Các URL phishing ngày càng khó phân loại ở quy mô lớn. Liên kết đáng ngờ có thể ẩn sau các trình chuyển hướng, tên miền mới và các thay đổi phía trình duyệt mà các công cụ kiểm tra URL cơ bản thường bỏ sót. Đối với các nhà phân tích, điều này đòi hỏi nhiều thời gian hơn để tái tạo lại hoạt động thực tế của trang web trước khi đưa ra quyết định rõ ràng, làm tăng nguy cơ bảo mật.
Tối ưu hóa quy trình phân tích URL phishing
Để phản hồi nhanh hơn, các nhóm SOC (Trung tâm Điều hành An ninh) cần có khả năng hiển thị ở cấp độ trình duyệt: theo dõi những gì trang web tải, thay đổi và kích hoạt. Điều này cho phép các nhà phân tích đưa ra kết luận sớm hơn và tránh lãng phí thời gian vào việc tái tạo thủ công. Hầu hết các cảnh báo phishing không cung cấp đủ ngữ cảnh để hành động ngay lập tức.
Xác định mối đe dọa và thu thập bằng chứng
Một URL có thể trông đáng ngờ, nhưng các nhà phân tích vẫn cần chứng minh hành vi của nó trước khi có thể chặn, leo thang hoặc đóng trường hợp. Bằng chứng này thường nằm ở nhiều nơi khác nhau: các trình chuyển hướng, nội dung trang, tập lệnh, thay đổi DOM, chi tiết tên miền và các chỉ số thu thập được. Khoảng cách giữa trạng thái “nghi ngờ” và “đã xác nhận” là nơi các nhóm SOC mất nhiều thời gian.
Càng nhanh chóng thu thập được bằng chứng, các nhà phân tích càng có thể chuyển từ xem xét cảnh báo sang phản ứng thực tế. Để xác nhận một URL phishing nhanh hơn, các nhà phân tích cần thấy những gì xảy ra sau khi trang được mở và có đầy đủ ngữ cảnh để hành động.
Khám phá tính năng phân tích trong hộp cát tương tác
Tính năng kiểm tra dữ liệu trong trình duyệt (in-browser data Inspection) bên trong Hộp cát Tương tác của ANY.RUN bổ sung một lớp mà nhiều quy trình làm việc của SOC còn thiếu. Nó cung cấp cho các nhà phân tích ngữ cảnh động về trang web: những gì đã được tải, hiển thị, thay đổi, yêu cầu và kích hoạt trong quá trình thực thi.
Thay vì chuyển đổi giữa các công cụ kiểm tra riêng biệt hoặc tái tạo thủ công luồng tấn công, các nhà phân tích có thể xem xét các trình chuyển hướng, yêu cầu, nội dung trang, ảnh chụp màn hình, biểu mẫu, tập lệnh, thay đổi DOM, chỉ số và chi tiết kết quả trong một lần phân tích duy nhất. Điều này giúp các nhà phân tích trả lời nhanh chóng câu hỏi quan trọng nhất: URL này thực sự đã làm gì?
Khám phá một phân tích phishing thực tế tại đây.
Chi tiết phân tích URL phishing
Trong trường hợp phishing này, chế độ xem Chi tiết URL (URL Details) ngay lập tức hiển thị lý do trang web cần được chú ý: kết quả phân loại phishing, các chữ ký (signatures) đã được kích hoạt, ảnh chụp màn hình trang đăng nhập giả mạo, thông tin liên quan về URL và tên miền, số liệu thống kê IP và tuổi đời tên miền.
Tuổi đời tên miền đặc biệt hữu ích trong quá trình phân loại phishing. Một tên miền được tạo gần đây có thể là một dấu hiệu cảnh báo mạnh mẽ hơn khi kết hợp với hành vi trang web đáng ngờ, nội dung tập trung vào thông tin đăng nhập hoặc các tập lệnh bị làm rối.
Phân tích động để phát hiện các trang web phức tạp
Phiên phân tích sau đây cho thấy tại sao việc xem xét tĩnh (static review) không đủ cho các trang web phishing phức tạp. Khi một trang web bị làm rối nghiêm trọng, dữ liệu tĩnh có thể trông giống như mã không thể đọc được với ít dấu hiệu cho thấy hoạt động thực tế của trang.
Xem phiên phân tích tại đây.
Trong quá trình thực thi trình duyệt, mã đó buộc phải tiết lộ logic của nó. Các tập lệnh chạy, các phần tử DOM được tạo ra, các trình chuyển hướng xảy ra và luồng lừa đảo trở nên rõ ràng. Phần “HTML DOM Changes” ghi lại trạng thái động này của trang, giúp các nhà phân tích thấy những gì đã được thêm, sửa đổi hoặc kích hoạt sau khi trang mở.
Điều này mang lại cho các nhà phân tích một cái nhìn rõ ràng hơn về hành vi thực tế của trang web, bao gồm các biểu mẫu ẩn, các yếu tố được tạo động, các trình chuyển hướng và logic tương tác người dùng mà sẽ rất khó hiểu từ mã tĩnh. Thay vì đoán cách trang phishing hoạt động, các nhà phân tích có thể xác thực mối đe dọa nhanh hơn, thu thập bằng chứng sẵn sàng cho việc ứng phó và chuyển ngữ cảnh rõ ràng hơn cho cấp độ 2/3 hoặc kỹ sư phát hiện.
Mở rộng điều tra và phát hiện mối đe dọa
Sau khi các nhà phân tích xác nhận hoạt động của trang phishing trong trình duyệt, bước tiếp theo là hiểu mức độ lan rộng của mối đe dọa. ANY.RUN thu thập các chỉ số liên quan trong quá trình phân tích, bao gồm các URL, tên miền, địa chỉ IP và các hash của nội dung web được kết nối với trang đáng ngờ.
Các nhà phân tích có thể sử dụng các chỉ số này trong Tình báo Mối đe dọa (Threat Intelligence) để kiểm tra xem cơ sở hạ tầng tương tự, các thành phần trang hoặc hành vi có xuất hiện trong các mẫu độc hại khác hay không. Đây là lúc cuộc điều tra chuyển từ một URL phishing sang ngữ cảnh mối đe dọa rộng lớn hơn.
Một tên miền, tập lệnh, hash nội dung web hoặc một phần trang có thể giúp khám phá các hoạt động liên quan, cơ sở hạ tầng do kẻ tấn công kiểm soát và các liên kết chiến dịch tiềm năng. Dữ liệu trình duyệt tương tự cũng có thể hỗ trợ công việc phát hiện.
Sử dụng dữ liệu phân tích để tạo quy tắc phát hiện
Nội dung trang, ảnh chụp màn hình được hiển thị và các đoạn mã từ quá trình phân tích có thể được sử dụng để tạo các quy tắc YARA và tìm kiếm các mẫu tương tự trong “ANY.RUN’s TI Lookup and YARA Search”.
Trong ví dụ này, một quy tắc YARA được xây dựng từ trang phishing đã giúp xác định 145 mẫu liên quan trong “Threat Intelligence Lookup and YARA Search”. Điều này cho thấy cách một phân tích URL đơn lẻ có thể trở thành điểm khởi đầu cho phạm vi săn lùng và phát hiện rộng lớn hơn.
Giảm thiểu thời gian phân loại và rủi ro
Các cuộc điều tra URL phishing không nên làm chậm toàn bộ hoạt động của SOC. Khi các nhà phân tích có thể xem hành vi trình duyệt, thu thập bằng chứng và mở rộng điều tra từ một nơi, mọi bước đều trở nên nhanh hơn: phân loại, leo thang, ứng phó, săn lùng và báo cáo. Các nhóm sử dụng ANY.RUN báo cáo những cải thiện có thể đo lường được trên toàn bộ quy trình điều tra.
Đối với các lãnh đạo an ninh, giá trị vượt xa việc phân tích nhanh hơn. Chu kỳ phân loại ngắn hơn, sử dụng hiệu quả hơn các nguồn lực của nhà phân tích và phát hiện phishing sớm hơn giúp giảm áp lực hoạt động, cải thiện khả năng sẵn sàng ứng phó và giảm thiểu rủi ro từ các sự cố tốn kém.
Cắt giảm thời gian phân loại URL phishing bằng cách cung cấp cho SOC của bạn bằng chứng động ở cấp độ trình duyệt để xác thực mối đe dọa nhanh hơn, giảm thiểu phơi nhiễm và hành động trước khi các URL đáng ngờ trở thành sự cố thực tế. Liên hệ để tìm hiểu thêm tại đây.
