独报86个高对抗钓鱼攻击!深信服安全GPT防钓鱼实测效果解析

admin
admin
admin
988
文章
2
评论
2024年6月14日11:22:00 评论

​自从上次某用户和安全GPT研发老哥的故事《又有员工被钓鱼了?我半夜三点从梦中惊醒》发出来之后,收到了一些不同的声音:

“你们钓鱼攻击检出率是怎么算的?怎么对比的?”

“什么叫高社工、高对抗钓鱼样本测试?会不会是提前设计好的?”

正好,近期深信服与某行业头部大型企业(以下称为某大企)做了一次与传统邮件安全防护架构对比的真实效果检测。2天时间内,安全GPT共检出了213封恶意钓鱼邮件,精准率95.8%,而传统邮件安全防护架构检测精准率仅为49.85%,不仅包含了垃圾邮件,也将许多白邮件也拦截了下来。

其中,安全GPT独报了86封钓鱼邮件攻击,是某大企现有邮件安全防护架构都无法检出的高级钓鱼攻击,主要类型有:二维码嵌套加密附件钓鱼,网站白利用钓鱼,时间对抗钓鱼。

可见,传统检测技术固然能够过滤掉强特征的钓鱼邮件,但真正难防的,是高社工、高对抗的钓鱼攻击。

什么叫高社工、高对抗钓鱼?通过本次攻击者和安全GPT的几个“过招”,也许大家能够对网络钓鱼攻击的“套路之深”窥见一二。

招式一:二维码嵌套加密附件钓鱼

某员工收到一封主题为“退税通知”的邮件,邮件内有附件“退税操作指引.zip”。但是该附件有密码加密,且密码在邮件正文中,在正文中有“附件密码:4个2”的相关内容。

独报86个高对抗钓鱼攻击!深信服安全GPT防钓鱼实测效果解析

员工下载附件解密后,解压压缩包,释放出“退税操作指引.docx”和“附件密码tszy.txt”两个文件。用附件密码打开“退税操作指引.docx”,发现文档放了一个二维码,扫码后进入钓鱼页面。

独报86个高对抗钓鱼攻击!深信服安全GPT防钓鱼实测效果解析

↑员工解密解压压缩包后,还需要对word进行解密

传统检测技术解法

传统检测技术能够识别“附件密码:2222”,打开附件看是否有恶意域名链接;但却无法识别“4个2”进行解密,即使解密,也无法通过释放的文件进行第二层解密,很可能当作正常邮件放过或拦截后需要人工介入。

安全GPT「接招」

安全GPT了解其邮件意图后,进行了如下几步操作:

1、像安全专家一样从邮件正文中理解并提取出附件密码“2222”,并使用密码打开压缩包;

2、发现压缩包内还有第二层解密,便从“附件密码tszy.txt”提取出密码,对文档进行解密;

3、打开文档后,发现二维码,安全GPT使用工具扫描二维码,得知其链接为"http://sdfjksh.dfjghd.bond/";

4、通过查询情报等信息结合判断(罕见域名后缀、域名没有备案),得出该链接非官方、是钓鱼链接的结论。

独报86个高对抗钓鱼攻击!深信服安全GPT防钓鱼实测效果解析

↑点击可查看「安全GPT解析过程」大图

招式二:网站白利用钓鱼

某员工收到一封主题为“邮箱升级通知”的邮件,提示用户点击链接“

http://tinyurl.com/dsjedjNdj”进行操作。员工点击链接后,随即会跳转到另一个链接里,要求输入账号密码登录邮箱,输入后,账号密码便落入攻击者手里。

独报86个高对抗钓鱼攻击!深信服安全GPT防钓鱼实测效果解析

传统检测技术解法

tinyurl是一家短链接服务提供商,在各家情报中信誉都是高可信。传统检测技术识别到高信誉链接便认为邮件是合法的,自然将此邮件放过,却不知攻击者只是将钓鱼链接套上了“高信誉”的壳。

安全GPT「接招」

安全GPT从邮件头部、邮件链接和情报信息综合判断该邮件为钓鱼邮件。

安全GPT会使用爬虫工具进行访问,发现跳转到另一个链接“http://dfjghd.bond.com/login.php”,随后跟踪页面,发现是一个登录框,同时查看页面源码发现存在克隆特征且表单提交地址十分可疑,再结合情报信息,该链接的域名注册年龄较短,且无备案信息(不符合国内法律法规),综合判断得出是钓鱼邮件的结论。

独报86个高对抗钓鱼攻击!深信服安全GPT防钓鱼实测效果解析

↑点击可查看「安全GPT解析过程」大图

招式三:时间对抗钓鱼

某员工收到一封主题为“紧急内部通知,注意查收”的邮件,邮件内有一个图片,是个二维码,要求用户扫码按照指引操作。

独报86个高对抗钓鱼攻击!深信服安全GPT防钓鱼实测效果解析

扫码访问发现页面提示:“当前非工作时间,请于早上7:00后再提交申请”。页面跟真实业务几乎一致。员工第二天访问,即弹出登录页面,一旦输入,账号密码就被攻击者掌握。

独报86个高对抗钓鱼攻击!深信服安全GPT防钓鱼实测效果解析

↑员工扫码后看到的页面提示

传统检测技术解法

因为链接并不会第一时间跳转到钓鱼界面,传统检测技术不会发现任何异常,也不会到第二天再去跟踪访问,因此会判定为正常邮件。

安全GPT「接招」

安全GPT使用工具扫描二维码,识别到正常的工资收入退税申报的官方业务网页维护,不会出现“当前非工作时间”并要求第二天访问的描述,像安全专家一样判断其意图异常。再结合发件人身份、邮件主题及紧急诱导语气等信息综合判断,给出是钓鱼邮件的结论。

独报86个高对抗钓鱼攻击!深信服安全GPT防钓鱼实测效果解析

↑点击可查看「安全GPT解析过程」大图

通过以上几个案例,可以清晰地看到,传统基于静态特征(如关键词过滤、黑名单等)的防钓鱼检测技术很难应对各种新型的、组合型的对抗手段,也无怪乎钓鱼攻击一直稳居“CIO头疼榜”前排。

安全GPT带来的不是更广更全的钓鱼攻击特征库,而是以网安领域Game Changer的思路,为用户带来拥有大脑和思维的防钓鱼安全专家,能够对“百变”的钓鱼攻击行为做出理解和判断。

安全GPT通过强大的自然语言处理能力、钓鱼攻击推理能力和海量安全知识储备,借助端侧采集到的邮件数据、文件信息和行为数据,能够快速、有效检测邮件钓鱼攻击与文件钓鱼攻击。

像安置在每位员工身边的防钓鱼专家一样,安全GPT不仅能够理解攻击意图,更能关联起完整且隐蔽的攻击链。而在真实场景下应用形成的海量优质数据,又会促进安全GPT防钓鱼数据飞轮,让防钓鱼的能力越来越强,致力于每位用户的安全都能够领先一步!

weinxin
数说安全
微信扫一扫
  • 本文由 发表于 2024年6月14日11:22:00
  • 除非特殊声明,本站文章均为原创,转载请务必保留本文链接
2298万网安大单中标 新闻热点

2298万网安大单中标

近日,海关总署2024年缉私局海关智慧监管平台缉私网络安全保护体系采购项目发布中标公告,该项目预算金额:25,202,100元,由杭州安恒信息技术股份有限公司中标,中标金额:22,980,000元。 ...
匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: