1. 项目概述从“人”入手的现代网络攻击最近几年安全圈里一个绕不开的词就是“Scattered Spider”。这伙攻击者不像传统黑客那样执着于挖掘软件里的0day漏洞他们的武器库更“软”也更致命——他们专攻“人类层漏洞”。简单来说他们不撬锁而是想办法让你自己把钥匙递出来。从2022年开始他们的攻击活动变得异常活跃并且手法不断进化形成了一套针对身份认证体系的、高度中心化的攻击链。这套打法已经让全球众多企业尤其是那些依赖云服务和SaaS应用的公司付出了惨重代价。如果你负责企业安全运维、身份与访问管理IAM或者是一名关注前沿攻击手法的安全研究员那么理解Scattered Spider的攻击链至关重要。这不再是单纯的钓鱼邮件那么简单而是一场针对企业“身份”这一核心资产的、有组织、有预谋的战役。攻击者通过社会工程学获取初始立足点然后横向移动最终目标是接管整个身份管理系统如Okta、Entra ID/Azure AD从而控制所有下游应用和数据。本文将深入拆解这条从2022年延续至2025年的攻击链分析其核心环节、技术细节以及背后的防御思考。2. 攻击链全景与核心思路拆解2.1 为什么是“身份中心化”要理解Scattered Spider首先要明白现代企业IT架构的“阿喀琉斯之踵”。过去企业的防护重点在边界防火墙和终端安全。但现在业务全面上云员工通过一个统一的身份比如公司邮箱登录Okta或Microsoft Entra ID然后单点登录SSO到Slack、Salesforce、GitHub、AWS控制台等几十个应用。身份成了通往企业数字王国唯一的、也是必须的钥匙。攻击者敏锐地抓住了这一点。与其费力攻击每个应用不如直接攻击那个掌管所有钥匙的“钥匙总管”——身份提供商IdP。一旦控制了IdP的管理员账户或高权限服务主体就等于控制了所有依赖该IdP进行认证的应用。这就是“身份中心化攻击”的核心逻辑攻击收益最大化。Scattered Spider的整个攻击链都是围绕“如何有效入侵并控制一个企业的身份系统”来设计和执行的。2.2 攻击链的四个演进阶段纵观2022到2025年的相关事件报告和威胁情报Scattered Spider的攻击链并非一成不变而是在对抗中持续演进。我们可以将其大致分为四个阶段每个阶段都反映了攻击者与防御者博弈的升级。第一阶段2022年初-中期传统社工的精准化这个阶段攻击者大量使用Vishing语音钓鱼和Smishing短信钓鱼。他们会冒充IT支持人员致电目标公司员工以“协助解决账户问题”、“进行安全验证”为由诱导员工在伪造的登录页面上输入其公司凭据用户名和密码。同时他们会要求员工提供手机上收到的多因素认证MFA验证码。一旦得手立即登录真实的企业门户完成初始入侵。这一阶段的特点是“单点突破”依赖高仿真的话术和临场压力。第二阶段2022年末-2023年MFA疲劳攻击与SIM卡劫持随着企业对MFA的普及单纯骗取密码和一次性验证码的成功率下降。攻击者开始采用“MFA疲劳轰炸”MFA Fatigue。他们利用已窃取的密码持续向受害者的认证APP如Microsoft Authenticator推送登录请求直到受害者不胜其烦或因误以为是系统故障而意外批准。同时SIM卡劫持SIM Swapping被更频繁地使用攻击者通过社会工程欺骗运营商将目标手机号转移到自己控制的SIM卡上从而拦截所有短信和语音验证码。第三阶段2023年-2024年利用合法工具与令牌窃取此阶段攻击者显著减少了“从头攻击”的比例更多利用已入侵的终端。他们会在受害者的工作电脑上植入恶意软件如信息窃取木马专门盗取浏览器中缓存的会话Cookie和身份令牌。这些令牌往往具有较长的有效期允许攻击者在无需密码和MFA的情况下直接维持登录状态。此外他们广泛使用Living-off-the-LandLotL策略即利用系统自带的管理工具如PowerShell、RDP和云服务商CLI工具进行横向移动极大增加了检测难度。第四阶段2024年-2025年自动化、规模化与AI辅助这是当前最新的演进方向。攻击者开始编写自动化脚本将社工、凭证填充、令牌验证等步骤串联。更有迹象表明他们可能利用生成式AI来批量生成更具个性化、更难以识别的钓鱼邮件内容甚至模拟高管声音进行深度伪造的Vishing攻击。攻击目标也从“攻破一家公司”转向“攻破一个身份提供商的管理员进而影响其下游的数百家客户”呈现出供应链攻击的特征。3. 核心攻击环节深度解析3.1 初始入侵社会工程学的艺术与“科学”Scattered Spider的起点几乎总是社会工程学。但他们已经将其从“艺术”升级为结合了信息搜集的“科学”。信息搜集OSINT在发起攻击前攻击者会进行周密的开源情报搜集。他们通过LinkedIn、公司官网、GitHub等渠道绘制目标公司的组织架构图识别IT支持部门、人力资源和高管的成员。他们甚至会研究公司在招聘网站上发布的职位描述来推断其使用的技术栈例如“要求熟悉Okta管理”就直接暴露了身份提供商。** pretext欺诈借口设计** 基于搜集的信息攻击者会精心设计一个难以拒绝的借口。常见的包括冒充IT支持“检测到您的账户有异常登录需要您立即配合验证以锁定账户。”冒充HR或高管“关于紧急薪酬调整/公司通告需要您登录内部系统确认。”冒充合作商“我们是微软/Okta官方支持检测到贵公司租户有配置风险。”** 通信渠道选择** 电话Vishing因其实时性和压迫感仍然是首选。但攻击者也会混合使用短信、即时通讯工具如Slack、Teams甚至伪造的内部工单系统。关键在于让请求看起来来自合法、紧急的内部渠道。注意防御方常犯的一个错误是只培训员工识别“可疑邮件”。Scattered Spider恰恰避开了邮件转而使用防御相对薄弱的电话和即时通讯渠道。安全意识培训必须覆盖所有可能的沟通方式。3.2 绕过与击败多因素认证MFA获取密码只是第一步MFA才是真正的关卡。Scattered Spider积累了多种绕过MFA的手法堪称一部“MFA破解大全”。实时钓鱼实时中间人攻击这是技术含量较高的一种。攻击者架设一个反向代理服务器当受害者访问钓鱼网站并输入凭据时钓鱼网站会将这些凭据实时传递到真实的登录页面。如果该登录页面触发MFA如推送通知受害者会在自己的设备上收到真实的MFA请求。由于整个交互过程看起来无比真实受害者极易批准。攻击者的代理服务器则在中间窃取了会话Cookie。MFA疲劳轰炸这是一种“心理战”。利用窃取的密码攻击者通过脚本不断尝试登录导致受害者的Authenticator应用持续弹出登录请求。部分攻击者会配合短信或电话骚扰“您的账户正在被疯狂尝试登录请尽快批准通知以锁定账户。” 在疲劳、困惑和急于解决问题的心理下用户很可能点击“批准”。SIM卡劫持攻击者冒充受害者致电电信运营商客服声称手机丢失要求将号码转移到一张新的SIM卡上。成功之后所有发送到该号码的短信验证码都会落到攻击者手中。这种方法对仅依赖短信验证码的MFA是致命的。窃取会话令牌这属于“战后”清理。在成功入侵一台终端后攻击者会利用工具如Mimikatz的修改版、浏览器密码导出工具直接提取浏览器中存储的会话Cookie。这些Cookie可能代表着一个已经通过MFA验证的会话有效期长达数小时甚至数天让攻击者可以自由进出无需再次认证。3.3 横向移动与权限提升在身份系统内部“攻城略地”进入内部网络或获得一个普通用户账户后攻击者的目标是获得身份系统的管理权限。侦察与发现查看邮箱规则检查受害用户邮箱是否有设置转发规则以窃取更多通信。搜索敏感信息在邮件、文件共享中搜索包含“密码”、“token”、“apikey”、“.env”等关键词的文件。枚举权限使用PowerShell命令如Get-AzureADUser、Get-AzureADDirectoryRole或Okta API查询当前用户的权限、所属组以及公司内其他高权限账户。权限提升路径从普通用户到本地管理员利用未修复的系统漏洞、弱口令或配置错误在已控制的电脑上提升为本地管理员以便安装更强大的攻击工具。从本地管理员到域管理员/云租户管理员这是关键一跃。Scattered Spider常利用以下方式凭证转储使用工具从内存、本地安全机构子系统服务进程或备份中提取其他用户的哈希或明文密码。如果抓到某个有特殊权限的服务账户或高管的密码就可能实现飞跃。Kerberoasting在混合AD环境中攻击者可以请求针对特定服务主体名称的服务票据然后离线破解从而获取服务账户的密码。滥用云服务配置错误例如发现某个虚拟机被错误地分配了过大的IAM角色如AdministratorAccess攻击者就可以通过该虚拟机元数据服务获取临时管理凭证。社工内部IT人员在获得内部通讯录后攻击者可能伪装成高管直接向IT部门施压要求重置某个管理账户的密码或添加新的管理员。3.4 巩固控制与目标达成成为“影子管理员”获得身份系统管理权限后攻击者不会立即进行破坏而是会小心翼翼地巩固控制确保长期、隐蔽的访问。隐蔽后门创建创建隐藏的管理员账户在Okta或Entra ID中创建一个新的管理员用户并使用不起眼的名称如“svc_backup”将其添加到所有关键管理组。篡改现有高权限账户重置某个不常使用的管理员账户的密码和MFA绑定将其据为己有。配置应用特定密码或API密钥在身份提供商中为关键应用如AWS SSO、GitHub Enterprise生成新的访问密钥这些密钥不受常规用户生命周期管理难以被察觉。清除攻击痕迹删除或修改日志中与自己相关的条目如果可能。清除入侵初期在受害者电脑上部署的恶意软件转而使用完全合法的远程管理工具如AnyDesk、Splashtop进行连接。禁用或调整安全告警策略使自己的活动不会触发警报。最终目标执行完成所有准备工作后攻击者才会执行最终目标这可能包括数据窃取通过接管的管理员身份直接访问公司核心数据存储如SharePoint、Salesforce、数据库批量下载数据。勒索软件部署在控制足够多的系统后部署勒索软件加密文件。供应链攻击跳板以当前被攻陷的公司为跳板利用其与其他公司的信任关系如共享的IdP、业务集成攻击其合作伙伴或客户。4. 防御体系构建从被动响应到主动免疫面对如此狡猾和执着的攻击者传统的基于边界的防御已经失效。我们需要构建一个以身份为中心、零信任理念贯穿的主动防御体系。4.1 强化身份基础设施的“免疫系统”身份提供商本身必须被严密防护这就像保护城堡的指挥中心。1. 特权账户管理PAM的极致化即时权限JIT管理员权限不应是永久性的。采用即时权限提升方案管理员需要访问时需经过审批流程临时获得权限且操作被全程监控任务完成后权限自动收回。特权访问工作站PAW要求所有管理员使用专用的、高度安全加固的工作站来执行管理任务这台机器不能用于日常办公、浏览网页或查看邮件从根本上隔离社工风险。多因素认证的强化对所有管理员账户强制使用基于FIDO2/WebAuthn的安全密钥如YubiKey作为唯一的MFA方式。这能有效防御钓鱼、MFA疲劳和SIM卡劫持因为物理密钥无法被远程复制或窃取。2. 全面的日志记录与监控集中化日志聚合将身份提供商Okta、Entra ID、端点检测与响应、云活动日志、邮件网关日志等全部接入安全信息与事件管理或扩展检测与响应平台。编写高保真检测规则不要只关注“登录失败”。更应关注异常行为序列例如“一个用户账户在短时间内从多个不同国家/地区的IP登录。”“一个普通用户账户首次尝试访问特权角色管理API。”“在非工作时间有管理员账户创建了新的API密钥或修改了SSO集成配置。”“同一个IP地址在短时间内对多个不同用户发起MFA推送请求。”MFA疲劳攻击特征4.2 斩断攻击链的初始环节让攻击者无法轻易获得有效的初始凭据。1. 升级安全意识培训模拟攻击训练定期开展针对性的钓鱼、Vishing模拟演练特别是针对高管和IT部门。让员工亲身体验最新的攻击话术。建立清晰的报告流程鼓励员工报告可疑事件并确保报告渠道简单、便捷且不会因误报而受到指责。营造积极的安全文化。2. 部署先进的邮件与网络安全网关使用能检测新型钓鱼手段如同形异义字攻击、品牌仿冒的解决方案。对出站流量进行监控检测是否有大量数据被异常传输到外部地址。3. 强化端点安全部署具有行为检测能力的端点检测与响应能够识别凭证转储、横向移动工具如PsExec、WMI的恶意使用等LotL行为。严格限制普通用户的本地管理员权限实施应用程序白名单策略。4.3 构建基于行为的动态访问控制假设入侵已经发生重点在于限制攻击者的移动和破坏能力。1. 实施零信任网络访问摒弃传统的VPN采用ZTNA。用户和设备在访问每一个应用前都需要进行严格的上下文验证身份、设备健康状态、地理位置、行为基线等而不是进入内网后就畅通无阻。2. 动态风险评估与策略执行集成UEBA解决方案为每个用户和设备建立行为基线。当检测到异常行为如突然访问从未用过的敏感应用、在非典型时间登录时动态提升认证要求例如要求进行第二次生物识别验证甚至直接阻断会话。实施基于条件的访问策略例如“仅当从合规的设备、在办公时间、从公司网络IP范围登录时才允许访问财务系统。”3. 定期进行攻击模拟与红队演练不要只依赖自动扫描工具。聘请专业的红队或建立内部红队定期以Scattered Spider的战术、技术和程序为蓝本进行真实的模拟攻击。这是检验防御体系是否有效的唯一可靠方法。演练后必须进行深度复盘修复每一个被利用的缺口。5. 事件响应与取证要点当警报响起怀疑遭到此类攻击时必须迅速、有序地响应。第一阶段遏制与驱逐隔离受影响账户立即在身份提供商中禁用被确认入侵的账户以及任何可疑的新建管理员账户。重置凭证强制重置相关管理员账户的密码并解除其所有的MFA绑定和会话令牌。范围应适当扩大包括可能被横向波及的账户。撤销令牌与密钥在身份提供商和所有集成的云服务中撤销近期生成的所有OAuth令牌、API密钥、服务主体凭证。隔离受影响系统将已被确认植入恶意软件或存在异常活动的终端、服务器从网络中断开。第二阶段调查与根除时间线梳理以第一个被入侵的账户为起点在身份日志、终端日志、网络流日志中梳理出完整的攻击路径。回答关键问题他们如何进来去了哪里拿了什么攻击工具分析从被入侵主机中提取攻击者使用的脚本、可执行文件进行沙箱分析和逆向工程了解其功能是凭证窃取、横向移动还是后门。持久化机制排查仔细检查身份提供商中的配置隐藏用户、异常API密钥、域控制器上的组策略、云环境中的IAM角色、所有系统的计划任务和启动项彻底清除攻击者留下的后门。第三阶段恢复与改进凭证全面重置在确认攻击路径已被切断后考虑对高危部门或全体员工的密码进行强制重置并重新绑定MFA。从镜像恢复系统对于已被深度篡改或无法确保干净的系统应从干净的备份镜像进行恢复。复盘与加固召开事后分析会议根本原因不应归咎于“某个员工点击了链接”而应聚焦于“为什么我们的防御体系未能检测或阻止这一连串的行为” 根据复盘结果更新安全策略、优化检测规则、加强控制措施。面对Scattered Spider这类专注于“人类层”和“身份层”的高级攻击者防守方必须转变思维。安全建设不能停留在购买一堆孤立的防护产品上而需要构建一个以身份为核心、能持续进行风险度量和动态适应的有机体系。真正的安全始于对“人”和“身份”的深刻理解与敬畏。