邮件威胁如何利用合作伙伴隐身:行为分析防御指南

本文深入分析现代邮件威胁如何通过AI生成内容、利用受信任合作伙伴关系绕过传统安全防护,并详细介绍基于行为分析的商业邮件保护解决方案如何有效应对这些高级威胁。

目标读者

CISO、事件响应团队、SOC经理、IT领导者、MSSP

引言

曾几何时,邮件威胁很容易识别。这些消息充满拼写错误、格式混乱和明显的恶意链接。安全工具能立即标记它们,基本的意识就足以避免陷入陷阱。

现在情况已不再如此。

到2025年,攻击者通过合法对话、已知邮件地址和完全干净的邮件头入侵。当您的安全团队为阻止了大量钓鱼尝试而庆祝时,复杂的攻击者已经转向了一种使传统邮件安全解决方案几乎无用的策略。

2025年对组织收件箱的最大威胁不是带有登录表单的钓鱼邮件,而是看似由合作伙伴发送的熟悉消息,这些消息传递信息窃取器。大多数邮件安全工具不会拦截它,等到检测到时,可能为时已晚。

信息图:邮件威胁统计

为什么商业邮件入侵能规避传统安全工具

Group-IB专家在试点项目中经常目睹这种模式:组织依赖擅长发现明显钓鱼链接的安全解决方案,但这些仅代表实际威胁的一小部分。当钓鱼导致虚假登录页面时,通过密码策略、MFA和用户意识相对容易发现和缓解攻击。此类事件生成警报和仪表板指标,营造出有效防御的印象。

然而,复杂攻击利用了基本限制,详情如下。

AI已将欺骗武器化到无法识别的地步:使BEC攻击几乎不可见的最关键因素是人工智能。如今,威胁行为者使用生成式AI基于真实邮件线程以超自然精度模仿语气、风格和结构。通过导出邮箱内容并将其输入ChatGPT等工具,攻击者生成完美、个性化的消息,这些消息在对话中途出现,零语法错误或不寻常措辞。当AI能完美复制通信模式时,分析邮件内容以寻找可疑模式和语法错误的传统系统变得毫无意义。

基于声誉的信任模型失效:在今天的邮件攻击中,消息通常来自合法商业合作伙伴的实际邮件账户,具有适当的SPF、DKIM和DMARC认证。受感染的合作伙伴与您的组织通信多年,创造了完美的声誉评分和信任评级。标准系统设计上信任已建立的发件人,并不仔细检查它们。当此类账户被入侵时,消息无需审查即可传递,因为它们被列入白名单,创造了攻击者可以利用的巨大盲点。

防病毒文件检查忽略了复杂威胁:邮件防病毒引擎使用端点保护的简化版本,具有过时的签名和最小的启发式分析。如果端点保护无法捕获信息窃取器,邮件防病毒也无法做到。

URL分析仅捕获明显威胁:URL沙箱检测钓鱼页面,但它们并非设计用于标记在合法基础设施上托管的负载。Group-IB分析显示,恶意链接通常指向受信任的域,如Google Drive、Dropbox、Facebook、Discord或托管恶意软件加载程序的受感染合作伙伴站点。由于链接指向受信任的域,沙箱无法发出警报。

为什么信息窃取器代表根本性转变

信息窃取器攻击不发出任何噪音。它们悄无声息地进入系统,没有任何可见的攻击迹象,如勒索笔记、中断迹象或锁屏。此类攻击利用业务关系中固有的信任,而不是依赖用户错误。与导致有限账户泄露的传统钓鱼不同,信息窃取器收集VPN和RDP配置,这些配置提供了直接进入企业网络的路径。

当凭证在地下论坛上收集和出售时,最终被勒索软件组织用于渗透网络,有时在初始入侵后数周甚至数月。即使强制密码更改通常也无效,因为用户通常进行表面修改,如大写字母或交换数字。

完美邮件攻击用例

以下示例基于Group-IB的真实事件响应案例之一。一家公司收到一条看似来自长期合作伙伴的消息,继续先前关于季度交付时间表的对话。附上熟悉的供应商文档,并附有礼貌请求:“您能澄清第7行项的数量吗?”

该邮件通过了知名邮件安全供应商的每次安全检查:

  • 发件人认证:✓ 验证的合法账户,具有完美的邮件头
  • 域声誉:✓ 基于多年通信的优秀信任评分
  • 内容分析:✓ 完美语法、上下文知识、无可疑模式;语气和风格与合作伙伴通常通信一致,得益于AI
  • 文件扫描:✓ 未检测到已知恶意软件签名
  • URL分析:✓ 所有链接指向受信任的域

收件人打开附件——毕竟,他们之前已审查过供应商的交付时间表数十次。一切看起来正常,因此他们提供了请求的澄清。

四个月后:勒索软件使整个网络瘫痪。业务运营停止,生产线停止,恢复成本达到数百万。“熟悉”的供应商文档已被武器化,带有信息窃取器恶意软件,该软件悄无声息地收集了VPN凭证,这些凭证后来出售给勒索软件组织。

攻击成功,因为没有传统安全系统能区分合法原始文档及其武器化副本。

完整攻击链:从BEC到勒索软件

如何确保针对BEC、AI驱动攻击和信息窃取器的真正保护

Group-IB的商业邮件保护不依赖于判断邮件是否看起来可疑。它假设相反:攻击者将尽一切努力显得合法。无论威胁是由AI编写、作为商业邮件入侵的一部分发送,还是传递信息窃取器恶意软件,商业邮件保护专注于消息背后的行为而非其外观。

1. 沙箱优先行为分析 每个附件和嵌入链接从邮件中提取,并在复制真实操作系统的安全沙箱环境中引爆。沙箱观察文件或URL启动后的行为。如果它尝试启动PowerShell、解密负载、建立持久性或连接到命令和控制基础设施,则识别并阻止威胁。此方法对于捕获信息窃取器至关重要,这些窃取器通常在受害者系统上激活前保持休眠状态。

2. 针对AI生成内容的保护 消息是否流畅或有缺陷无关紧要。商业邮件保护不分析语法或语义——它检查交互的影响。点击、下载和嵌入负载都经过恶意行为测试。AI生成的邮件无法逃避行为检测,因为分析发生在负载执行期间而非内容审查期间。

3. 对“受信任”联系人的零信任 商业邮件入侵攻击利用受感染但受信任的账户。大多数安全解决方案基于声誉和历史将此类联系人列入白名单。商业邮件保护将每条消息视为潜在敌对,即使长期合作伙伴也接受相同的严格行为分析。如果在沙箱引爆期间嵌入恶意宏或触发远程访问工具,则无论发件人声誉如何,邮件都会被阻止。

4. 加密文件分析 攻击者通常使用受密码保护的存档逃避检查。商业邮件保护自动检测邮件内容或元数据中的密码,提取存档,并在受控环境中引爆负载。这使其能够阻止传统解决方案因加密或混淆而经常遗漏的威胁。

5. 交付后修复 如果恶意文件最初被忽略或威胁仅在外部基础设施被标记为危险后才变得明显,商业邮件保护的交付后引擎可以追溯地从所有收件箱中删除消息。此步骤对于阻止缓慢作用的攻击或分阶段妥协至关重要,这些攻击在几天内展开。

6. 与托管XDR关联 每个警报和沙箱判定与Group-IB的托管XDR遥测数据关联。如果用户点击文件,随后在端点上显示泄露迹象或网络中不寻常的横向移动,分析师可以看到整个事件链。当响应导致账户接管或勒索软件的信息窃取器感染时,跨表面关联至关重要。

重新思考邮件安全:信任但验证

近年来邮件威胁的演变方式代表了根本性转变,要求组织重新思考数字通信中的信任和验证。基于声誉的安全时代已经结束。当AI能完美模仿合法商业通信且网络犯罪分子能够劫持受信任关系时,传统邮件安全不仅不足而且危险地误导。

继续依赖标准邮件安全方法的组织将发现自己越来越容易受到复杂威胁的攻击,这些威胁利用了使业务成为可能的关系。解决方案是通过行为分析持续验证业务通信,该分析检查邮件实际做什么而非它们看起来如何。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次