Phishing kompleti se brzo razvijaju. Akteri prijetnji koji stoje iza ovakvih alata, kao što su Tycoon2FA, EvilProxy i Sneaky2FA, postaju sve vještiji. Oni postavljaju infrastrukturu koja zaobilazi dvofaktorsku autentifikaciju (2FA) i oponaša povjerljive platforme poput Microsoft 365 i Cloudflare, a sve s ciljem krađe korisničkih vjerodajnica bez izazivanja sumnje.
Međutim, ako ste dio tima za praćenje sigurnosti (SOC) ili analizu prijetnji, ne morate samo čekati na upozorenja. Postoji brži i proaktivniji način da se otkriju i blokiraju ove napade prije nego što prođu neopaženo.
Najbrži način za otkrivanje novih phishing kampanja
Rješenja poput Threat Intelligence Lookup pružaju vam trenutni pristup ogromnoj bazi pokazatelja, uključujući datoteke, URL-ove, domene i ponašanja. Ovi podaci potiču iz analize uzoraka zlonamjernog softvera i phishinga u realnom vremenu, koju obavljaju analitičari u 15.000 kompanija širom svijeta unutar ANY.RUN-ove interaktivne sandbox okoline. Možete pretraživati svježe pokazatelje kompromitacije (IOC), ponašanja (IOB) i načine napada (IOA), pratiti aktivnosti kampanja, izdvajati artefakte i direktno ih unositi u svoj sistem detekcije.
Pogledajmo kako to funkcioniše u praksi:
Tycoon2FA: Pronađite aktivne phishing kampanje u upotrebi
Pretpostavimo da želite pratiti stvarne sandbox sesije koje uključuju Tycoon2FA, phishing komplet dizajniran za krađu vjerodajnica za Microsoft i zaobilaženje dvofaktorske autentifikacije. Posebno nas zanima kako cilja korisnike u Njemačkoj. Evo brze pretrage koju možemo pokrenuti u Threat Intelligence Lookup:
Postavite period pretrage na posljednja 3 dana. Taj filter ćete pronaći odmah pored dugmeta za pretragu.
U roku od nekoliko sekundi, Lookup prikazuje sandbox sesije u kojima su korisnici u Njemačkoj analizirali uzorke Tycoon2FA. Možete istražiti ove analize kako biste uočili cijeli tok napada. Ispod je snimak jednog od pronađenih rezultata:
Ovakva vidljivost pomaže analitičarima da brže i sa više samopouzdanja reaguju, koristeći stvarne podatke o napadima, a ne samo generičke potpise prijetnji. Također možete preuzeti JSON datoteku sa svim linkovima sesija, ekstrahiranim URL-ovima i hešovima datoteka. To je jednostavan način za prikupljanje operativnih pokazatelja i obogaćivanje vaših pravila detekcije ili blok lista prije nego što ove prijetnje uopće stignu u vaše okruženje.
EvilProxy: Otkrijte zlonamjerne domene u sekundama
EvilProxy je poznat po zloupotrebi legitimnih usluga u oblaku za hostovanje phishing infrastrukture, što njegove kampanje čini težim za otkrivanje tradicionalnim metodama. Jedna uobičajena taktika uključuje korištenje Cloudflare Workers za kreiranje velikog broja poddomena. Da biste pratili ove kampanje, pokrenite sljedeći upit u Threat Intelligence Lookup:
Ovaj upit cilja na poznati obrazac u EvilProxy kampanjama – zloupotrebu .workers.dev za hostovanje phishing stranica. Nakon pokretanja pretrage, idite na karticu “Domains” kako biste vidjeli listu domena izdvojenih iz sandbox sesija. Mnogi od njih su direktno povezani sa EvilProxy uzorcima.
Imati pristup ažurnim pokazateljima infrastrukture poput ovih pomaže vašem timu da blokira prijetnje ranije, precizira pravila detekcije i smanji vrijeme ručne analize, pogotovo kada se ti domeni već koriste u aktivnim napadima.
Sneaky2FA: Uhvatite ponovo korištene elemente u kampanjama
Iako napadači stalno mijenjaju domene, IP adrese i nazive datoteka kako bi izbjegli detekciju, neki artefakti imaju tendenciju da ostanu isti u kampanjama koje uključuju phishing komplete. To može uključivati elemente poput favicon ikona, predložaka stranica za prijavu, isječaka JavaScript koda ili brendiranih elemenata poput logotipa. To je zato što se resursi koje pružaju phishing kompleti često ponovo koriste ili samo blago prilagođavaju između kampanja. Ponavno kreiranje cijelog kompleta zahtijeva vrijeme, pa akteri prijetnji često kopiraju i lijepe elemente sa jedne mete na drugu. Ova dosljednost pruža braniocima mali, ali ključni prozor mogućnosti. Na primjer, Sneaky2FA redovno koristi lažirane stranice za prijavu na Microsoft 365, a jedan od resursa koji često uključuje je isti Microsoftov logotip. Pretraživanjem SHA-256 heša tog logotipa u Threat Intelligence Lookup, možete otkriti nove phishing uzorke povezane s ovim kompletom:
Čak i ako napadač rotira domen ili obmanjuje dijelove stranice, statički artefakti poput ovog logotipa često ostaju nepromijenjeni. To ih čini vrijednim pokazateljima za identifikaciju tekućih kampanja koje bi inače mogle proći neopaženo kroz tradicionalnu mrežnu detekciju. Ovakav pristup vam pomaže da uhvatite phishing aktivnosti koje su “obućene” da izgledaju novo, ali su zapravo isti komplet ispod. To je jednostavan način da ostanete korak ispred napadača koji ponovo koriste ono što im je uspjelo.
Ojačajte detekciju sa stvarnim uvidi o phishing napadima
Phishing kompleti poput Tycoon2FA, EvilProxy i Sneaky2FA brzo evoluiraju, ali njihovi tragovi su vidljivi ako znate gdje da tražite. Uz ANY.RUN-ov Threat Intelligence Lookup, vaš tim može preći sa reaktivnog na proaktivni pristup: otkrivajući nove pokazatelje, prateći infrastrukturu napadača i identifikujući ponovo korištene elemente prije nego što stignu u vaše okruženje.
* Ranija detekcija prijetnji i brže suzbijanje smanjuju rizik od proboja i ograničavaju potencijalnu štetu.
* Snažnija zaštita zasnovana na stvarnim podacima poboljšava cjelokupnu sigurnosnu poziciju u organizaciji.
* Brže vrijeme reakcije pomaže u minimiziranju operativnih prekida i smanjenju troškova upravljanja incidentima.
* Viša tačnost detekcije smanjuje propuštene prijetnje i poboljšava efikasnost SOC-a.
Nabavite 50 probnih zahtjeva u TI Lookup i pretvorite raspršene pokazatelje u operativne uvide!
