惡意軟件利用 Captcha 驗證碼藏身
責(zé)編:gltian |2019-09-16 16:47:37查詢域名信譽數(shù)據(jù)庫時,我們收到的結(jié)果漏報了,頁面被當(dāng)成安全的返回。
美國網(wǎng)絡(luò)安全初創(chuàng)公司 Cofense 的安全研究人員稱,黑客正運用 Captcha 圖靈測試驗證碼繞過自動化 URL 分析,規(guī)避傳統(tǒng)惡意軟件檢測方法。
這種技術(shù)使網(wǎng)絡(luò)罪犯能夠繞過 Mimecast 等公司的安全電子郵件網(wǎng)關(guān),批量發(fā)送網(wǎng)絡(luò)釣魚郵件。
Cofense 在一場攻擊活動中發(fā)現(xiàn)了該行為,分析后認(rèn)為此舉是整個網(wǎng)絡(luò)入侵活動的第二階段;黑客一旦獲取到某個員工賬戶的登錄信息,就會以此向其他員工發(fā)送電子郵件,盡可能地獲取大量憑證。
這些釣魚郵件聲稱包含來自同事的網(wǎng)絡(luò)電話轉(zhuǎn)郵件語音留言。留言信息本身很簡單,如下圖所示。
如果有人點擊鏈接以收聽該語音留言消息,就會被重定向到一個網(wǎng)站,要求先進行 Captcha 人機驗證圖靈測試。通過測試后用戶還得選擇一個微軟賬戶登錄。但輸入該登錄頁面的所有數(shù)據(jù)都被黑客捕獲了。
該黑客操作的高明之處在于,Captcha 驗證測試是在另一個網(wǎng)頁上進行的:點擊 Captcha 按鈕就是通向包含惡意軟件的網(wǎng)頁。在受感染的登錄頁面之上覆蓋一層干凈的 Captcha 驗證頁面,正是普通安全掃描被繞過的訣竅所在。
繞過安全電子郵件網(wǎng)關(guān)
安全電子郵件網(wǎng)關(guān) (SEG) 掃描語音留言郵件中包含的網(wǎng)站鏈接只能掃描到 Captcha 網(wǎng)站這一層,但 Captcha 驗證頁面本身是干凈的。多層網(wǎng)頁操作有效阻斷了 SEG 履行其安全檢查職責(zé)。
Captcha 應(yīng)用頁面和主網(wǎng)絡(luò)釣魚頁面都托管在微軟的基礎(chǔ)設(shè)施上。兩個頁面都是合法的微軟頂級域,所以在域名信譽數(shù)據(jù)庫中查詢時均返回安全,我們得到的查詢結(jié)果漏報了。
圖:用戶登錄請求頁面
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運維!全新FortiAIOps 3.0重新定義IT運營
- MirageFlow:一種針對Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報告(2024年)》
- 火狐中國終止運營:辦公地?zé)o人,用戶賬號數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評估標(biāo)準(zhǔn)化應(yīng)用實踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時代!