Cofense 披露新型釣魚攻擊手法:利用 Blob URI 繞過加密保護
IT之家 5 月 11 日消息,網絡安全公司 Cofense 本周四發布了最新研究報告,稱黑客組織正利用瀏覽器原生功能 Blob URI 實施高隱蔽性釣魚攻擊,該手法可規避傳統加密憑證保護機制。由于這種攻擊十分少見,絕大部分 AI 安全防護程序都無法分析識別。
▲ 重定向到釣魚網站之前的中間網站是 onedrive [.] live [.] com
▲ 偽裝 OneDrive 登錄的 Blob URI 頁面公開資料顯示,Blob URI(Binary Large Object Uniform Resource Identifier)是瀏覽器生成臨時本地內容的協議,典型的 Blob 包括圖片、音頻和 PDF 文件等二進制數據。其核心特征包括:
攻擊頁面完全在受害者瀏覽器內存中生成,無需托管于公網服務器(IT之家注:Blob URI 會以“blob:http://”或“blob:https://”為開頭呈現)
所有交互內容在會話結束后自動銷毀,無法留存追溯證據
傳統郵件網關(SEG)和端點防護系統無法掃描內存中渲染內容
攻擊流程:
初始誘導:釣魚郵件以可信域名鏈接(例如微軟 OneDrive 等網站),通過安全網關檢測
中間加載:鏈接頁面加載攻擊者控制的 HTML 文件,而該文件不含惡意代碼特征
本地渲染:HTML 文件在受害者瀏覽器解碼生成 Blob URI,呈現與微軟登錄界面完全一致的釣魚頁面
憑證竊取:用戶輸入的賬號密碼通過加密通道傳輸至攻擊者服務器,全程無異常跳轉提示
Cofense 情報團隊負責人 Jacob Malimban 表示“這種攻擊方式使得檢測和分析變得異常困難。由于釣魚頁面通過 Blob URI 本地生成,常規的在線掃描機制已完全失效”。對于企業用戶,建議:
部署防火墻即服務(FWaaS)實現登錄行為實時監控
采用零信任網絡訪問(ZTNA)限制敏感系統訪問權限
強制啟用多因素認證(MFA)作為關鍵系統訪問前置條件
定期開展基于 Blob URI 攻擊場景的滲透測試
參考資料:
來源:IT之家
