關閉選單
  1. Home
  2. NEWS最新消息
  3. 風險與威脅
顯示分類
2026.05.25
風險與威脅/資訊安全
瀏覽器和身分攻擊矩陣

是一系列按戰術階段組織的攻擊技術。其靈感源自 MITRE ATT&CK 框架,並針對雲端優先環境進行了調整,此類攻擊無需網路存取或終端入侵——閱讀發佈公告以了解完整背景資訊。

  1. 矩陣與資料分類架構 (The Matrix Structure)

本攻擊矩陣仿照 MITRE ATT&CK 的階段性思維(戰術階段),將攻擊手法歸納為 10 個核心分類(戰術)。以下透過戰術矩陣表,將各個分類、技術代號(SAT ID)與其代表性的攻擊路徑進行對照:

  1. 核心分類的「威脅說明」與實務情境

以下針對矩陣中最重要的攻擊生命週期階段,補充詳細的威脅情境說明:

  • 偵察 (Reconnaissance)

―          威脅說明:攻擊者在未取得權限前,利用 SaaS 平台或 IdP(身分提供商)的公開機制,收集企業內部的資產與使用者情報。

―          技術實例(SAT1006 - 應用程式目錄查找):許多 SaaS 工具(如 Slack、Teams 或公共專案管理工具)預設允許任何加入的使用者查看整家企業的人員名單。攻擊者藉此下載完整的員工電子郵件清單,作為後續精準釣魚的靶子。

  • 初始存取 (Initial Access)

―          威脅說明:繞過企業傳統的外圍防火牆與 EDR,直接透過瀏覽器管道或合法 SaaS 授權機制進入企業環境。

―          技術實例(SAT1020 - 應用程式內釣魚 / In-app Phishing):攻擊者不發送傳統的釣魚郵件,而是直接在企業已信任的 SaaS 軟體(如 GitHub 協作邀請、Google Doc 共同編輯或 Jira 系統單據)中植入惡意連結。因為通知來自「合法 SaaS 官方域名」,使用者極易放鬆戒備。

  • 持久控制 (Persistence)

―          威脅說明:即使企業事後重設了使用者的密碼或強制登出登入階段(Session),攻擊者仍能透過 SaaS 原生功能,悄悄維持長期存取權限。

―          技術實例(SAT1023 - 惡意郵件規則 / SAT1027 - OAuth 權杖):攻擊者在入侵信箱後建立一條隱藏規則:「將所有包含『發票』、『密碼』的郵件自動轉寄到外部信箱」。或者,引導用戶授權一個第三方 OAuth App,只要該 App 具備重新整理權杖(Refresh Token)的能力,攻擊者就能無限期存取資料,修改密碼也無法阻斷。

  • 防禦規避 (Defense Evasion)

―          威脅說明:攻擊者利用現代瀏覽器特性或「中間人(AiTM)」架構,讓安全團隊的日誌(Logs)看起來完全正常,甚至避開多因素驗證(MFA)的偵測。

―          技術實例(SAT1009 - 用戶端應用程式偽裝):隨著 2025~2026 年廣為流行的「ClickFix」或「Matrix Push C2(瀏覽器惡意推播通知)」手法,攻擊者利用瀏覽器內建的 Web Push 機制,發出長得跟作業系統(OS)一模一樣的錯誤彈窗,誘導使用者點擊,繞過端點防禦。

  • 橫向移動 (Lateral Movement)

―          威脅說明:當攻擊者掌控了某一個低權限的 SaaS 帳號後,不透過網路滲透,而是利用 SaaS 彼此之間的「系統集成(Integration)」或「API 串接」擴大戰果。

―          技術實例(SAT1036 - 系統集成濫用):攻擊者控制了企業的 HR 系統或客服系統帳號後,利用該系統與企業核心身分中心(如 Okta、Microsoft Entra ID)的自動同步機制(Inbound Federation),向上篡改更高權限帳號的屬性,或假冒供應商身分滲透其他互信的雲端租戶。

  1. 報告總結與防禦建議 (Defensive Summary)

這份「瀏覽器與身分攻擊矩陣」揭示了一個殘酷的現實:現代攻擊者不需要突破你的電腦作業系統(Endpoint),他們只需要突破你的瀏覽器分頁。企業防禦應變矩陣策略:

  • 實施「零信任」行為基線:不能僅靠一次性的登入(身分驗證)來確認安全。必須像矩陣所提示的,持續監控設備的行爲(例如:一個平常只讀取數據的帳號,突然大量列舉 OAuth Token,應立刻觸發防禦機制)。
  • 收緊第三方 OAuth 與 SaaS 集成審查:影子工作流(Shadow Workflows)與惡意 OAuth 授權是持久控制的主要溫床,企業必須對員工自行授權的 App 具備完全的可視性。
  • 加強瀏覽器層級的遙測(Telemetry:傳統 EDR 難以有效偵測 SaaS 內釣魚與中間人權杖竊取,企業應考慮在瀏覽器層實施動態威脅阻斷(如保護不當的遠端連線與異常的 Web 規則變更)。
 

資料來源:https://pushsecurity.com/resources/browser-identity-attacks-matrix/?utm_campaign=44159766-FY26_bleeping-computer&utm_source=bleeping-computer&utm_medium=sponsored-content
 

深入了解由 Push Security 啟發自 MITRE ATT&CK 的「瀏覽器與身分攻擊矩陣」(Browser & Identity Attacks Matrix)