Phishing kompleti se brzo razvijaju. Zlonamjerni akteri koji stoje iza ovakvih alata poput Tycoon2FA, EvilProxy i Sneaky2FA postaju sve lukaviji, postavljajući infrastrukturu koja zaobilazi dvofaktorsku autentifikaciju (2FA) i oponaša povjerljive platforme kao što su Microsoft 365 i Cloudflare, kako bi ukrali korisničke akreditive bez podizanja uzbune.
Međutim, ako ste dio Security Operations Centra (SOC) ili tima za analizu prijetnji, ne morate samo čekati da stignu upozorenja. Postoji brži i proaktivniji način da se otkriju i blokiraju ovakvi napadi prije nego što prođu neopaženo.
Najbrži način za otkrivanje novih phishing kampanja
Rješenja poput Threat Intelligence Lookup pružaju vam trenutni pristup ogromnom skupu pokazatelja, kao što su datoteke, URL-ovi, domeni i ponašanja, ekstrahovani iz analiza malvera i phishing uzoraka uživo koje provode analitičari iz 15.000 kompanija širom svijeta unutar ANY.RUN-ove interaktivne pješčane kutije (sandbox). Možete pretraživati svježe indikatore kompromitisa (IOC), indikatore ponašanja (IOB) i indikatore napada (IOA), pratiti aktivnost kampanja, ekstrahirati artefakte i direktno ih unositi u svoj sustav detekcije.
Pogledajmo kako to funkcionira u praksi:
Tycoon2FA: Pronađite aktivne phishing kampanje u divljini
Recimo da želite pratiti stvarne sandbox sesije koje uključuju Tycoon2FA; phishing komplet dizajniran za krađu Microsoft akreditiva i zaobilaženje dvofaktorske autentifikacije. Posebno nas zanima kako cilja korisnike u Njemačkoj. Evo brzog upita koji možemo pokrenuti u Threat Intelligence Lookup:
threatName:”tycoon” AND submissionCountry:”de”
Postavimo period pretrage na protekla 3 dana (taj filter ćete pronaći odmah pored dugmeta za pretragu). U roku od nekoliko sekundi, Lookup vraća sandbox sesije u kojima su Tycoon2FA uzorci analizirani od strane korisnika u Njemačkoj. Možete istražiti ove analize da biste promatrali cijeli napad. Ispod je snimak zaslona jedne od pronađenih sesija u rezultatima:
Pogledajte Tycoon2FA sandbox sesiju
Ova vrsta vidljivosti pomaže analitičarima da brže i s više samopouzdanja reaguju, koristeći stvarne podatke o napadima, a ne samo generičke potpise prijetnji. Također možete preuzeti JSON datoteku sa svim linkovima sesija, ekstrahovanim URL-ovima i hash vrijednostima datoteka. To je jednostavan način prikupljanja upotrebljivih pokazatelja i obogaćivanja vaših pravila detekcije ili lista blokiranih entiteta prije nego što ove prijetnje uopće stignu u vaše okruženje.
Dajte svom timu obavještajne podatke koji su im potrebni da uhvate prijetnje prije nego što postanu incidenti -> Nabavite 50 probnih zahtjeva u TI Lookup
EvilProxy: Otkrijte zlonamjerne domene u sekundama
EvilProxy je poznat po zloupotrebi legitimnih cloud usluga za hostovanje phishing infrastrukture, čineći svoje kampanje težim za uočavanje tradicionalnim metodama detekcije. Jedna uobičajena taktika uključuje korištenje Cloudflare Workers za kreiranje velikog broja poddomena. Za praćenje ovih kampanja, pokrenite sljedeći upit u Threat Intelligence Lookup:
domainName:”.workers.dev” AND threatLevel:”malicious”
Ovaj upit cilja poznati obrazac u EvilProxy kampanjama; zloupotrebu .workers.dev za hostovanje phishing stranica. Nakon pokretanja pretrage, idite na karticu Domene da biste vidjeli listu domena ekstrahovanih iz sandbox sesija. Mnogi od njih su direktno povezani sa EvilProxy uzorcima.
TI Lookup kartica Domene koja prikazuje ekstrahovane podatke iz relevantnih sandbox sesija.
Pristup ažuriranim pokazateljima infrastrukture poput ovih pomaže vašem timu da blokira prijetnje ranije, poboljša pravila detekcije i smanji vrijeme ručne analize, posebno kada se ti domeni već koriste u aktivnim napadima.
Sneaky2FA: Uhvatite ponovo korištene elemente u kampanjama
Dok napadači stalno mijenjaju domene, IP adrese i nazive datoteka kako bi izbjegli detekciju, neki artefakti imaju tendenciju da ostanu isti u kampanjama koje uključuju phishing komplete. To može uključivati stvari poput ikona (favicon), predložaka stranica za prijavu, JavaScript isječaka ili brendiranih elemenata poput logotipa. To je zato što se elementi koje pružaju phishing kompleti često ponovo koriste ili samo lagano prilagođavaju između kampanja. Ponovno kreiranje cijelog kompleta oduzima vrijeme, tako da akteri prijetnji često kopiraju i lijepe elemente iz jedne mete u drugu. Ova dosljednost daje braniocima mali, ali kritičan prozor mogućnosti. Na primjer, Sneaky2FA redovno koristi lažirane stranice za prijavu na Microsoft 365, a jedan od elemenata koji često uključuje je isti Microsoftov logotip. Pretraživanjem SHA-256 hasha tog logotipa u Threat Intelligence Lookup, možete otkriti nove phishing uzorke povezane s ovim kompletom:
sha256:”5d91563b6acd54468ae282083cf9ee3d2c9b2daa45a8de9cb661c2195b9f6cbf”
Čak i ako napadač rotira domen ili obskurira dijelove stranice, statički artefakti poput ovog logotipa često ostaju netaknuti. To ih čini vrijednim pokazateljima za identifikaciju tekućih kampanja koje bi inače mogle proći neopaženo kroz tradicionalnu mrežnu detekciju.
TI Lookup rezultati koji prikazuju sandbox sesije povezane s ponovno korištenim Microsoft 365 logotipom.
Ovaj pristup vam pomaže da uhvatite phishing aktivnosti koje su “obuvene” da izgledaju novo, ali su zapravo isti komplet ispod. To je jednostavan način da ostanete jedan korak ispred napadača koji ponovo koriste ono što im radi.
Ojačajte detekciju sa stvarnom phishing obavještajnom informacijom
Phishing kompleti poput Tycoon2FA, EvilProxy i Sneaky2FA brzo se razvijaju, ali njihovi tragovi su vidljivi ako znate gdje da tražite. Uz ANY.RUN-ov Threat Intelligence Lookup, vaš tim može preći iz reaktivnog u proaktivni način rada: otkrivajući svježe pokazatelje, prateći infrastrukturu napadača i identificirajući ponovo korištene elemente prije nego što stignu u vaše okruženje.
* Ranija detekcija prijetnji i brže zadržavanje smanjuju rizik od proboja i ograničavaju potencijalnu štetu.
* Snažnija zaštita zasnovana na podacima iz stvarnog svijeta poboljšava ukupno sigurnosno držanje u cijeloj organizaciji.
* Brže vrijeme reakcije pomaže u minimiziranju operativnih prekida i smanjenju troškova upravljanja incidentima.
* Viša točnost detekcije smanjuje propuštene prijetnje i poboljšava učinkovitost SOC-a.
Nabavite 50 probnih zahtjeva u TI Lookup i pretvorite raspršene pokazatelje u upotrebljive obavještajne podatke!
