从内部进行网络钓鱼：微软365账户劫持，威胁猎杀主管马克斯·海涅迈尔（Max Heinemeyer），2020年8月4日星期二，黑客越来越多地用他们的攻击来冒充可信的SaaS平台和供应商。最近，Darktrace发现了利用QuickBooks、WeTransfer和微软团队品牌的威胁。许多这样的电子邮件试图诱使收件人点击一个恶意链接，该链接指向一个包含凭证获取恶意软件的页面。这篇博客文章展示了攻击的下一个阶段-员工在这个恶意网页上输入他们的详细信息并拥有他们的帐户之后会发生什么妥协了。甚至只要有一个内部账户受损，就可以大大提高网络钓鱼活动的成功率。攻击者可以使用受损的Microsoft 365帐户访问其中的多个其他帐户小时。黑暗赛跑上周末，一名员工在微软365账户接管事件中成为受害者，人工智能大数据，当时该公司的人工智能正在监控亚太地区一家领先科技公司的9000多台设备。这个帐户随后被用来向内部和外部联系人发送数百封网络钓鱼电子邮件。Darktrace检测到了账户泄露的早期迹象，并在这些电子邮件发送之前向安全团队发出了高度信任警报。如果安全团队对警报做出快速反应，那么网络钓鱼邮件的发送以及第二次账户泄露可能会避免。时间轴图1：攻击的时间轴我们可以在时间轴上看到攻击者只花了三个小时进行研究才采取行动。这就对这种威胁的性质提出了疑问。攻击是自动化的吗？袭击者做了初步调查吗？他们知道他们在找什么吗？当人工智能检测到有人从一个不寻常的地理位置登录，迅速建立新的收件箱规则，并查看几个共享文件时，一个定制的有针对性的attackDarktrace首先发出了安全事件的警报。攻击者随后向内部和外部发送了200多封网络钓鱼电子邮件收件人电子邮件中包含一个指向Microsoft OneDrive登录页面的链接，该页面标题为"合同和建议-客户"，表明该页面是专门针对此攻击构建的。一小时后，该组织还检测到了一个网络钓鱼网页，显示了一个不寻常的网页链接妥协了怎么办攻击是否绕过了其余的部分安全堆栈？攻击者利用了受损的M365凭据，最初的条目可能是通过Darktrace的AI部署之前的网络钓鱼活动中泄露的凭据进行的；传统电子邮件安全软件信任内部电子邮件；网络钓鱼电子邮件包含一个受信任的SaaS平台OneDrive链接，所以其他电子邮件安全产品不会将这些链接标识为可疑。艾分析师调查发现，这家技术公司在其网络和SaaS应用程序中部署了Darktrace的企业免疫系统，因此在这起攻击事件发生时，它可以实时查看每个事件。此外，当检测到异常登录位置时，Darktrace的网络人工智能分析师立即对恶意活动展开自动调查，大数据分析培训机构，生成事件和其他重要信息的自然语言摘要，以帮助处理事件回顾。图2： 赛博人工智能分析师关于账户劫持Darktrace的SaaS控制台的报告节选也报道了这一事件，与之前相比该设备上的活动有关周。图3： Darktrace的SaaS仪表板展示了一个意外事件的概述该攻击是数字转型背景下网络威胁性质变化的另一个例子。不是设备，而是身份越来越成为目标攻击。黑暗种族的实时警报事态发展可能使安全团队能够隔离最初受到攻击的帐户，并在攻击进一步升级之前更改凭据。最初罕见的登录目的地导致Darktrace的网络人工智能分析师对被泄露的账户展开持续调查，云服务器哪里好，以至于在攻击者设置新的处理规则后仅3分钟就发出警报。如果着眼于技术，一个更严重的漏洞本可以避免，并且在几分钟。谢谢感谢Darktrace分析师Stefan Rowe对上述威胁的见解找。找在SaaS环境中又发现了8个网络威胁案例研究，下载白色PaperIoCs:IoCCommentcovingtonok[.]Buzz用于托管假登录页面darktrace model d测试：SaaS/SaaS凭证使用的不寻常外部来源SaaS/新电子邮件SaaS/不寻常的登录和新电子邮件规则SaaS/异常交换活动Max HeinemeyerMax是一位在该领域拥有超过9年经验的网络安全专家，云服务器是，专门从事网络监控和攻击性安全。在Darktrace，Max与战略客户合作，帮助他们调查和应对威胁，云100，并监督剑桥英国总部的网络安全分析师团队。在担任现任职务之前，马克斯领导着惠普在中欧的威胁和脆弱性管理部门。在这个职位上，他是一个白帽黑客，领导渗透测试和红队的活动。当他还在德国生活时，他也是德国混沌电脑俱乐部的一员。Max拥有杜伊斯堡-埃森大学（University of Duisburg-Essen）的硕士学位和斯图加特合作州立大学（Cooperative State University Stuttgart）的国际商务信息理学学士学位系统。共享在LinkedIn上的FacebookTweetShare发送电子邮件