2025-09-29 08:45 上海
安小圈
🎣 **AI驱动的混淆技术升级**:攻击者利用AI生成高度复杂的混淆代码,隐藏在伪装成PDF的SVG文件中。这些代码使用商业术语和冗余命名,旨在迷惑安全系统,表明AI正被用于增强恶意软件的隐蔽性。
📧 **精巧的传播与伪装策略**:攻击活动通过被入侵的邮箱账户分发邮件,采用自寄自收和密送(BCC)等手段规避检测。附件伪装成标准PDF,诱导用户打开,并在后续重定向至虚假验证码页面,以建立信任并窃取凭证。
🤖 **AI生成代码的特征识别**:微软Security Copilot识别出AI生成代码的典型特征,包括过度描述性的命名、模块化且冗余的代码结构、通用的注释以及公式化的混淆技术,这些都与LLM(大语言模型)的输出高度吻合。
🛡️ **AI防御系统的成功拦截**:尽管攻击手段复杂,微软Office 365 Defender的AI防护系统仍成功阻止了此次攻击。检测成功归功于对可疑文件命名、SVG载荷异常使用、重定向模式以及钓鱼网站会话跟踪等多重信号的综合分析。
2025-09-29 08:45 上海
安小圈
微软威胁情报中心近日披露了一起凭证钓鱼攻击活动的细节,攻击者很可能利用AI生成的代码增强混淆技术,试图绕过传统防御系统。虽然该攻击最终被拦截,但这一案例表明网络犯罪分子正开始将大语言模型(LLMs)整合进攻击工具包,全球防御者面临的挑战正在升级。
Part01
根据微软分析报告,"该攻击活动将恶意行为隐藏在SVG文件中,通过商业术语和人工合成的结构来掩盖其恶意意图"。相关代码复杂度极高,Microsoft Security Copilot 副驾驶智能体判定其"由于复杂性、冗余度及缺乏实际效用,不太可能是人工从头编写的"。
攻击者精心制作了伪装成PDF的SVG附件,在看似商业绩效仪表板的界面背后嵌入了恶意脚本。诸如"营收"、"运营"、"风险"等商业术语被拼接成隐藏属性,后续解码为可执行载荷。
Part02
这起于8月18日被发现的攻击活动,通过一个遭入侵的小型企业邮箱账户分发诱饵邮件。邮件采用自寄自收设计——发件人与收件人显示为同一地址,而实际受害者被隐藏在密送(BCC)字段中,这种手法旨在"绕过基础检测启发式规则"。
名为"23mb - PDF-6 pages.svg"的附件被设计成标准PDF文件外观,诱骗用户打开。一旦执行,SVG文件会将受害者重定向至虚假验证码页面,在最终导向凭证窃取门户前建立信任感。
Part03
Microsoft Security Copilot 副驾驶智能体识别出多个表明代码由机器生成的迹象:
"过度描述性且冗余的命名"(如processBusinessMetricsf43e08)
"模块化且过度设计的代码结构",类似教科书式的AI输出
"冗长、通用的注释",使用正式商业语言撰写
"公式化的混淆技术",如分阶段数据转换
"异常使用CDATA和XML声明"——技术上正确但非必要
微软指出,这些特征与AI/LLM生成的代码高度吻合。
Part04
尽管攻击手段复杂,微软Office 365 Defender的AI防护系统仍成功阻止了此次攻击。报告强调:"虽然AI增强型威胁在不断演变,但并非不可检测...攻击者使用AI往往会留下新的可检测特征。"
检测成功得益于多重因素:可疑的文件命名、SVG作为载荷的异常使用、重定向模式以及钓鱼网站上的会话跟踪行为。这些基础设施和行为信号在攻击者的混淆尝试下依然清晰可辨。
微软警告称,虽然本次攻击规模有限且主要针对美国机构,但反映出一个日益明显的趋势:"与许多变革性技术一样,AI正在被防御者和网络犯罪分子同时采用。"
参考来源:
AI vs. AI: Microsoft Blocks Phishing Attack Using LLM-Generated Obfuscated Code
【内容来源:FreeBuf】
中国联通DNS故障敲响警钟:DNS安全刻不容缓
个人信息保护负责人信息报送系统填报说明(第一版)全文
【干货】2024 攻防演练 · 期间 | 需关注的高危漏洞清单
攻防演练在即,10个物理安全问题不容忽视
红队视角!2024 | 国家级攻防演练100+必修高危漏洞合集(可下载)
【攻防演练】中钓鱼全流程梳理
攻防演练在即:如何开展网络安全应急响应
【2025】常见的网络安全服务大全(汇总详解)
AI 安全 |《人工智能安全标准体系(V1.0)》(征求意见稿),附下载
AI辅助创作,多种专业模板,深度分析,高质量内容生成。从观点提取到深度思考,FishAI为您提供全方位的创作支持。新版本引入自定义参数,让您的创作更加个性化和精准。
鱼阅,AI 时代的下一个智能信息助手,助你摆脱信息焦虑