机器中的幽灵:揭秘多阶段钓鱼攻击如何绕过安全防线窃取微软365凭证

本文深入分析了一起高度复杂的多阶段钓鱼攻击活动。该活动使用嵌套PDF、鼠标跟踪等多种先进技术绕过安全网关和多因子认证,实时窃取微软365凭证,并详细阐述了九种用于逃避检测的技术细节。

概述

自2025年11月3日起,KnowBe4威胁实验室一直在监控一个高度复杂、多阶段的钓鱼攻击活动,该活动旨在窃取员工的微软365凭证。此次攻击经过精心设计,旨在绕过传统的电子邮件安全防御措施,例如安全电子邮件网关(SEG)和多因素身份验证(MFA)工具。

该活动采用了多种先进的技术手段来混淆载荷,以逃避传统防御,包括利用合法内容分发网络(CDN)服务的“嵌套”PDF和鼠标跟踪技术。其最终目的地——一个凭证窃取网站——也采用了高级技术手段,旨在阻止标准安全工具的分析,并过滤掉正在检查页面的安全分析师。

最后,一旦目标输入其微软365凭据,该网页会利用合法的微软服务器来绕过MFA,为网络犯罪分子提供即时访问受害者微软365环境的权限。

攻击摘要

  • 攻击向量和类型: 电子邮件钓鱼
  • 所用技术
    • 绕过SEG检测:是
  • 攻击目标: 全球各组织中的微软365用户

攻击链分析

受害者会首先收到一封初始钓鱼邮件。

钓鱼邮件 钓鱼邮件,其中包含隐藏在PDF附件中的混淆载荷,显示在KnowBe4 PhishER门户中。

载荷(一个钓鱼超链接)被隐藏在“嵌套”的PDF附件中。当收件人打开钓鱼邮件中的初始附件时,他们会看到一个包含进一步点击链接的渲染文档。

第一个嵌套PDF 包含混淆载荷的第一个“嵌套”PDF附件。

一旦收件人点击此超链接,他们将被重定向到第二个文档,其中包含另一个超链接。

第二个嵌套PDF 第二个“嵌套”恶意PDF,包含需要点击的另一个超链接。

这种PDF附件分层设计旨在混淆最终目的地(钓鱼网页),使那些由于技术限制或电子邮件投递(延迟)服务级别协议(SLA)而无法在不同超链接之间连续跳转的安全工具无法识别。

攻击者进一步利用合法且受信任的CDN服务来伪装恶意载荷,使其在安全工具检查时显得“良性”。

九种用于提高凭证窃取成功率的先进逃避技术

如果目标完成了所有嵌套PDF文档的跳转,他们将被引导至一个像素级复刻的伪造微软365登录页面。

凭证窃取网页 完美模仿合法微软365登录页面的凭证窃取网页。

在分析该页面时,我们的研究人员发现它包含九种先进的逃避技术,以进一步降低安全工具的效果,并将安全分析师与其他员工区分开来:

  1. 检测开发者工具: 网页背后的代码被设计为持续监控浏览器环境,并在检测到DevTools打开时终止会话,因为这表明页面正在被安全分析师检查,而非潜在目标访问。
  2. 反调试器措施: 同样嵌入在代码中的是无限循环调试器语句,当调试工具处于活动状态时,会导致浏览器冻结或崩溃。
  3. 窗口尺寸监控: 此技术跟踪视口大小的变化(安全分析师打开DevTools时的常见操作),以触发逃避协议,旨在过滤掉分析师。
  4. 阻止上下文菜单: 禁用右键菜单和文本选择,使分析师更难以检查代码或提取URL。
  5. 使用隐藏的蜜罐表单字段过滤安全软件: 登录表单中存在隐藏字段,检查网页代码时可见,但正常加载页面时人眼不可见。这些字段用于检测自动扫描器和安全机器人(它们会自动填写所有字段),并将其重定向到良性内容以掩盖攻击。而普通人(在不检查代码的情况下)不会知道这些字段的存在,因此会留在钓鱼网页上。
  6. 鼠标和行为跟踪: 记录鼠标移动模式、点击和滚动。只有在确认类似人类行为后,才会显示恶意内容(伪造的微软365登录页面),从而有效击败无头浏览器和自动化沙箱。
  7. 控制台函数覆盖: 劫持浏览器控制台功能,以抑制错误消息并隐藏安全分析师的调试输出。
  8. 文本混淆: 向网页中注入不可见的HTML元素和零宽度字符,以击败模式匹配工具,同时不影响网页在人眼中的显示效果。
  9. 网络监控: 跟踪出站请求以识别沙箱或受监控环境,如果检测到安全工具则保持休眠状态。

钓鱼网页代码 显示逃避技术的钓鱼网页代码。

实时绕过多因素身份验证

最后,此次攻击活动的致命一击在于其能够实时绕过MFA。该活动包含一个活跃的中间人连接,利用合法的微软服务器提供以下功能:

  • 受害者凭证的实时验证
  • 自适应显示:识别受害者配置的MFA方法(例如身份验证器推送、TOTP代码、基于短信的OTP或语音呼叫),并动态调整虚假页面以仅显示这些选项。
  • 挑战中继:通过虚假页面,将来自微软的真实MFA提示推送到受害者的设备,确保受害者看到真实、可信的身份验证挑战。

我们的分析师确定,以下MFA方法已成为攻击目标:

方法ID 描述
PhoneAppNotification Microsoft Authenticator 推送通知
PhoneAppOTP Authenticator TOTP 代码
OneWaySMS 基于短信的 OTP
TwoWayVoiceMobile 语音呼叫验证(移动电话)
TwoWayVoiceOffice 语音呼叫验证(办公电话)

这种对MFA工具的透明绕过使攻击者能够立即、完全地访问受害者的微软365环境。利用此访问权限,网络犯罪分子可以进行诸如商业电子邮件入侵(BEC)、部署勒索软件和数据窃取等活动。

MFA绕过代码 显示MFA绕过技术的HTML代码。

基于MITRE ATT&CK框架的攻击链分析

如何保护您的组织免受此类攻击

尽管此次攻击活动采用了多种技术手段来混淆标准安全工具,但组织可以采取以下步骤来帮助保护员工免受此类攻击。

首先是提升电子邮件安全级别,以便在员工受害之前检测并消除攻击。正如所演示的,此次攻击旨在绕过SEG使用的检测措施。因此,组织必须在其技术栈中集成高级集成云电子邮件安全(ICES)产品,例如KnowBe4 Defend。这些产品对入站电子邮件采取零信任方法——无论载荷是否显得良性——并实施基于AI的检测机制,全面检查每封邮件的所有方面,从而在检测网络钓鱼攻击时提供更高效能。

此外,组织可以通过更新电子邮件过滤规则来补充这一点,标记那些包含带有多个或编码URL参数的嵌入式URI操作的PDF附件。其他技术措施包括阻止威胁指标(IOCs),例如对已识别为恶意的域名和URL实施网络封锁。安全分析师还应审核最近的MFA身份验证,查找可疑模式。

最后,用户意识仍然是组织防御的关键方面。由于此攻击要求目标点击多个PDF层直到到达最终目的地,因此他们有更多机会意识到自己正在与异常(可能是恶意的)内容进行交互,并在泄露发生之前报告攻击。

这些步骤将使组织能够确保拥有强大的防御措施,以抵御旨在规避其所依赖的标准安全工具的、技术日益复杂的攻击。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次