从Scattered Spider攻击路径看防护的新思路

B站影视韩国电影 2025-09-04 00:51 2

摘要：随着越来越多的企业业务迁移到浏览器，安全团队正在面对一类快速增长的网络风险。最新数据显示，如今超过 80% 的安全事件都源自通过 Chrome、Edge、Firefox 等浏览器访问的 Web 应用。而其中最具代表性的对手，莫过于Scattered Spide

随着越来越多的企业业务迁移到浏览器，安全团队正在面对一类快速增长的网络风险。最新数据显示，如今超过 80% 的安全事件都源自通过 Chrome、Edge、Firefox 等浏览器访问的 Web 应用。而其中最具代表性的对手，莫过于 Scattered Spider。这个快速进化的黑客组织，专门以浏览器为突破口，窃取其中存放的敏感数据，从而对企业造成严重威胁。

Scattered Spider（又称 UNC3944、Octo Tempest 或 Muddled Libra），在过去两年里通过精准锁定“人”的身份与浏览器环境不断成熟，逐渐形成与 Lazarus Group、Fancy Bear、REvil 等老牌黑客组织截然不同的打法。对于他们来说，如果你的浏览器标签页里存放着日程表、账户凭证或安全令牌，这些信息都可能成为他们的囊中之物。

这也意味着，企业必须重新审视浏览器安全——它不再是一个边缘化的防护措施，而应成为核心安全体系的重要组成部分。

01

Scattered Spider对浏览器攻击路径

与传统的大规模钓鱼不同，Scattered Spider 更倾向于精准攻击。他们依靠用户对浏览器的高度信任，从中窃取凭据并操控运行环境，常见方式包括：

浏览器欺骗技术：利用“浏览器套浏览器”（BitB）伪装页面、提取自动填充信息，在绕过 EDR 等传统工具的同时窃取凭据。

会话令牌窃取：绕过多因素认证（MFA），直接从浏览器内存中获取令牌与 Cookie。

恶意扩展与脚本注入：通过伪造扩展分发恶意代码，并借助“顺手牵羊式”攻击等方式在浏览器中执行。

浏览器内侦察：利用 Web API 或扫描已安装扩展，绘制内部系统地图，为后续渗透做准备。

02

CISO应对浏览器攻击防御方法

应对 Scattered Spider 这样的高级威胁，企业需要在浏览器层面构建多层次防护。

1.阻止凭据窃取：运行时脚本防护

现代钓鱼攻击越来越依赖恶意 JavaScript 在浏览器内直接执行，绕过传统检测，窃取凭据。企业必须部署运行时脚本防护，实时分析和拦截异常行为，从源头上阻断凭据泄漏。

2.防止会话劫持：强化会话安全

攻击者一旦获取凭据，会立即窃取 Cookie 或令牌来劫持已登录的会话。企业需通过上下文策略（设备状态、身份验证、网络信任等）来限制未经授权的访问，将会话与用户环境绑定，防止攻击者冒用身份。

3.扩展治理与脚本拦截

浏览器扩展数量庞大，但同时也是攻击媒介。企业必须建立扩展治理机制，只允许经过验证的扩展运行，并在不可信脚本执行前进行拦截，既保证业务效率，也避免风险。

4.干扰侦察而不破坏业务

攻击者往往会利用 WebRTC、CORS、指纹识别等手段进行环境探测。企业可通过禁用或替换为“虚假信息 API”来误导攻击者，但必须通过自适应策略确保不会破坏正常业务，尤其是在 BYOD 与非受管设备环境中。

5.将浏览器遥测融入安全体系

浏览器安全是“无恶意软件攻击”的最后一道防线。通过将浏览器活动日志接入 SIEM、SOAR、ITDR 等平台，企业可将浏览器事件与终端行为结合分析，提升威胁检测、狩猎与响应的整体能力。

03

浏览器安全的价值与应用场景

部署浏览器原生的防护机制，不仅能防止攻击，更能带来可量化的战略收益。

04

给安全管理者的行动建议

1.风险评估：借助 BrowserTotal™ 等工具梳理全网浏览器漏洞。

2.启用浏览器防护：覆盖所有主流浏览器，实现 JavaScript 防护、令牌保护、扩展管控与遥测。

3.制定上下文策略：规范 API 调用、凭据采集、扩展安装与下载行为。

4.与现有安全体系集成：将浏览器数据接入 SIEM、SOAR、EDR，提升检测与响应能力。

5.加强团队培训：将浏览器安全纳入零信任架构、SaaS 防护与 BYOD 管理的核心。

6.持续验证防御：通过模拟真实攻击检验系统防护水平，找出盲点。

7.加固跨浏览器身份访问：实施自适应认证，在每个会话中持续验证用户身份。

8.定期审计扩展：对企业内部正在使用的扩展进行审查和记录。

9.最小化 API 权限：将敏感 API 的使用限制在必要的业务应用中。

10.自动化威胁狩猎：利用浏览器遥测与现有工具结合，追踪可疑行为模式。

05

结语：浏览器已成为新的身份边界

Scattered Spider 的攻击路径揭示了一个现实：黑客正从端点攻击转向聚焦企业最常用的应用——浏览器。他们通过浏览器窃取身份、劫持会话，并在用户环境中“隐身”存在。

CISO 必须适应并采用浏览器原生的安全控制来阻止这些基于身份的威胁。对于所有安全领导者而言，投资具备运行时感知的安全平台，安全团队无需被动响应，而是能够在源头阻止攻击，不仅加固通往企业内部的“窗口”，更能全面升级 SaaS 应用、远程办公及更广泛环境的安全态势。

来源：科技蜜谈

标签： spider scatteredspider scatter

本文地址：http://news.43b.com.cn/a/967401.html

免责声明：本站系转载，并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题，请在30日内与本站联系，我们将在第一时间删除内容!