獨(dú)報86個高對抗釣魚攻擊！深信服安全GPT防釣魚實(shí)測效果解析

自從上次某用戶和安全GPT研發(fā)老哥的故事《又有員工被釣魚了?我半夜三點(diǎn)從夢中驚醒》發(fā)出來之后,收到了一些不同的聲音:

“你們釣魚攻擊檢出率是怎么算的?怎么對比的?”

“什么叫高社工、高對抗釣魚樣本測試?會不會是提前設(shè)計好的?”

正好,近期深信服與某行業(yè)頭部大型企業(yè)(以下稱為某大企)做了一次與傳統(tǒng)郵件安全防護(hù)架構(gòu)對比的真實(shí)效果檢測。2天時間內(nèi),安全GPT共檢出了213封惡意釣魚郵件,精準(zhǔn)率95.8%,而傳統(tǒng)郵件安全防護(hù)架構(gòu)檢測精準(zhǔn)率僅為49.85%,不僅包含了垃圾郵件,也將許多白郵件也攔截了下來。

其中,安全GPT獨(dú)報了86封釣魚郵件攻擊,是某大企現(xiàn)有郵件安全防護(hù)架構(gòu)都無法檢出的高級釣魚攻擊,主要類型有:二維碼嵌套加密附件釣魚,網(wǎng)站白利用釣魚,時間對抗釣魚。

可見,傳統(tǒng)檢測技術(shù)固然能夠過濾掉強(qiáng)特征的釣魚郵件,但真正難防的,是高社工、高對抗的釣魚攻擊。

什么叫高社工、高對抗釣魚?通過本次攻擊者和安全GPT的幾個“過招”,也許大家能夠?qū)W(wǎng)絡(luò)釣魚攻擊的“套路之深”窺見一二。

招式一:二維碼嵌套加密附件釣魚

某員工收到一封主題為“退稅通知”的郵件,郵件內(nèi)有附件“退稅操作指引.zip”。但是該附件有密碼加密,且密碼在郵件正文中,在正文中有“附件密碼:4個2”的相關(guān)內(nèi)容。

員工下載附件解密后,解壓壓縮包,釋放出“退稅操作指引.docx”和“附件密碼tszy.txt”兩個文件。用附件密碼打開“退稅操作指引.docx”,發(fā)現(xiàn)文檔放了一個二維碼,掃碼后進(jìn)入釣魚頁面。

↑員工解密解壓壓縮包后,還需要對word進(jìn)行解密

傳統(tǒng)檢測技術(shù)解法

傳統(tǒng)檢測技術(shù)能夠識別“附件密碼:2222”,打開附件看是否有惡意域名鏈接;但卻無法識別“4個2”進(jìn)行解密,即使解密,也無法通過釋放的文件進(jìn)行第二層解密,很可能當(dāng)作正常郵件放過或攔截后需要人工介入。

安全GPT「接招」

安全GPT了解其郵件意圖后,進(jìn)行了如下幾步操作:

1、像安全專家一樣從郵件正文中理解并提取出附件密碼“2222”,并使用密碼打開壓縮包;

2、發(fā)現(xiàn)壓縮包內(nèi)還有第二層解密,便從“附件密碼tszy.txt”提取出密碼,對文檔進(jìn)行解密;

3、打開文檔后,發(fā)現(xiàn)二維碼,安全GPT使用工具掃描二維碼,得知其鏈接為"http://sdfjksh.dfjghd.bond/";

4、通過查詢情報等信息結(jié)合判斷(罕見域名后綴、域名沒有備案),得出該鏈接非官方、是釣魚鏈接的結(jié)論。

↑點(diǎn)擊可查看「安全GPT解析過程」大圖

招式二:網(wǎng)站白利用釣魚

某員工收到一封主題為“郵箱升級通知”的郵件,提示用戶點(diǎn)擊鏈接“

http://tinyurl.com/dsjedjNdj”進(jìn)行操作。員工點(diǎn)擊鏈接后,隨即會跳轉(zhuǎn)到另一個鏈接里,要求輸入賬號密碼登錄郵箱,輸入后,賬號密碼便落入攻擊者手里。

 傳統(tǒng)檢測技術(shù)解法

tinyurl是一家短鏈接服務(wù)提供商,在各家情報中信譽(yù)都是高可信。傳統(tǒng)檢測技術(shù)識別到高信譽(yù)鏈接便認(rèn)為郵件是合法的,自然將此郵件放過,卻不知攻擊者只是將釣魚鏈接套上了“高信譽(yù)”的殼。

安全GPT「接招」

安全GPT從郵件頭部、郵件鏈接和情報信息綜合判斷該郵件為釣魚郵件。

安全GPT會使用爬蟲工具進(jìn)行訪問,發(fā)現(xiàn)跳轉(zhuǎn)到另一個鏈接“http://dfjghd.bond.com/login.php”,隨后跟蹤頁面,發(fā)現(xiàn)是一個登錄框,同時查看頁面源碼發(fā)現(xiàn)存在克隆特征且表單提交地址十分可疑,再結(jié)合情報信息,該鏈接的域名注冊年齡較短,且無備案信息(不符合國內(nèi)法律法規(guī)),綜合判斷得出是釣魚郵件的結(jié)論。

↑點(diǎn)擊可查看「安全GPT解析過程」大圖

招式三:時間對抗釣魚

某員工收到一封主題為“緊急內(nèi)部通知,注意查收”的郵件,郵件內(nèi)有一個圖片,是個二維碼,要求用戶掃碼按照指引操作。

掃碼訪問發(fā)現(xiàn)頁面提示:“當(dāng)前非工作時間,請于早上7:00后再提交申請”。頁面跟真實(shí)業(yè)務(wù)幾乎一致。員工第二天訪問,即彈出登錄頁面,一旦輸入,賬號密碼就被攻擊者掌握。

↑員工掃碼后看到的頁面提示

傳統(tǒng)檢測技術(shù)解法

因?yàn)殒溄硬⒉粫谝粫r間跳轉(zhuǎn)到釣魚界面,傳統(tǒng)檢測技術(shù)不會發(fā)現(xiàn)任何異常,也不會到第二天再去跟蹤訪問,因此會判定為正常郵件。

安全GPT「接招」

安全GPT使用工具掃描二維碼,識別到正常的工資收入退稅申報的官方業(yè)務(wù)網(wǎng)頁維護(hù),不會出現(xiàn)“當(dāng)前非工作時間”并要求第二天訪問的描述,像安全專家一樣判斷其意圖異常。再結(jié)合發(fā)件人身份、郵件主題及緊急誘導(dǎo)語氣等信息綜合判斷,給出是釣魚郵件的結(jié)論。

↑點(diǎn)擊可查看「安全GPT解析過程」大圖

通過以上幾個案例,可以清晰地看到,傳統(tǒng)基于靜態(tài)特征(如關(guān)鍵詞過濾、黑名單等)的防釣魚檢測技術(shù)很難應(yīng)對各種新型的、組合型的對抗手段,也無怪乎釣魚攻擊一直穩(wěn)居“CIO頭疼榜”前排。

安全GPT帶來的不是更廣更全的釣魚攻擊特征庫,而是以網(wǎng)安領(lǐng)域Game Changer的思路,為用戶帶來擁有大腦和思維的防釣魚安全專家,能夠?qū)Α鞍僮儭钡尼烎~攻擊行為做出理解和判斷。

安全GPT通過強(qiáng)大的自然語言處理能力、釣魚攻擊推理能力和海量安全知識儲備,借助端側(cè)采集到的郵件數(shù)據(jù)、文件信息和行為數(shù)據(jù),能夠快速、有效檢測郵件釣魚攻擊與文件釣魚攻擊。

像安置在每位員工身邊的防釣魚專家一樣,安全GPT不僅能夠理解攻擊意圖,更能關(guān)聯(lián)起完整且隱蔽的攻擊鏈。而在真實(shí)場景下應(yīng)用形成的海量優(yōu)質(zhì)數(shù)據(jù),又會促進(jìn)安全GPT防釣魚數(shù)據(jù)飛輪,讓防釣魚的能力越來越強(qiáng),致力于每位用戶的安全都能夠領(lǐng)先一步!