Multi-Stage cyber napadi, koje okarakterisati složeni lanci izvršenja, dizajnirani su da izbjegnu otkrivanje i prevare žrtve u lažni osjećaj sigurnosti. Poznavanje načina na koji djeluju je prvi korak ka izgradnji čvrste odbrambene strategije protiv njih. Hajde da ispitamo primjere iz stvarnog svijeta nekih od najčešćih scenarija napada u više faza koji su trenutno aktivni.
URL-ovi i drugi ugrađeni sadržaj u dokumentima
Napadači često skrivaju maliciozne veze unutar naizgled legitimnih dokumenata, kao što su PDF ili Word datoteke. Nakon otvaranja dokumenta i klika na ugrađenu vezu, korisnici se usmjeravaju na malicioznu web stranicu. Ove stranice često koriste pogrešno taktike kako bi natjerale žrtvu da preuzme maliciozni softver na svoje računar ili podijeli svoje lozinke.
Još jedna popularna vrsta ugrađenog sadržaja su QR kodovi. Napadači prikrivaju maliciozni URL-ove unutar QR kodova i ubacuju ih u dokumente. Ova strategija prisiljava korisnike da se okrenu svojim mobilnim uređajima kako bi skenirali kod, koji ih zatim usmjerava na phishing stranice. Ove stranice obično traže krendicijale za prijavu, koje napadači odmah ukradu po ulasku.
Primjer: PDF datoteka sa QR kodom
Da pokažemo kako se odvija tipičan napad, koristimo ANY.RUN Sandbox , koji nudi sigurno virtuelno okruženje za proučavanje malicioznih datoteka i URL-ova. Zahvaljujući svojoj interaktivnosti, ova usluga zasnovana na cloud-u omogućava nam da komuniciramo sa sistemom baš kao na standardnom računaru.
Da bismo pojednostavili našu analizu, omogućit ćemo automatsku interaktivnost koja može izvršiti sve korisničke radnje potrebne za automatsko pokretanje napada ili izvršenja uzorka.
Phishing PDF sa maliciozni QR kodom otvoren je u zaštićenom okruženju ANY.RUN
Razmislite o ovoj sesiji sandbox-a , koja sadrži malicioznu .pdf datoteku koja sadrži QR kod. Kada je automatizacija uključena, servis izdvaja URL unutar koda i sam ga otvara u pretraživaču.
Posljednja stranica za krađu identiteta na kojoj se žrtvama nudi da podijele svoje krendicijale
Nakon nekoliko preusmjeravanja, napad nas vodi na konačnu phishing stranicu dizajniranu da oponaša Microsoftovu stranicu. Kontrolišu ga hakeri i konfigurisan je da ukrade korisničke podatke za prijavu i lozinku, čim se unesu.
Suricata IDS pravilo je identifikovalo lanac phishing domena tokom analize
Sandbox omogućava posmatranje svih mrežnih aktivnosti koje se dešavaju tokom napada i pregled aktiviranih Suricata IDS pravila
Nakon završetka analize, ANY.RUN sandbox daje konačnu presudu o “malicioznoj aktivnosti” i generiše izvještaj o prijetnji koji takođe uključuje listu IOC-a.
Multi-Stage preusmjeravanja
Multi-Stage preusmjeravanja uključuju niz URL-ova koji pokreću korisnike kroz više lokacija, što u konačnici vodi do maliciozne destinacije. Napadači često koriste pouzdane domene, kao što su Google ili popularne platforme društvenih medija kao što je TikTok, kako bi preusmjeravanja izgledala legitimno. Ova metoda komplikuje detekciju konačnog malicioznog URL-a sigurnosnim alatima.
Neke faze preusmjeravanja mogu uključivati izazove CAPTCHA kako bi se spriječilo da automatska rješenja i filteri pristupe malicioznom sadržaju. Napadači mogu takođe uključiti skripte koje provjeravaju IP adresu korisnika. Ako se otkrije adresa bazirana na hostingu, koju obično koriste sigurnosna rješenja, lanac napada se prekida i korisnik se preusmjerava na legitimnu web stranicu, sprečavajući pristup stranici za krađu identiteta.
Primjer: Lanac veza koji vodi do stranice za krađu identiteta
Ovo je sandbox sesija koja prikazuje cijeli lanac napada počevši od naizgled legitimne TikTok veze.
TikTok URL koji sadrži preusmjeravanje na Google domenu
Ipak, detaljniji pogled otkriva kako puni URL uključuje preusmjeravanje na legitimnu google domenu.
ANY.RUN automatski rješava CAPTCHA i prelazi na sljedeću fazu napada
Odatle napad prelazi na drugu stranicu s preusmjeravanjem, a zatim na završnu phishing stranicu, koja je, međutim, zaštićena CAPTCHA izazovom.
Lažna Outlook stranica namijenjena krađi korisničkih podataka
Zahvaljujući naprednoj analizi sadržaja, sandbox automatski rešava ovu CAPTCHA, omogućavajući nam da posmatramo lažnu stranicu dizajniranu da ukrade akreditive žrtve.
Email Attachments
Prilozi e-pošte i dalje su preovlađujući vektor za napade u više faza. U prošlosti su napadači često slali e-poruke s Office dokumentima koji su sadržavali maliciozne makronaredbe.
Trenutno se fokus pomjerio na arhive koje uključuju korisne podatke i skripte. Arhive pružaju jednostavan i efikasan metod za hakeri da sakriju maliciozne izvršne datoteke od sigurnosnih mehanizama i povećaju pouzdanost datoteka.
Primjer: prilog e-pošte sa maliciozni softverom Formbook
U ovoj sesiji zaštićenog okruženja možemo vidjeti phishing email koji sadrži .zip prilog. Usluga automatski otvara arhivu u kojoj se nalazi nekoliko datoteka.
Phishing email sa arhivom
Sa Smart Content Analysis, usluga identifikuje glavni korisni teret i pokreće ga, što pokreće lanac izvršenja i omogućava nam da vidimo kako se malver ponaša na živom sistemu.
Suricata IDS pravilo koje se koristi za otkrivanje FormBook-ove veze sa C2
Sandbox detektuje FormBook i beleži sve njegove mrežne i sistemske aktivnosti, kao i pruža detaljan izveštaj o pretnjama.
Nabavite svoju ponudu za Black Friday od ANY.RUN
Analizirajte sumnjive e-poruke, datoteke i URL-ove u ANY.RUN sandbox-u kako biste brzo identificirali cyber napade. Uz automatsku interaktivnost, usluga može samostalno izvršiti sve potrebne korake analize, štedeći vam vrijeme i pružajući vam samo najvažnije uvide u prijetnju koja je pri ruci.
Ponuda za Crni petak sa ANY.RUN-a
ANY.RUN trenutno nudi ponude za Crni petak. Nabavite svoje do 8. decembra:
- Za pojedinačne korisnike: 2 licence po cijeni 1.
- Za timove: do 3 licence + godišnji osnovni plan za pretraživanje podataka o prijetnjama, pretraživa baza podataka o najnovijim prijetnjama ANY.RUN;
Zaključak
Multi-Stage napadi su značajna prijetnja kako organizacijama tako i pojedincima. Neki od najčešćih scenarija napada uključuju URL-ove i ugrađivanje u dokumente, QR kodove, multi-stage preusmjeravanja, priloge e-pošte i arhivirane korisne podatke. Analizirajući ih pomoću alata kao što je ANY.RUN Interactive sandbox, možemo bolje braniti našu infrastrukturu.
Izvor:The Hacker News
