随着企业不断将运营转移到浏览器,安全团队面临着日益严峻的网络挑战。事实上,目前超过 80% 的安全事件源于通过 Chrome、Edge、Firefox 和其他浏览器访问的 Web 应用程序。一个发展尤为迅速的攻击者——Scattered Spider,以攻击这些浏览器上的敏感数据为目标,对企业造成严重破坏。
Scattered Spider(又名 UNC3944、Octo Tempest 或 Muddled Libra)在过去两年中日渐成熟,其攻击手段精准锁定目标用户身份和浏览器环境。这一转变使其有别于 Lazarus Group、Fancy Bear 和 REvil 等其他臭名昭著的网络犯罪团伙。如果您的日历、凭证或安全令牌等敏感信息仍存在于浏览器标签页中,Scattered Spider 便能轻松获取这些信息。
在本文中,您将详细了解 Scattered Spider 的攻击方法以及如何阻止其继续攻击。总而言之,这给世界各地的首席信息安全官们敲响了警钟,要求他们将组织的浏览器安全从辅助控制提升到防御的核心支柱。
Scattered Spider 的以浏览器为中心的攻击链
Scattered Spider 避免了大规模网络钓鱼,而是采取了精准攻击的方式。其方法是利用用户对其日常最常用应用程序的信任,窃取已保存的凭证,并操纵浏览器运行时。
- 浏览器技巧:浏览器中的浏览器 (BitB) 覆盖和自动填充提取等技术用于窃取凭据,同时逃避端点检测和响应 (EDR) 等传统安全工具的检测。
- 会话令牌盗窃:Scattered Spider 和其他攻击者将绕过多因素身份验证 (MFA) 从浏览器内存中捕获令牌和个人 cookie。
- 恶意扩展和 JavaScript 注入:恶意负载通过虚假扩展传递,并通过驱动技术和其他高级方法在浏览器中执行。
- 基于浏览器的侦察:Web API 和已安装扩展的探测允许这些攻击者访问关键的内部系统。
战略性浏览器层安全:CISO 蓝图
为了抵御 Scattered Spider 和其他高级浏览器威胁,CISO 必须在以下领域采用多层浏览器安全策略。
1. 使用运行时脚本保护阻止凭据盗窃
网络钓鱼攻击已存在数十年。然而,像 Scattered Spider 这样的攻击者近年来将其技术提升了十倍。这些先进的网络钓鱼活动现在依赖于直接在浏览器内部执行的恶意 JavaScript,从而绕过 EDR 等安全工具。这样做的目的是窃取用户凭证和其他敏感数据。为了成功阻止网络钓鱼覆盖并拦截窃取凭证的危险模式,组织必须实施 JavaScript 运行时保护来分析行为。通过应用此类保护,安全主管可以阻止攻击者获取访问权限并窃取凭证,以免为时已晚。
2. 通过保护会话来防止帐户被盗用
一旦用户凭证落入不法分子之手,像 Scattered Spider 这样的攻击者就会迅速采取行动,通过窃取 Cookie 和令牌来劫持之前已验证的会话。保护浏览器会话完整性的最佳方法是限制未经授权的脚本获取访问权限或窃取这些敏感数据。组织必须根据设备状态、身份验证和网络信任等组件实施上下文安全策略。通过将会话令牌与上下文关联,企业即使在凭证被盗后也能有效阻止诸如账户接管之类的攻击。
3. 加强扩展治理并阻止恶意脚本
近年来,浏览器扩展程序变得异常流行,谷歌 Chrome 浏览器在 Chrome 网上应用店中就有超过 13 万个扩展程序可供下载。它们虽然可以提升工作效率,但也成为了攻击的载体。恶意或审查不力的扩展程序可能会请求侵入性权限、向浏览器注入恶意脚本,或充当攻击载荷的投递系统。企业必须实施强大的扩展程序治理,允许预先批准且权限经过验证的扩展程序运行。同样重要的是,需要在不受信任的脚本执行之前将其拦截。这种方法可确保合法扩展程序保持可用,从而不会中断用户的工作流程。
4. 在不破坏合法工作流程的情况下扰乱侦察
像 Scattered Spider 这样的攻击者通常会通过浏览器内侦察发起攻击。他们使用 WebRTC、CORS 或指纹识别等 API 来映射环境。这使得他们能够识别常用应用程序或追踪特定用户行为。为了阻止这种侦察,组织必须禁用敏感 API,或用诱饵替换这些 API,以免向攻击组织传递错误信息。然而,需要制定自适应策略来避免破坏合法工作流程,这在 BYOD 和非托管设备中尤为重要。
5. 将浏览器遥测集成到可操作的安全情报中
虽然浏览器安全是防御无恶意软件攻击的最后一道防线,但将其集成到现有的安全堆栈中将增强整个网络的防御能力。通过将包含丰富浏览器数据的活动日志部署到 SIEM、SOAR 和 ITDR 平台,首席信息安全官 (CISO) 可以将浏览器事件与端点活动关联起来,从而获得更全面的信息。这将使安全运营中心 (SOC) 团队能够更快地响应事件,并更好地支持威胁搜寻活动。这样做可以缩短攻击警报时间,并增强组织的整体安全态势。
浏览器安全用例和业务影响
部署浏览器原生保护可带来可衡量的战略优势。
| 用例 | 战略优势 |
| 网络钓鱼和攻击预防 | 在执行之前阻止浏览器内凭证窃取 |
| Web扩展管理 | 控制已知和未知 Web 扩展的安装和权限请求 |
| 安全启用 GenAI | 实现对生成式 AI 工具的自适应、基于策略和上下文感知的访问 |
| 数据丢失预防 | 确保公司数据不会被泄露或与未经授权的各方共享 |
| BYOD 和承包商安全 | 通过每个会话的浏览器控制来保护非托管设备 |
| 零信任强化 | 将每个浏览器会话视为不受信任的边界,根据上下文验证行为 |
| 应用程序连接 | 确保用户通过适当的保护级别进行正确的身份验证 |
| 安全的远程 SaaS 访问 | 无需额外的代理或 VPN,即可实现与内部 SaaS 应用程序的安全连接 |
对安全领导的建议
- 评估您的风险状况:使用 Browser Total™等工具来确定组织中浏览器漏洞的位置。
- 启用浏览器保护:部署能够在 Chrome、Edge、Firefox、Safari 和所有其他浏览器上进行实时 JavaScript 保护、令牌安全、扩展监督和遥测的解决方案。
- 定义上下文策略:对 Web API、凭据捕获、Web 扩展安装和下载执行规则。
- 与现有堆栈集成:将支持浏览器的威胁遥测数据馈入您日常使用的 SIEM、SOAR 或 EDR 工具中。这将增强您的检测和响应能力。
- 教育您的团队:将浏览器安全作为零信任架构、SaaS 保护和 BYOD 访问的核心原则。
- 持续测试和验证:模拟真实的基于浏览器的攻击,以便您可以验证您的防御并了解您的盲点可能在哪里。
- 加强跨浏览器的身份访问:实施自适应身份验证,在每个会话中持续验证身份。
- 定期审核浏览器扩展:制定审核流程以跟踪所有正在使用的扩展。
- 对 Web API 应用最小权限:
- 将敏感的浏览器 API 限制为仅需要它们的业务应用程序。
- 自动化浏览器威胁搜寻:利用浏览器遥测并将数据与现有堆栈集成以搜寻可疑模式。
最后的想法:浏览器作为新的身份边界
“散落蜘蛛”组织体现了攻击者如何将攻击策略从单一终端升级到企业最常用的应用程序——浏览器。他们这样做的目的是窃取身份信息、接管会话,并在用户环境中潜伏而不留痕迹。首席信息安全官必须适应并使用浏览器原生的安全控制措施来阻止这些基于身份信息的威胁。
投资一个流畅、运行时感知的安全平台才是关键。安全团队无需被动应对,而是可以从源头阻止攻击。对于所有安全领导者而言,企业浏览器防护不仅可以缓解像 Scattered Spider 这样的攻击,还能强化企业的安全防护,并提升所有 SaaS 应用、远程办公及其他领域的安全态势。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
