Các cuộc tấn công phishing ngày càng trở nên phức tạp hơn trong những năm gần đây. Kẻ tấn công không còn dựa vào các trang tĩnh đơn giản để đánh cắp thông tin đăng nhập. Thay vào đó, chúng xây dựng chuỗi chuyển hướng nhiều lớp, thực thi các tập lệnh động và tải nội dung theo từng giai đoạn, khiến các nhóm bảo mật khó theo dõi trải nghiệm của nạn nhân khi nhấp vào một liên kết đáng ngờ. Sự thay đổi này đã vượt xa các công cụ mà hầu hết các tổ chức đang sử dụng.
Tác động đến Trung tâm Điều hành Bảo mật (SOC)
Vấn đề này ảnh hưởng nặng nề nhất đến các nhóm Trung tâm Điều hành Bảo mật (SOC). Khi một URL đáng ngờ được đưa vào hàng đợi, một nhà phân tích thường chạy nó qua nhiều công cụ, theo dõi thủ công các chuyển hướng, thu thập ảnh chụp màn hình và kiểm tra lưu lượng mạng trước khi đưa ra kết luận. Quy trình này có thể mất tới một giờ cho mỗi URL, và ngay cả khi đó, các chi tiết quan trọng vẫn có thể bị bỏ sót.
Các nhà phân tích tại ANY.RUN đã xác định một điểm mù đáng kể trong cách các URL phishing hiện đại được điều tra. Họ nhận thấy rằng hầu hết các quy trình điều tra đều được xây dựng dựa trên phân tích tĩnh, khiến chúng không thể nhận diện các hành vi động đặc trưng cho các chiến dịch phishing hiện tại.
ANY.RUN cho biết trong một báo cáo rằng các chuỗi chuyển hướng, tập lệnh được chèn, hoạt động iframe và tương tác biểu mẫu đều diễn ra bên trong trình duyệt. Hầu hết các công cụ không bao giờ ghi lại bất kỳ điều gì trong số này.
Giới thiệu In-browser Data Inspection
Để giải quyết vấn đề này, nhóm đã giới thiệu một khả năng gọi là in-browser data inspection, mang lại khả năng hiển thị đầy đủ ở cấp độ trình duyệt cho quy trình phân tích URL. Mọi chuyển hướng, mọi việc thực thi tập lệnh, mọi thay đổi DOM và mọi nội dung hiển thị cho người dùng đều được ghi lại theo thời gian thực, trong một giao diện duy nhất.
Điều này loại bỏ nhu cầu chuyển đổi giữa các công cụ hoặc tái tạo hành vi tấn công từ các nguồn dữ liệu rời rạc. Tác động là rất đáng kể. Những gì trước đây cần một giờ làm việc thủ công giờ đây có sẵn trong vài giây, cung cấp cho nhà phân tích mọi thứ họ cần để đưa ra quyết định nhanh chóng và tự tin về việc URL đó độc hại hay an toàn.
Chi tiết về Kỹ thuật In-browser Data Inspection
URL đáng ngờ được tải và thực thi bên trong một môi trường trình duyệt thực tế, không chỉ quét ở bề mặt. Mọi thao tác trình duyệt thực hiện trong quá trình thực thi đó đều được ghi lại và cung cấp trong một giao diện có cấu trúc, dễ điều hướng.
Điều này bao gồm cây thực thi trang đầy đủ, hiển thị mọi chuyển hướng và iframe được kích hoạt từ URL ban đầu đến trang cuối cùng mà nạn nhân có thể đã thấy. Các nhà phân tích có thể khám phá dữ liệu yêu cầu HTTP chi tiết để hiểu cách các chuỗi chuyển hướng được xây dựng và nơi thông tin đăng nhập có thể bị thu thập.
Tab HTML DOM Changes tiết lộ các đoạn mã được chèn sau khi trang tải, đây chính xác là loại nội dung ẩn mà các công cụ phân tích tĩnh bỏ lỡ. Các điểm nổi bật màu sắc và thẻ trong giao diện chỉ trực tiếp đến các trang đã kích hoạt cảnh báo phát hiện, giúp giảm thời gian xem xét thủ công.
Thu thập và Sử dụng Chỉ số Tấn công
Ngoài một URL duy nhất, các chỉ số được thu thập như tên miền, địa chỉ IP và hash tệp được tự động tổng hợp từ trang đã phân tích. Chúng có thể được sử dụng để chuyển sang cơ sở hạ tầng liên quan hoặc xây dựng các quy tắc phát hiện YARA tùy chỉnh.
Theo báo cáo, một quy tắc YARA duy nhất được xây dựng từ một ảnh chụp nhanh trang phishing đã xác định 14 mẫu liên quan bên trong cơ sở dữ liệu tình báo mối đe dọa. Điều này minh họa hiệu quả của việc sử dụng các chỉ số thu thập được để mở rộng phạm vi phát hiện.
Cải thiện Quy trình Điều tra và Phản ứng
Các khoảng trống hiển thị trong điều tra URL truyền thống tạo ra những thách thức vận hành thực tế. Nếu không có bằng chứng ở cấp độ trình duyệt, các nhà phân tích Cấp 1 thường leo thang các trường hợp mà họ không chắc chắn, gây áp lực lên các thành viên nhóm cấp cao và làm chậm toàn bộ quy trình phản ứng.
Khi việc leo thang xảy ra, nhà phân tích nhận nhiệm vụ thường phải bắt đầu lại vì các lượt chuyển giao hiếm khi bao gồm ngữ cảnh đầy đủ cần thiết để hành động nhanh chóng. Khả năng in-browser data inspection thay đổi điều này bằng cách đảm bảo mọi vụ leo thang đều bao gồm một gói bằng chứng hoàn chỉnh, từ chuỗi chuyển hướng đến ảnh chụp màn hình đã hiển thị và các tạo tác DOM.
Điều này giảm thiểu thời gian phản hồi trung bình và cải thiện độ chính xác của việc phân loại ưu tiên ở mọi cấp độ. Các nhà phân tích ở tất cả các cấp có thể làm việc từ cùng một chế độ xem rõ ràng, gốc của trình duyệt về những gì kẻ tấn công thực sự đã xây dựng.
Báo cáo Sẵn sàng cho SOC
Các nhóm bảo mật được khuyến khích sử dụng các báo cáo SOC-ready tích hợp sẵn, chuyển đổi các phát hiện điều tra phức tạp thành tình báo có cấu trúc, sẵn sàng cho việc ra quyết định. Các báo cáo này đơn giản hóa việc leo thang, phối hợp phản ứng sự cố và giao tiếp với các bên liên quan.
Khi các cuộc tấn công phishing tiếp tục gia tăng về quy mô và sự tinh vi, khả năng hiển thị ở cấp độ trình duyệt đang nhanh chóng trở thành một yêu cầu cơ bản cho bất kỳ đội vận hành bảo mật hiện đại nào. Việc áp dụng các công cụ và phương pháp tiếp cận như in-browser data inspection là cần thiết để duy trì khả năng phòng thủ hiệu quả trước các mối đe dọa ngày càng phát triển.
Tham khảo thêm thông tin chi tiết tại CISA alert PB23-26 về các chiến thuật tấn công mạng.
