标签:

Detecting and Characterizing Lateral Phishing at Scale

论文使用来自92家公司的1.13亿封邮件,针对横向钓鱼攻击做了大规模分析。横向钓鱼攻击是指:攻击者利用攻破的企业账户向其他人发送钓鱼邮件(即钓鱼邮件的横向传播),利用被劫持者的信任关系获益。本文构建了一个检测横向钓鱼邮件的分类器,检测数数以百计的横向钓鱼邮件,误报为4/1000,000。基于检测到的攻击邮件,结合一些事件的分析,文章进一步 (1) 量化了横向钓鱼的规模;(2) 识别攻击者确定邮件主题和受害者的策略;(3)展示两种攻击者的攻击手法;(4)并且对攻击成功的概率进行了评估。总结下来,文章刻画了企业级攻击者模型和当今企业受钓鱼攻击的现状。

论文使用来自92家公司的1.13亿封邮件,针对横向钓鱼攻击做了大规模分析。横向钓鱼攻击是指:攻击者利用攻破的企业账户向其他人发送钓鱼邮件(即钓鱼邮件的横向传播),利用被劫持者的信任关系获益。本文构建了一个检测横向钓鱼邮件的分类器,检测数数以百计的横向钓鱼邮件,误报为4/1000,000。基于检测到的攻击邮件,结合一些事件的分析,文章进一步 (1) 量化了横向钓鱼的规模;(2) 识别攻击者确定邮件主题和受害者的策略;(3)展示两种攻击者的攻击手法;(4)并且对攻击成功的概率进行了评估。总结下来,文章刻画了企业级攻击者模型和当今企业受钓鱼攻击的现状。

NoDoze: Combatting Threat Alert Fatigue with Automated Provenance Triage

现在大型企业逐渐开始依赖于威胁检测软件来发现可疑行为。这些软件会产生许多告警,网络空间安全分析人会去分析这些告警是否是真正的攻击。不幸的是,在实际使用中,需要处理的告警数量远远多于分析人员的数量。这就导致了一个威胁警报疲劳或者信息过载问题的产生,从而可能会造成漏掉真正的攻击告警。 本文提出的NoDoze联合使用了告警相关的上下文以及历史信息来解决上述问题。NoDoze首先生成一个告警事件的因果依赖图;然后给图中每一个边打一个分,代表这个边的一个异常情况,这个分数和相应边所关联的事件出现的频率有关。然后NoDoze使用一个新的扩散算法,将这个分数通沿着相邻的边进行传播,这最终会生成一个聚合的分数以用来进行分类。在最后的实验结果中,该方法将误报降低了84%。

现在大型企业逐渐开始依赖于威胁检测软件来发现可疑行为。这些软件会产生许多告警,网络空间安全分析人会去分析这些告警是否是真正的攻击。不幸的是,在实际使用中,需要处理的告警数量远远多于分析人员的数量。这就导致了一个威胁警报疲劳或者信息过载问题的产生,从而可能会造成漏掉真正的攻击告警。 本文提出的NoDoze联合使用了告警相关的上下文以及历史信息来解决上述问题。NoDoze首先生成一个告警事件的因果依赖图;然后给图中每一个边打一个分,代表这个边的一个异常情况,这个分数和相应边所关联的事件出现的频率有关。然后NoDoze使用一个新的扩散算法,将这个分数通沿着相邻的边进行传播,这最终会生成一个聚合的分数以用来进行分类。在最后的实验结果中,该方法将误报降低了84%。

Re: What's Up Johnny? - Covert Content Attacks on Email End-to-End Encryption

论文中展示了一种针对使用OpenPGP和S/MIME协议的电子邮件的攻击。攻击利用了电子邮件中支持的MIME标准和HTML语法,通过一些手段对用户隐藏邮件的实际内容。攻击通过欺骗用户回复一个看起来正常的邮件,来让用户的邮件客户端成为密码学中的预言机(解密和签名)。通过这种攻击,数百封加密邮件可以被一次泄漏。另外,论文中还展示了如何通过编写特定的CSS条件规则来诱骗用户签署任意文本内容。实验测量表明有17(总样本19)个OpenPGP邮件客户端以及21(总样本22)个邮件客户端至少被攻击成功一次。

论文中展示了一种针对使用OpenPGP和S/MIME协议的电子邮件的攻击。攻击利用了电子邮件中支持的MIME标准和HTML语法,通过一些手段对用户隐藏邮件的实际内容。攻击通过欺骗用户回复一个看起来正常的邮件,来让用户的邮件客户端成为密码学中的预言机(解密和签名)。通过这种攻击,数百封加密邮件可以被一次泄漏。另外,论文中还展示了如何通过编写特定的CSS条件规则来诱骗用户签署任意文本内容。实验测量表明有17(总样本19)个OpenPGP邮件客户端以及21(总样本22)个邮件客户端至少被攻击成功一次。

Efail: Breaking S/MIME and OpenPGP Email Encryption using Exfiltration Channels

OpenPGP 和 S/MIME 是电子邮件端到端加密的两个主要标准。这篇论文给出了一种新型的攻击,它可以暴露通过OpenPGP和S/MIME方式加密的电子邮件的明文。这种攻击基于一种被作者称为malleability gadgets的工具,这个工具包含两类:CBC gadget 和CFB gadget。这个工具可以将恶意的明文片段插入到加密的电子邮件中去。在一些内嵌HTML/CSS/X.509功能的电子邮件中,攻击会在邮件被解密的时候触发。

OpenPGP 和 S/MIME 是电子邮件端到端加密的两个主要标准。这篇论文给出了一种新型的攻击,它可以暴露通过OpenPGP和S/MIME方式加密的电子邮件的明文。这种攻击基于一种被作者称为malleability gadgets的工具,这个工具包含两类:CBC gadget 和CFB gadget。这个工具可以将恶意的明文片段插入到加密的电子邮件中去。在一些内嵌HTML/CSS/X.509功能的电子邮件中,攻击会在邮件被解密的时候触发。

DEEPCASE: Semi-Supervised Contextual Analysis of Security Events

该论文基于纯安全事件数据采用无监督的方法对安全事件做分类分级,发表于安全四大顶会S&P2022,一作Thijs van Ede是加州大学圣芭拉分校的博士生。

该论文基于纯安全事件数据采用无监督的方法对安全事件做分类分级,发表于安全四大顶会S&P2022,一作Thijs van Ede是加州大学圣芭拉分校的博士生。

DETER: Denial of Ethereum Txpool sERvices

简介:区块链通常使用交易池来缓存接收到而尚未被包含在区块中的交易。我们知道交易是收取交易费的,而交易费并不固定,由此矿工就可以采用不同的策略来对交易进行排序,以使自己的利益最大化。本文研究了如何利用这些策略的漏洞对以太坊交易池进行拒绝服务攻击。

简介:区块链通常使用交易池来缓存接收到而尚未被包含在区块中的交易。我们知道交易是收取交易费的,而交易费并不固定,由此矿工就可以采用不同的策略来对交易进行排序,以使自己的利益最大化。本文研究了如何利用这些策略的漏洞对以太坊交易池进行拒绝服务攻击。

Using Selective Memoization to Defeat Regular Expression Denial of Service

这篇是今年 Oakland 的文章,介绍了当前许多编程语言的正则表达式库的一个遗留漏洞,并提出了一个新的解决方案。

这篇是今年 Oakland 的文章,介绍了当前许多编程语言的正则表达式库的一个遗留漏洞,并提出了一个新的解决方案。

Warmonger: Inflicting Denial-of-Service via Serverless Functions in the Cloud

本文发表于CCS2021,针对共享资源的云端服务器提出了一种新的杀敌一千自损八百的攻击方式:Warmonger。Warmonger利用了去服务器(serverless)计算平台在不同用户之间共享IP的特点,让第三方内容服务器拒绝响应用户的云端服务。恶意用户可以在共享IP的去服务器平台上对第三方内容服务器发出一些恶意的请求,这样第三方服务器的防火墙就可以将此IP列入黑名单,共享同一IP的其它用户此时就无法访问被攻击的第三方服务器了。本文的攻击模型并不复杂,重点偏重于测量分析。

本文发表于CCS2021,针对共享资源的云端服务器提出了一种新的杀敌一千自损八百的攻击方式:Warmonger。Warmonger利用了去服务器(serverless)计算平台在不同用户之间共享IP的特点,让第三方内容服务器拒绝响应用户的云端服务。恶意用户可以在共享IP的去服务器平台上对第三方内容服务器发出一些恶意的请求,这样第三方服务器的防火墙就可以将此IP列入黑名单,共享同一IP的其它用户此时就无法访问被攻击的第三方服务器了。本文的攻击模型并不复杂,重点偏重于测量分析。