GhostPhishing幽灵钓鱼来袭,加密隐身绕过邮件网关
2026年钓鱼攻击暴露数据显示,咨询、金融、制造、科技行业员工钓鱼点击比例均超66%,新型GhostPhishing攻击让传统邮件网关、沙箱检测彻底失明。该攻击依托EvilTokens活动大范围针对Microsoft365账号发起入侵,覆盖科技、银行、教育、制造等多类企业。核心特点为时差式加密欺骗:安全网关扫描页面时仅读取AES-GCM密文判定无害,只有受害者浏览器打开链接解密后,完整钓鱼页面才会渲染展示,静态检测、沙箱模拟均无法识别恶意内容。

一、攻击底层:DeviceCode设备码钓鱼原理
幽灵钓鱼的攻击底座是DeviceCodePhishing设备码钓鱼,利用OAuth2.0设备授权流程实现免密码窃取账号Token:
1、正常流程:智能电视、打印机等无浏览器设备登录时,生成设备码,用户在正规微软登录页完成授权。
2、黑客篡改链路:邮件诱导访问恶意页面展示仿冒设备码输入框,受害者跳转至真实微软官网输入账号、MFA验证码完成授权。
3、攻击收益:攻击者获取合法访问令牌,调用MicrosoftGraphAPI读取邮件、文件、日历,即便用户修改密码,Token仍可在有效期内持续窃取数据。
相较于传统钓鱼,该手段不触发密码暴力破解、异地登录告警,MFA多因素认证完全失去防护作用,长期难以被安全团队察觉。
二、GhostPhishing核心:AES-GCM加密实现隐身绕过
攻击者将完整钓鱼HTML页面通过AES-GCM算法加密,封装成仅含解密脚本与密文的空白页面,实现全链路规避检测:
1、加密封装:密钥、IV初始化向量隐藏在URL片段、页面隐藏标签中;AES-GCM附带完整性校验标签,传输篡改会直接导致解密失效。
2、网关扫描阶段:沙箱、邮件网关读取页面仅空白文本与无害JS,无钓鱼关键词、恶意特征,自动放行。
3、受害者浏览器阶段:内置WebCrypto解密脚本自动提取密钥解密,DOM动态写入仿微软登录页面,诱导用户完成设备授权。
这种加密隐身机制解决了传统设备码钓鱼页面易被拦截的短板,成为当前主流入侵手段。
三、传统防护体系失效的核心原因
1、静态检测依赖明文特征,加密密文无任何钓鱼标识。
2、常规沙箱仅单次短时间加载页面,无法模拟真实用户完整浏览器解密流程。
3、安全规则仅拦截伪造登录域名,该攻击跳转微软官方域名,白名单直接放行。
4、无异常密码、暴力破解行为,终端、账号安全告警机制无法触发。
四、企业抵御幽灵钓鱼落地防护策略
1、收紧微软设备码授权权限
企业租户按需关闭DeviceCode登录流程,仅IoT、大屏设备白名单放行,其余终端直接阻断设备授权接口,从源头切断攻击链路。
2、升级邮件安全动态沙箱检测
更换支持JS深度解析、动态DOM渲染的新一代沙箱,模拟完整浏览器解密逻辑,识别AES密文自动解密检测隐藏钓鱼内容。
3、OAuth授权行为全量审计监控
实时告警陌生第三方应用、非常规设备发起的GraphAPI访问,批量邮件读取、文件下载等高风险行为自动阻断。
4、全员针对性安全培训
重点科普设备码钓鱼危害,告知员工任何邮件、消息中出现“设备授权码”链接一律手动通过官网验证,禁止直接点击外部链接完成授权。
5、部署浏览器端反钓鱼插件
实时解析页面隐藏密文、可疑解密脚本,识别伪装微软设备登录界面,弹窗拦截并记录告警日志。
GhostPhishing代表钓鱼攻击正式进入加密隐身时代,依靠AES加密绕过传统静态防护,结合设备码钓鱼绕过MFA,双重技术叠加大幅提升入侵成功率。企业不能仅依靠邮件网关、特征库拦截,必须结合账号权限管控、深度动态沙箱、OAuth行为审计、员工安全培训构建多层防御,才能抵御此类新型隐形钓鱼威胁。


闽公网安备 35021102000564号