网络攻击者不断改进其规避方法。这使得包括网络钓鱼在内的威胁越来越难以检测和调查。
像 Tycoon 2FA 这样的工具包不断更新迭代,不断添加新的攻击技巧。它们突破防御,入侵企业,展现出对现代网络威胁的强大适应能力。
让我们使用ANY.RUN 交互式沙盒来回顾一下 Tycoon 2FA 的三种关键规避技术。
技术#1:使用不同的CAPTCHA(reCAPTCHA,IconCaptcha等)
Tycoon 2FA 不会针对每个威胁使用单一的 CAPTCHA 系统,而是循环使用不同的提供商,例如reCAPTCHA、IconCaptcha 和自定义 CAPTCHA。
这种轮换对基于签名的检测系统和机器人驱动的分析工具提出了挑战。它们无法始终如一地绕过这种规避技术。
例如,在以下 Tycoon 2FA 分析会话中,以前使用的自定义 CAPTCHA 被 reCAPTCHA 替换:
Tycoon 2FA 中使用的 reCAPTCHA,如 ANY.RUN 沙盒中所示
其他提供商,例如 IconCaptcha,也早已被发现(例如,在2025 年 4 月 7 日的提交中)。
技术#2:浏览器指纹识别
利用这种技术,Tycoon 2FA 网络钓鱼工具包可以区分真实用户和环境以进行分析。
指纹识别代表收集用户系统的详细信息,例如屏幕参数、时区、浏览器详细信息等。
根据这些数据,威胁可以决定是继续发送钓鱼内容,还是将用户重定向到合法页面。这可以解除基于沙盒的防御机制,从而显著降低检测风险。
在以下情况下,打开钓鱼链接将转到一个请求图像元素的页面,并在发生错误时执行Base64编码的脚本:
图像元素中存在可疑的 onerror 处理程序
如果我们使用 CyberChef 解码该脚本,就会发现它的目的是收集:
- 浏览器数据,例如屏幕参数、浏览器/平台名称、URL、主机、协议、控制台属性和文档正文。
- 有关时区、JavaScript 运行时内部、iframe 检查和图形界面属性的信息。
- 其他技术信息。
用于收集浏览器属性的代码
然后将收集的 JSON 数据插入到不可见的表单中,并通过 POST 请求发送到攻击者的服务器。
服务器分析指纹数据并返回带有 Location 标头的响应。根据收到的数据的具体情况,可能有两种结果:
- 重定向到合法页面:如果收集到的信息表明某些东西不对劲,例如,有沙盒的迹象,用户将被重定向到合法网站,如阿联酋航空、特斯拉或 SpaceX 网站。
- 重定向到网络钓鱼页面:否则,如果环境看起来是真实的,则用户将被重定向到 Tycoon 2FA 第 1 阶段网络钓鱼页面。
技术#3:通过加密进行混淆
虽然 Tycoon2FA 的早期版本依赖于 Base64 或 XOR 等更简单的混淆技术,但较新的样本则采用AES 加密技术进行有效载荷混淆。这大大增加了检测难度。
静态分析变得更加困难,尤其是当代码中嵌入硬编码密钥和初始化向量(IV)时。
在这个样本中,我们可以观察到Tycoon2FA使用AES加密来混淆payload,而不仅仅是在执行的最后阶段上传/下载被盗数据和服务数据:
通过代码加密进行混淆
尽管执行链与之前已知的类似,但 AES 级别的混淆需要付出更多的努力进行逆向工程和检测。
关于新型恶意软件策略的现场网络研讨会
在 ANY.RUN 的网络研讨会上了解有关最新、最相关的 TTP 的更多信息,并了解如何有效地检测它们。
欢迎于格林威治标准时间 9 月 17 日星期三下午 3:00 加入我们。
结论:利用 ANY.RUN 破解逃避攻击策略
这些规避技术只是威胁行为者不断演变的TTP(威胁技术步骤)中的一小部分。事实证明,过于依赖自动化和基于签名的分析的传统解决方案对这些技术手段无效。
通过深入的行为、交互式而非自动化分析,您可以获得更佳结果。这正是 ANY.RUN 通过其沙盒提供的:
- 实时交互:通过观察和调查恶意软件的实际行为,从其核心分析恶意软件。
- 快速结果:启动后 40 秒内即可查看判决结果并识别恶意软件家族,从而将分析时间缩短至几分钟。
- 详细行为分析:清晰了解现代威胁策略、技术和程序,以便进行彻底调查。
- 高效自动化:利用自动交互功能免提引爆威胁,并通过自动执行耗时的日常任务来减少您的工作量。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
