钓鱼攻击活动越来越难以识别,有时会隐藏在你绝不会怀疑的文件中。 ANY.RUN的网络安全分析师最近发现了这样一个案例:一个伪装成PDF的恶意SVG文件,托管在一个合法域名上,并包含隐藏的重定向链接。到9月中旬,它已演变成一场全面的垃圾邮件浪潮,使用微软主题的诱饵。
让我们来看看它是如何运作的,以及分析师如何在安全的沙盒环境中收集完整的情报链。
近期SVG攻击内幕
以下是一个展示完整行为的沙箱会话。查看实际案例可实时观看重定向和有效载荷提取过程:
查看沙箱会话(SVG攻击)
传递与伪装:该文件看似是PDF附件,实则为SVG(XML)文件。由于SVG支持脚本,攻击者会嵌入动态内容而非静态像素。
显示的虚假提示:在浏览器中打开文件会显示“受保护文档”消息,以通过社会工程学手段诱使用户点击或等待。
脚本执行(XOR解码器): 嵌入的JavaScript运行一个XOR解码程序,该程序重构真实的重定向代码,然后执行它(通过eval)。
你可以在ANY.RUN的静态/十六进制视图中直接看到这一点:解码器变量、十六进制/转义字节(例如‘\x65’、‘\x76’等)以及重建的脚本都在会话中显示。该视图允许分析人员提取解码后的有效负载,并查看SVG运行的确切命令。
分层重定向:解码后的代码会让浏览器经过多个中间域名,从而混淆踪迹。在此链条中观察到的例子包括:
- 登录micro s ft 365[.]电源应用门户[.]com
- loginmicr0sft0nlineofy[.]52632651246148569845521065[.]cc
最终钓鱼页面:用户会进入一个带有微软品牌标识的凭证页面,该页面甚至使用了Cloudflare Turnstile小部件,使其看起来合法并能绕过粗略检查。借助ANY.RUN的自动交互功能,这些验证会被自动处理,因此分析师无需浪费时间手动点击操作。
凭证收集与持久化:输入的凭证会被捕获并转发至攻击者控制的、为规模化而构建的基础设施(类似凭证即服务),从而实现大规模窃取。
沙箱所揭示的内容:交互式会话会显示每一次重定向和HTTP事务,以十六进制/文本形式呈现解码后的JavaScript,并捕获运行时工件。
可导出的IOC和报告可以直接与安全信息和事件管理(SIEM)、端点检测与响应(EDR)以及威胁情报平台集成,因此分析人员可以在他们已在使用的工具中获取数据,从而节省时间并减少额外步骤。
沙箱优势:快速检测新型攻击
如你所见,交互式沙箱在发现新型和规避性攻击方面特别有价值。它们不会等待静态特征码或延迟的警报,而是在真实环境中运行文件,并实时呈现恶意行为。
借助ANY.RUN,分析人员可以:
- 60秒内获取恶意判定结果:88%的威胁都能以这样的速度被检测到。
- 立即揭示完整攻击链:毫无猜测地绘制出每一次重定向、脚本和有效载荷。
- 加快分类和响应速度:团队报告称分类速度提升高达94%,安全运营中心(SOC)性能提升3倍。
- 将发现转化为行动:直接将IOC和TTP导出至SIEM、EDR或TI平台,以立即更新检测内容并启动排查。
通过将数小时的手动工作转变为几分钟的自动化可见性,沙箱为分析师提供了领先于新型攻击技术所需的速度、清晰度和背景信息。
来看看借助ANY.RUN的沙箱,你能以多快的速度捕获新攻击。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
