獨(dú)報(bào)86個(gè)高對(duì)抗釣魚(yú)攻擊！深信服安全GPT防釣魚(yú)實(shí)測(cè)效果解析

自從上次某用戶和安全GPT研發(fā)老哥的故事《又有員工被釣魚(yú)了?我半夜三點(diǎn)從夢(mèng)中驚醒》發(fā)出來(lái)之后,收到了一些不同的聲音:

“你們釣魚(yú)攻擊檢出率是怎么算的?怎么對(duì)比的?”

“什么叫高社工、高對(duì)抗釣魚(yú)樣本測(cè)試?會(huì)不會(huì)是提前設(shè)計(jì)好的?”

正好,近期深信服與某行業(yè)頭部大型企業(yè)(以下稱為某大企)做了一次與傳統(tǒng)郵件安全防護(hù)架構(gòu)對(duì)比的真實(shí)效果檢測(cè)。2天時(shí)間內(nèi),安全GPT共檢出了213封惡意釣魚(yú)郵件,精準(zhǔn)率95.8%,而傳統(tǒng)郵件安全防護(hù)架構(gòu)檢測(cè)精準(zhǔn)率僅為49.85%,不僅包含了垃圾郵件,也將許多白郵件也攔截了下來(lái)。

其中,安全GPT獨(dú)報(bào)了86封釣魚(yú)郵件攻擊,是某大企現(xiàn)有郵件安全防護(hù)架構(gòu)都無(wú)法檢出的高級(jí)釣魚(yú)攻擊,主要類(lèi)型有:二維碼嵌套加密附件釣魚(yú),網(wǎng)站白利用釣魚(yú),時(shí)間對(duì)抗釣魚(yú)。

可見(jiàn),傳統(tǒng)檢測(cè)技術(shù)固然能夠過(guò)濾掉強(qiáng)特征的釣魚(yú)郵件,但真正難防的,是高社工、高對(duì)抗的釣魚(yú)攻擊。

什么叫高社工、高對(duì)抗釣魚(yú)?通過(guò)本次攻擊者和安全GPT的幾個(gè)“過(guò)招”,也許大家能夠?qū)W(wǎng)絡(luò)釣魚(yú)攻擊的“套路之深”窺見(jiàn)一二。

招式一:二維碼嵌套加密附件釣魚(yú)

某員工收到一封主題為“退稅通知”的郵件,郵件內(nèi)有附件“退稅操作指引.zip”。但是該附件有密碼加密,且密碼在郵件正文中,在正文中有“附件密碼:4個(gè)2”的相關(guān)內(nèi)容。

員工下載附件解密后,解壓壓縮包,釋放出“退稅操作指引.docx”和“附件密碼tszy.txt”兩個(gè)文件。用附件密碼打開(kāi)“退稅操作指引.docx”,發(fā)現(xiàn)文檔放了一個(gè)二維碼,掃碼后進(jìn)入釣魚(yú)頁(yè)面。

↑員工解密解壓壓縮包后,還需要對(duì)word進(jìn)行解密

傳統(tǒng)檢測(cè)技術(shù)解法

傳統(tǒng)檢測(cè)技術(shù)能夠識(shí)別“附件密碼:2222”,打開(kāi)附件看是否有惡意域名鏈接;但卻無(wú)法識(shí)別“4個(gè)2”進(jìn)行解密,即使解密,也無(wú)法通過(guò)釋放的文件進(jìn)行第二層解密,很可能當(dāng)作正常郵件放過(guò)或攔截后需要人工介入。

安全GPT「接招」

安全GPT了解其郵件意圖后,進(jìn)行了如下幾步操作:

1、像安全專(zhuān)家一樣從郵件正文中理解并提取出附件密碼“2222”,并使用密碼打開(kāi)壓縮包;

2、發(fā)現(xiàn)壓縮包內(nèi)還有第二層解密,便從“附件密碼tszy.txt”提取出密碼,對(duì)文檔進(jìn)行解密;

3、打開(kāi)文檔后,發(fā)現(xiàn)二維碼,安全GPT使用工具掃描二維碼,得知其鏈接為"http://sdfjksh.dfjghd.bond/";

4、通過(guò)查詢情報(bào)等信息結(jié)合判斷(罕見(jiàn)域名后綴、域名沒(méi)有備案),得出該鏈接非官方、是釣魚(yú)鏈接的結(jié)論。

↑點(diǎn)擊可查看「安全GPT解析過(guò)程」大圖

招式二:網(wǎng)站白利用釣魚(yú)

某員工收到一封主題為“郵箱升級(jí)通知”的郵件,提示用戶點(diǎn)擊鏈接“

http://tinyurl.com/dsjedjNdj”進(jìn)行操作。員工點(diǎn)擊鏈接后,隨即會(huì)跳轉(zhuǎn)到另一個(gè)鏈接里,要求輸入賬號(hào)密碼登錄郵箱,輸入后,賬號(hào)密碼便落入攻擊者手里。

 傳統(tǒng)檢測(cè)技術(shù)解法

tinyurl是一家短鏈接服務(wù)提供商,在各家情報(bào)中信譽(yù)都是高可信。傳統(tǒng)檢測(cè)技術(shù)識(shí)別到高信譽(yù)鏈接便認(rèn)為郵件是合法的,自然將此郵件放過(guò),卻不知攻擊者只是將釣魚(yú)鏈接套上了“高信譽(yù)”的殼。

安全GPT「接招」

安全GPT從郵件頭部、郵件鏈接和情報(bào)信息綜合判斷該郵件為釣魚(yú)郵件。

安全GPT會(huì)使用爬蟲(chóng)工具進(jìn)行訪問(wèn),發(fā)現(xiàn)跳轉(zhuǎn)到另一個(gè)鏈接“http://dfjghd.bond.com/login.php”,隨后跟蹤頁(yè)面,發(fā)現(xiàn)是一個(gè)登錄框,同時(shí)查看頁(yè)面源碼發(fā)現(xiàn)存在克隆特征且表單提交地址十分可疑,再結(jié)合情報(bào)信息,該鏈接的域名注冊(cè)年齡較短,且無(wú)備案信息(不符合國(guó)內(nèi)法律法規(guī)),綜合判斷得出是釣魚(yú)郵件的結(jié)論。

↑點(diǎn)擊可查看「安全GPT解析過(guò)程」大圖

招式三:時(shí)間對(duì)抗釣魚(yú)

某員工收到一封主題為“緊急內(nèi)部通知,注意查收”的郵件,郵件內(nèi)有一個(gè)圖片,是個(gè)二維碼,要求用戶掃碼按照指引操作。

掃碼訪問(wèn)發(fā)現(xiàn)頁(yè)面提示:“當(dāng)前非工作時(shí)間,請(qǐng)于早上7:00后再提交申請(qǐng)”。頁(yè)面跟真實(shí)業(yè)務(wù)幾乎一致。員工第二天訪問(wèn),即彈出登錄頁(yè)面,一旦輸入,賬號(hào)密碼就被攻擊者掌握。

↑員工掃碼后看到的頁(yè)面提示

傳統(tǒng)檢測(cè)技術(shù)解法

因?yàn)殒溄硬⒉粫?huì)第一時(shí)間跳轉(zhuǎn)到釣魚(yú)界面,傳統(tǒng)檢測(cè)技術(shù)不會(huì)發(fā)現(xiàn)任何異常,也不會(huì)到第二天再去跟蹤訪問(wèn),因此會(huì)判定為正常郵件。

安全GPT「接招」

安全GPT使用工具掃描二維碼,識(shí)別到正常的工資收入退稅申報(bào)的官方業(yè)務(wù)網(wǎng)頁(yè)維護(hù),不會(huì)出現(xiàn)“當(dāng)前非工作時(shí)間”并要求第二天訪問(wèn)的描述,像安全專(zhuān)家一樣判斷其意圖異常。再結(jié)合發(fā)件人身份、郵件主題及緊急誘導(dǎo)語(yǔ)氣等信息綜合判斷,給出是釣魚(yú)郵件的結(jié)論。

↑點(diǎn)擊可查看「安全GPT解析過(guò)程」大圖

通過(guò)以上幾個(gè)案例,可以清晰地看到,傳統(tǒng)基于靜態(tài)特征(如關(guān)鍵詞過(guò)濾、黑名單等)的防釣魚(yú)檢測(cè)技術(shù)很難應(yīng)對(duì)各種新型的、組合型的對(duì)抗手段,也無(wú)怪乎釣魚(yú)攻擊一直穩(wěn)居“CIO頭疼榜”前排。

安全GPT帶來(lái)的不是更廣更全的釣魚(yú)攻擊特征庫(kù),而是以網(wǎng)安領(lǐng)域Game Changer的思路,為用戶帶來(lái)?yè)碛写竽X和思維的防釣魚(yú)安全專(zhuān)家,能夠?qū)Α鞍僮儭钡尼烎~(yú)攻擊行為做出理解和判斷。

安全GPT通過(guò)強(qiáng)大的自然語(yǔ)言處理能力、釣魚(yú)攻擊推理能力和海量安全知識(shí)儲(chǔ)備,借助端側(cè)采集到的郵件數(shù)據(jù)、文件信息和行為數(shù)據(jù),能夠快速、有效檢測(cè)郵件釣魚(yú)攻擊與文件釣魚(yú)攻擊。

像安置在每位員工身邊的防釣魚(yú)專(zhuān)家一樣,安全GPT不僅能夠理解攻擊意圖,更能關(guān)聯(lián)起完整且隱蔽的攻擊鏈。而在真實(shí)場(chǎng)景下應(yīng)用形成的海量?jī)?yōu)質(zhì)數(shù)據(jù),又會(huì)促進(jìn)安全GPT防釣魚(yú)數(shù)據(jù)飛輪,讓防釣魚(yú)的能力越來(lái)越強(qiáng),致力于每位用戶的安全都能夠領(lǐng)先一步!