找可以进行此类分析的自动化解决方案。通常,网络钓鱼站点非常复杂,甚至会让警惕的用户感到困惑。另一方面,软件可以获取网站中嵌入的其他指标,如上所述。
通过使用上下文分析,LayerX 成功地将纳瓦拉海滩网站检测为恶意网络钓鱼攻击。这种能力源自对网站代码和网站内容本身的指标以及尖端机器学习流程的彻底分析。在用户受到影响之前,LayerX 就可以通过浏览器扩展程序获取这些数据。这些额外的安全层可以添加到传统的 URL 过滤器中,帮助我们领先网络钓鱼攻击一步,而不是相反。
