IT之家 5 月 11 日(ri)消息(xi)，網絡安(an)全(quan)公司 Cofense 本周四發(fa)布了最新研究報告(gao)，稱黑(hei)客組織正(zheng)利用瀏覽器原(yuan)生功能 Blob URI 實(shi)施高隱蔽性(xing)釣魚攻擊，該手法可規避傳統加(jia)密憑(ping)證保(bao)護機制。由于這種攻擊十分(fen)少見，絕大部(bu)分(fen) AI 安(an)全(quan)防護程序都(dou)無法分(fen)析識別。

公開資料顯示，Blob URI（Binary Large Object Uniform Resource Identifier）是瀏覽器生成(cheng)臨時本地(di)內容的協(xie)議，典(dian)型(xing)的 Blob 包(bao)括圖片、音頻和 PDF 文(wen)件(jian)等二進(jin)制數據(ju)。其核(he)心特征包(bao)括：

• 攻(gong)擊頁面完(wan)全(quan)在(zai)受害者瀏覽器內存中生成(cheng)，無需托管于公網服務器（IT之家注：Blob URI 會以(yi)“blob://”或“blob://”為開頭呈現）

• 所有交互內容在會話結束后自動銷毀，無法留存追溯證據(ju)

• 傳統郵(you)件網關（SEG）和(he)端(duan)點防護系(xi)統無(wu)法掃描內存(cun)中(zhong)渲染內容

攻擊流程：

• 初始誘導：釣魚郵(you)件(jian)以可(ke)信域名鏈接（例如微軟 OneDrive 等網站），通過(guo)安全(quan)網關檢測(ce)

• 中間加載(zai)：鏈接頁面加載(zai)攻(gong)擊者(zhe)控制的 HTML 文件，而該文件不含惡意代碼(ma)特征

• 本地渲染：HTML 文件在受害者瀏覽器解碼生成 Blob URI，呈現與微軟登錄界面(mian)完(wan)全(quan)一(yi)致的釣(diao)魚(yu)頁(ye)面(mian)

• 憑證竊取：用(yong)戶輸入的賬號密碼通(tong)過加密通(tong)道傳輸至攻(gong)擊(ji)者服務(wu)器，全程(cheng)無異常跳轉提示

Cofense 情報團隊負責人(ren) Jacob Malimban 表示“這種攻擊方式使得(de)檢測和分析(xi)變得(de)異常(chang)困難。由于釣(diao)魚頁面通過 Blob URI 本(ben)地生成，常(chang)規的在線掃(sao)描機制已(yi)完全失效(xiao)”。對于企(qi)業(ye)用(yong)戶，建議(yi)：

• 部署(shu)防火墻即服務（FWaaS）實(shi)現登(deng)錄行為(wei)實(shi)時(shi)監控

• 采用零信任網絡(luo)訪(fang)問（ZTNA）限制敏感(gan)系統訪(fang)問權限

• 強制啟用多因素認(ren)證（MFA）作(zuo)為關鍵系統訪問前置條件

• 定期開(kai)展(zhan)基于(yu) Blob URI 攻擊場景(jing)的滲(shen)透測(ce)試

參考資料(liao)：

• 《》

廣告聲明：文(wen)(wen)內含有的對外跳轉鏈接(jie)（包(bao)括不限于超(chao)鏈接(jie)、二維碼、口令等形式(shi)），用于傳遞更多信息，節省甄選(xuan)時間(jian)，結果僅供參考，IT之家(jia)所有文(wen)(wen)章均包(bao)含本(ben)聲明。