$1.99 立即免费试用

Darktrace如何通过先进的AI技术应对网络钓鱼攻击

更新时间
连续6年不跑路的安全速度最适合国人VPN
连续6年不跑路的安全速度最适合国人VPN
免费试用 了解更多

引言

在当今的数字环境中,软件即服务(SaaS)平台已成为企业不可或缺的工具,提供了无与伦比的灵活性、可扩展性和跨地点的可访问性。然而,这种便利性也伴随着一个重大警告——网络犯罪分子正在越来越多地利用扩展的攻击面。根据2023年的报告,96.7%的组织表示遭遇了涉及至少一个SaaS应用程序的安全事件[1]。

虚拟私人网络(VPN)在SaaS安全中扮演着至关重要的角色,作为安全远程访问的网关,并在适当配置时保护敏感数据和系统。然而,VPN中的漏洞可能为攻击者提供可乘之机,使其能够渗透SaaS环境、破坏数据并干扰业务运营。值得注意的是,在2024年初,Darktrace威胁研究团队调查了Ivanti Connect Secure VPN中的零日漏洞,攻击者可以利用这些漏洞获取对敏感系统的访问权限并执行远程代码。

最近,在8月份,Darktrace识别出一起SaaS安全漏洞事件,攻击者从一个异常的IP地址登录客户的VPN,随后进行了初步的电子邮件入侵。攻击者随后使用另一个VPN创建了一个新的电子邮件规则,旨在掩盖他们随后发起的网络钓鱼活动。

攻击概述

在这个案例中,初始攻击向量似乎是通过客户的电子邮件环境。一个受信任的外部联系人收到了一封来自另一个被入侵的联系人发来的恶意电子邮件,并将其转发给了组织的多名员工,认为这封邮件是合法的。攻击者通常会从已被入侵的账户向其过去的联系人发送恶意电子邮件,利用熟悉的电子邮件地址所带来的信任。在这种情况下,这种信任导致外部受害者不知情地进一步传播了攻击。不幸的是,内部用户随后与转发电子邮件回复部分中包含的恶意载荷进行了交互。

当天晚些时候,Darktrace / IDENTITY检测到来自IP地址5.62.57[.]7的异常登录尝试,该地址之前从未被其他SaaS用户访问过。成功登录之前有两次失败尝试,错误消息分别为“由于流令牌过期,身份验证失败”和“用户登录时由于‘保持登录状态’中断而发生此情况。”这些失败尝试表明,威胁行为者可能试图使用被盗凭据或利用会话管理漏洞获得未授权访问。此外,成功登录时没有尝试使用多因素认证(MFA),这表明攻击者已经获得了该账户的凭据。

随后,Darktrace检测到现在已被入侵的账户创建了一个名为“.”的新电子邮件规则——这是恶意行为者试图通过模糊或通用规则名称隐藏自己的一种明显迹象。该电子邮件规则旨在归档传入电子邮件并将其标记为已读,有效地将其隐藏在用户的即时视野之外。通过将电子邮件移动到不常被最终用户检查的“归档”文件夹,攻击者可以掩盖恶意通信并避免被发现。这些设置还防止了规则的自动删除或强制覆盖,表明攻击者在保持对邮箱的控制时采取了谨慎的方法,以避免引起怀疑。这种技术使攻击者能够操控电子邮件的可见性,同时在被入侵的账户中保持正常的外观。

电子邮件规则示例

AlwaysDeleteOutlookRulesBlob: False Force: False MoveToFolder: Archive Name: . MarkAsRead: True StopProcessingRules: True

Darktrace进一步确认,这条电子邮件规则是从另一个位于加拿大的IP地址95.142.124[.]42创建的。开源情报(OSINT)来源表明该端点可能是恶意的[2]。

鉴于这个新的电子邮件规则是在来自不同国家的不同IP的初始登录后仅三分钟内创建的,Darktrace意识到了地理不一致性。通过分析涉及的IP地址的时机和稀有性,Darktrace识别出恶意活动的可能性,而非合法用户行为,从而促使进一步调查。

就在一分钟后,Darktrace观察到攻击者向内部和外部收件人发送了大量的钓鱼电子邮件。Darktrace / EMAIL检测到该被入侵账户的传入电子邮件数量显著上升,可能表明对钓鱼电子邮件的回复。此外,Darktrace发现这些钓鱼电子邮件中包含一个恶意的DocSend链接。虽然docsend[.]com通常被认为是Dropbox的合法文件共享服务,但它可能容易被利用来托管恶意内容。在这个案例中,相关的DocSend域名‘hxxps://docsend[.]com/view/h9t85su8njxtugmq’被多个OSINT供应商标记为恶意[3][4]。

在该事件中,Darktrace的自主响应功能并未在客户环境中激活,这使得入侵得以升级,直到他们的安全团队根据Darktrace的警报进行干预。如果在事件发生期间启用了自主响应,它可以通过禁用用户和邮箱规则迅速缓解威胁,正如Darktrace所建议的,可以手动应用的措施,显示出客户的SaaS环境中不寻常的行为。

尽管如此,Darktrace的管理威胁检测服务迅速向安全运营中心(SOC)团队发出了关于入侵的警报,使他们能够进行彻底调查,并在进一步损害发生之前通知客户。

结论

这一事件突显了Darktrace在增强网络安全方面的重要作用,尤其是其先进的AI能力。通过检测初始的钓鱼电子邮件并跟踪威胁行为者在SaaS环境中的行动,Darktrace有效地识别了威胁并将其提请了客户的安全团队注意。

Darktrace的主动监控对于识别被入侵账户的不寻常行为至关重要。Darktrace / IDENTITY检测到来自稀有IP地址的未授权访问尝试,揭示了攻击者使用VPN隐藏其位置的情况。

通过关联这些异常,Darktrace促使立即调查,展示了其识别传统安全工具可能遗漏的恶意活动的能力。利用基于AI的洞察,组织可以加强防御姿态,防止进一步利用被入侵账户。

致谢:Priya Thapa(网络分析师)、Ben Atkins(高级模型开发人员)及Ryan Traill(分析内容负责人)

附录

  • 实时检测模型
  • SaaS / 破坏 / 不寻常的登录和新电子邮件规则
  • SaaS / 破坏 / 高优先级的新电子邮件规则
  • SaaS / 破坏 / 新电子邮件规则和不寻常的电子邮件活动
  • SaaS / 破坏 / 不寻常的登录和外发电子邮件垃圾邮件
  • SaaS / 合规性 / 异常的新电子邮件规则
  • SaaS / 破坏 / 可疑登录和可疑外发电子邮件

  • SaaS / 电子邮件连接 / 可能的外发电子邮件垃圾邮件

  • 自主响应模型

  • Antigena / SaaS / Antigena电子邮件规则阻止
  • Antigena / SaaS / Antigena增强监控来自SaaS用户阻止

  • Antigena / SaaS / Antigena可疑SaaS活动阻止

  • MITRE ATT&CK映射

  • 技术名称:云账户
  • 策略ID:防御规避、持久性、特权升级、初始访问
  • 子技术:T1078.004 T1078
  • 账户破坏:RESO
更新时间

VPN常见问题