EvilTokens là một công cụ phishing mới nổi bật, khai thác cơ chế xác thực Microsoft Device Code và che giấu các phần quan trọng trong luồng tấn công khỏi phân tích URL tĩnh. Kỹ thuật này tạo ra một khoảng trống nhìn thấy được trong quá trình điều tra, khiến các nhà phân tích gặp khó khăn trong việc phát hiện đầy đủ mức độ nguy hiểm của mối đe dọa.
Chi Tiết Về Kỹ Thuật Tấn Công Của EvilTokens
Ngụy Trang Trang Phishing
Trong một phân tích gần đây, trang phishing của EvilTokens được tìm thấy là bị mã hóa trong phản hồi HTML ban đầu. Nội dung này chỉ hiển thị sau khi trình duyệt thực hiện giải mã phía máy khách và hiển thị lên DOM (Document Object Model). Điều này nhấn mạnh sự cần thiết của việc quan sát sâu ở cấp độ trình duyệt để xác nhận hành vi phishing động, trích xuất bằng chứng và đẩy nhanh quá trình từ phân loại đến phản ứng.
Lợi Dụng Microsoft Device Code
Các chiến dịch phishing sử dụng Microsoft Device Code và được cung cấp bởi EvilTokens đã liên quan đến việc xâm phạm nhiều tổ chức. Nguy cơ không chỉ đến từ bản thân bộ công cụ phishing mà còn từ khoảng trống hiển thị mà nó tạo ra trong quá trình điều tra. Các nhà phân tích có thể xem xét một URL đáng ngờ và chỉ tìm thấy ít bằng chứng về hoạt động độc hại, trong khi quy trình làm việc phishing thực tế vẫn bị ẩn giấu.
Cơ Chế Mã Hóa Và Giải Mã
Lý do cho việc che giấu này là trang phishing không có sẵn ngay lập tức trong phản hồi của máy chủ. Thay vào đó, EvilTokens cung cấp một payload được mã hóa bằng AES-GCM, chỉ được giải mã sau khi JavaScript phía trình duyệt thực thi. Nội dung phishing sau đó được hiển thị trực tiếp vào DOM, tiết lộ trang xác thực có thương hiệu Microsoft, mã người dùng và hướng dẫn hiển thị cho nạn nhân.
Tác Động Đến Hoạt Động Điều Tra
Đối với các nhà phân tích, điều này tạo ra một điểm mù đáng kể. Phân tích URL tĩnh có thể hiển thị mã nguồn trang, các yêu cầu mạng và dữ liệu danh tiếng, nhưng lại bỏ lỡ nội dung chỉ xuất hiện sau khi thực thi. Khi các bộ công cụ phishing ngày càng phụ thuộc vào hành vi trình duyệt động, việc hiểu rõ những gì xảy ra bên trong trình duyệt trở nên cực kỳ quan trọng để xác nhận hoạt động độc hại và đưa ra các quyết định phân loại tự tin.
Hậu Quả Của Khoảng Trống Hiển Thị
Khoảng trống hiển thị này có thể dẫn đến:
- Chậm trễ trong việc phát hiện và phản ứng với các cuộc tấn công.
- Khó khăn trong việc thu thập đủ bằng chứng để đánh giá toàn diện mức độ thiệt hại.
- Rủi ro bỏ sót các mối đe dọa tinh vi, đặc biệt là các cuộc tấn công nhắm vào thông tin xác thực nhạy cảm.
Phân Tích Luồng Tấn Công Với ANY.RUN
Trong một phiên phân tích trên ANY.RUN Sandbox, các nhà phân tích có thể xem xét toàn bộ quy trình phishing của EvilTokens từ một giao diện điều tra duy nhất. Bằng cách này, có thể xem các cuộc tấn công gần đây của EvilTokens trong một môi trường động.
Hợp Nhất Dữ Liệu Điều Tra
Thay vì chuyển đổi giữa nhiều công cụ và nguồn dữ liệu, tab Dữ liệu Trình duyệt (Browser Data) hợp nhất các bằng chứng cần thiết để hiểu cuộc tấn công, xác thực hoạt động độc hại và hỗ trợ các quyết định phân loại. Điều này bao gồm các thay đổi trang, thông tin hạ tầng, các yêu cầu do trình duyệt tạo ra và các tạo tác khác được thu thập trong quá trình thực thi.
Cung Cấp Bằng Chứng Ở Cấp Độ Trình Duyệt
ANY.RUN cung cấp bằng chứng ở cấp độ trình duyệt để thấy hoạt động phishing ẩn, xác nhận rủi ro chiếm đoạt tài khoản và phản ứng nhanh hơn. Cho phép SOC của bạn nhìn thấy hoạt động phishing ẩn, xác nhận rủi ro chiếm đoạt tài khoản và phản ứng nhanh hơn.
Chi Tiết Dữ Liệu Quan Sát Trong EvilTokens Session
Trong phiên EvilTokens này, các nhà phân tích có thể quan sát các thông tin chi tiết sau:
Thay Đổi DOM HTML
Dòng thời gian DOM cho thấy thời điểm payload được mã hóa được giải mã và nội dung phishing xuất hiện trên trang. Điều này phơi bày mã thiết bị và các tạo tác khác không hiển thị trong phản hồi ban đầu.
Chi Tiết URL
Chế độ xem Chi tiết URL tập hợp URL cuối cùng, thông tin tên miền, chứng chỉ SSL, bản ghi DNS, thống kê yêu cầu và các chữ ký đã kích hoạt. Điều này giúp các nhà phân tích đánh giá hạ tầng đằng sau trang phishing mà không cần di chuyển giữa các công cụ riêng biệt.
Yêu Cầu HTTP
Yêu cầu HTTP hiển thị lưu lượng truy cập do trình duyệt tạo ra trên các danh mục như HTML, JavaScript, Fetch/XHR, scripts, tệp tĩnh, tệp nhị phân, tệp lưu trữ và các loại khác. Trong mẫu này, các yêu cầu tới /api/device/start và /api/device/status/<sessionId> giúp xác nhận cách quy trình làm việc phishing mã thiết bị hoạt động.
Liên Kết Với Dữ Liệu Tình Báo Mối Đe Dọa
Việc xác nhận luồng phishing chỉ là bước đầu tiên. Sau đó, các nhà phân tích có thể chuyển sang Threat Intelligence của ANY.RUN để hiểu liệu hoạt động đó có phải là một phần của chiến dịch rộng lớn hơn hay không. Điều này giúp củng cố việc phát hiện tấn công một cách hiệu quả.
Phát Hiện Chữ Ký Liên Quan
Trong phiên này, Chi tiết URL hiển thị một chữ ký phishing mã thiết bị Microsoft OAuth đã được kích hoạt dựa trên mã tìm thấy trong DOM. Các nhà phân tích có thể sử dụng chữ ký này để tìm các tài nguyên phishing khác có mẫu mã tương tự, bao gồm cả các chiến dịch ngoài EvilTokens.
Phân Tích Hoạt Động Liên Quan
Threat Intelligence cũng giúp xem xét hoạt động EvilTokens liên quan theo tên mối đe dọa và địa lý. Trong trường hợp này, hoạt động dường như chủ yếu gắn liền với Hoa Kỳ và Châu Âu.
Xác Định Chỉ Số Phát Hiện
Cuối cùng, tab Chỉ số (Indicators) giúp quyết định những tạo tác nào hữu ích cho việc phát hiện. Hạ tầng rộng lớn, như một địa chỉ IP CloudflareNet, có thể quá nhiễu, trong khi một tên miền, URI hoặc hash cụ thể có thể là các ứng cử viên mạnh mẽ hơn cho việc săn lùng và tạo quy tắc.
Tầm Quan Trọng Của Việc Hiểu Rõ Hành Vi Trình Duyệt
Khi các bộ công cụ phishing ngày càng dựa vào việc thực thi phía trình duyệt, các nhà phân tích cần những cách nhanh hơn để khám phá nội dung ẩn, xác thực hành vi độc hại và thu thập bằng chứng để phản ứng. EvilTokens là một ví dụ điển hình về việc các tạo tác quan trọng có thể vẫn vô hình cho đến khi trang thực thi, gây ra sự chậm trễ trong phân loại và điều tra. Đây là một minh chứng rõ ràng cho tầm quan trọng của việc cập nhật bản vá và nâng cao khả năng phòng vệ trước các mối đe dọa mạng mới.
Giảm Thiểu Thời Gian Phản Hồi
Bằng cách đưa hoạt động trình duyệt, chi tiết hạ tầng, yêu cầu HTTP và các chỉ số vào một quy trình làm việc duy nhất, ANY.RUN giúp các nhà phân tích dành ít thời gian hơn để tái tạo các cuộc tấn công và nhiều thời gian hơn để đưa ra các quyết định tự tin. Các tổ chức sử dụng ANY.RUN báo cáo MTTD (Mean Time To Detect) thấp tới 15 giây và giảm MTTR (Mean Time To Respond) tới 21 phút mỗi trường hợp, giúp các nhóm di chuyển nhanh hơn từ phát hiện đến phản ứng.
Tối Ưu Hóa Quy Trình SOC
Cắt giảm thời gian phân loại phishing URL: Cung cấp cho SOC của bạn bằng chứng ở cấp độ trình duyệt để hành động nhanh hơn, giảm thiểu phơi nhiễm và ngăn chặn các sự cố phishing trước khi chúng ảnh hưởng đến doanh nghiệp.
Nguồn tham khảo: CISA.gov
