Tag:

Detecting and Characterizing Lateral Phishing at Scale

论文使用来自92家公司的1.13亿封邮件,针对横向钓鱼攻击做了大规模分析。横向钓鱼攻击是指:攻击者利用攻破的企业账户向其他人发送钓鱼邮件(即钓鱼邮件的横向传播),利用被劫持者的信任关系获益。本文构建了一个检测横向钓鱼邮件的分类器,检测数数以百计的横向钓鱼邮件,误报为4/1000,000。基于检测到的攻击邮件,结合一些事件的分析,文章进一步 (1) 量化了横向钓鱼的规模;(2) 识别攻击者确定邮件主题和受害者的策略;(3)展示两种攻击者的攻击手法;(4)并且对攻击成功的概率进行了评估。总结下来,文章刻画了企业级攻击者模型和当今企业受钓鱼攻击的现状。

论文使用来自92家公司的1.13亿封邮件,针对横向钓鱼攻击做了大规模分析。横向钓鱼攻击是指:攻击者利用攻破的企业账户向其他人发送钓鱼邮件(即钓鱼邮件的横向传播),利用被劫持者的信任关系获益。本文构建了一个检测横向钓鱼邮件的分类器,检测数数以百计的横向钓鱼邮件,误报为4/1000,000。基于检测到的攻击邮件,结合一些事件的分析,文章进一步 (1) 量化了横向钓鱼的规模;(2) 识别攻击者确定邮件主题和受害者的策略;(3)展示两种攻击者的攻击手法;(4)并且对攻击成功的概率进行了评估。总结下来,文章刻画了企业级攻击者模型和当今企业受钓鱼攻击的现状。

NoDoze: Combatting Threat Alert Fatigue with Automated Provenance Triage

现在大型企业逐渐开始依赖于威胁检测软件来发现可疑行为。这些软件会产生许多告警,网络空间安全分析人会去分析这些告警是否是真正的攻击。不幸的是,在实际使用中,需要处理的告警数量远远多于分析人员的数量。这就导致了一个威胁警报疲劳或者信息过载问题的产生,从而可能会造成漏掉真正的攻击告警。 本文提出的NoDoze联合使用了告警相关的上下文以及历史信息来解决上述问题。NoDoze首先生成一个告警事件的因果依赖图;然后给图中每一个边打一个分,代表这个边的一个异常情况,这个分数和相应边所关联的事件出现的频率有关。然后NoDoze使用一个新的扩散算法,将这个分数通沿着相邻的边进行传播,这最终会生成一个聚合的分数以用来进行分类。在最后的实验结果中,该方法将误报降低了84%。

现在大型企业逐渐开始依赖于威胁检测软件来发现可疑行为。这些软件会产生许多告警,网络空间安全分析人会去分析这些告警是否是真正的攻击。不幸的是,在实际使用中,需要处理的告警数量远远多于分析人员的数量。这就导致了一个威胁警报疲劳或者信息过载问题的产生,从而可能会造成漏掉真正的攻击告警。 本文提出的NoDoze联合使用了告警相关的上下文以及历史信息来解决上述问题。NoDoze首先生成一个告警事件的因果依赖图;然后给图中每一个边打一个分,代表这个边的一个异常情况,这个分数和相应边所关联的事件出现的频率有关。然后NoDoze使用一个新的扩散算法,将这个分数通沿着相邻的边进行传播,这最终会生成一个聚合的分数以用来进行分类。在最后的实验结果中,该方法将误报降低了84%。

Re: What's Up Johnny? - Covert Content Attacks on Email End-to-End Encryption

论文中展示了一种针对使用OpenPGP和S/MIME协议的电子邮件的攻击。攻击利用了电子邮件中支持的MIME标准和HTML语法,通过一些手段对用户隐藏邮件的实际内容。攻击通过欺骗用户回复一个看起来正常的邮件,来让用户的邮件客户端成为密码学中的预言机(解密和签名)。通过这种攻击,数百封加密邮件可以被一次泄漏。另外,论文中还展示了如何通过编写特定的CSS条件规则来诱骗用户签署任意文本内容。实验测量表明有17(总样本19)个OpenPGP邮件客户端以及21(总样本22)个邮件客户端至少被攻击成功一次。

论文中展示了一种针对使用OpenPGP和S/MIME协议的电子邮件的攻击。攻击利用了电子邮件中支持的MIME标准和HTML语法,通过一些手段对用户隐藏邮件的实际内容。攻击通过欺骗用户回复一个看起来正常的邮件,来让用户的邮件客户端成为密码学中的预言机(解密和签名)。通过这种攻击,数百封加密邮件可以被一次泄漏。另外,论文中还展示了如何通过编写特定的CSS条件规则来诱骗用户签署任意文本内容。实验测量表明有17(总样本19)个OpenPGP邮件客户端以及21(总样本22)个邮件客户端至少被攻击成功一次。

Efail: Breaking S/MIME and OpenPGP Email Encryption using Exfiltration Channels

OpenPGP 和 S/MIME 是电子邮件端到端加密的两个主要标准。这篇论文给出了一种新型的攻击,它可以暴露通过OpenPGP和S/MIME方式加密的电子邮件的明文。这种攻击基于一种被作者称为malleability gadgets的工具,这个工具包含两类:CBC gadget 和CFB gadget。这个工具可以将恶意的明文片段插入到加密的电子邮件中去。在一些内嵌HTML/CSS/X.509功能的电子邮件中,攻击会在邮件被解密的时候触发。

OpenPGP 和 S/MIME 是电子邮件端到端加密的两个主要标准。这篇论文给出了一种新型的攻击,它可以暴露通过OpenPGP和S/MIME方式加密的电子邮件的明文。这种攻击基于一种被作者称为malleability gadgets的工具,这个工具包含两类:CBC gadget 和CFB gadget。这个工具可以将恶意的明文片段插入到加密的电子邮件中去。在一些内嵌HTML/CSS/X.509功能的电子邮件中,攻击会在邮件被解密的时候触发。