ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1194

术语表: /attack/glossary

通过服务进行鱼叉式钓鱼

通过服务进行的鱼叉式网络钓鱼是鱼叉式钓鱼的一种特殊变体。它不同于其他形式的鱼叉式网络钓鱼,它使用的是第三方服务而不是直接通过企业电子邮件渠道。

所有形式的鱼叉式钓鱼都是以电子方式进行的针对特定个人,公司或行业的社会工程。在此场景中,攻击者通过各种社会媒体服务、个人 web 邮件和其他非企业控制的服务发送消息。与企业相比,这些服务更可能具有不太严格的安全策略。和大多数鱼叉式钓鱼一样,钓鱼的目的是与目标建立密切关系,或者以某种方式获得目标的兴趣。攻击者会创建虚假的社交媒体账户,并向员工发送潜在工作机会的信息。这样做为询问环境中运行的服务、策略和软件提供了合理的理由。然后,攻击者可以通过这些服务发送恶意链接或附件。

一个常见的例子是通过社交媒体与目标建立密切关系,然后将内容发送到目标在其工作电脑上使用的个人网络邮件服务。这使攻击者绕过对工作帐户的电子邮件的一些限制,目标很可能打开文件,因为这是他们所期望的。如果有效载荷不能按预期工作,攻击者可以继续正常通信,并对目标进行故障排除,使有效载荷正常工作。

缓解

确定某些社交媒体网站、个人网络邮件服务或其他可用于鱼叉式网络钓鱼的服务对企业运营是否是必须的,如果不能很好地监控活动或存在重大风险,则考虑屏蔽访问。 这种技术涉及到在终端上使用合法的服务和用户交互,因此难以完全缓解。 然而,也有潜在的缓解措施。 可以培训用户,使其能够识别社会工程技术和钓鱼电子邮件与恶意链接。 可以使用应用程序白名单阻止下载文件的执行。 杀毒软件还可以自动隔离可疑文件。

检测

由于用于通过服务进行鱼叉式网络钓鱼的大多数常见第三方服务利用 TLS 加密,因此通常需要 SSL/TLS 检查来检测初始通信/交付。 利用 SSL/TLS 检查入侵检测签名或其他安全网关设备可能能够检测到恶意软件。 杀毒软件可以检测用户电脑上下载的恶意文档和文件。 终端检测或网络检测可以在打开文件(例如 Microsoft Word 文档或 PDF 文件,可以连接到 internet 或生成 Powershell.exe) 时潜在地检测恶意事件,这些事件与客户端执行和脚本的漏洞利用等技术有关。