W wielu działach bezpieczeństwa analiza phishingu w dalszym ciągu przebiega według tradycyjnego schematu: ręczne pozyskiwanie adresów URL, ręczna inspekcja załączników, ręczne wykonywanie zrzutów ekranu i ręczne gromadzenie wskaźników infekcji jeden po drugim, w nadziei, że nic szkodliwego nie umknie uwadze badaczy. Jest to praca wymagająca olbrzymiej uwagi i mnóstwa czasu.
Interaktywny sandbox wywraca ten model działania do góry nogami. Każde działanie wykonywane dotychczas przez analityka ręcznie zostaje skrócone do kilku sekund, w ciągu których sandbox wykonuje automatyczną detonację zagrożenia, śledzenie zachowania w czasie rzeczywistym oraz błyskawiczne gromadzenie wskaźników IoC. Piętnastominutowa praca zostaje skrócona do niecałych 60 sekund.
- Jak działa analiza phishingu – z sandboxem i bez niego
- Różnica w czasie: 15 minut vs 60 sekund
- Dlaczego ta prędkość ma znaczenie: wpływ na funkcjonowanie działów bezpieczeństwa w firmach
Jak działa analiza phishingu – z sandboxem i bez niego
Gdy wiadomość e-mail zostanie oflagowana jako podejrzana, analitycy zwykle wykonują podobny zestaw czynności: przeglądają link lub załącznik, otwierają go w bezpiecznym środowisku, obserwują zachowanie obiektu i ręcznie pozyskują wskaźniki infekcji. Każda z tych faz wymaga czasu, a nawet drobne działania – takie jak dekodowanie adresu URL, wykonywanie zrzutów ekranu czy sprawdzanie przekierowań – spowalnia prace dochodzeniowe.
W przypadku detonowania tej samej wiadomości w sandboksie ANY.RUN, cały łańcuch wymienionych czynności jest realizowany automatycznie. Maszyna wirtualna ładuje zawartość wiadomości, śledzi wszystkie przekierowania w czasie rzeczywistym, rejestruje żądania sieciowe i generuje wskaźniki infekcji natychmiast po pojawieniu się jakiejkolwiek niebezpiecznej aktywności. Zamiast samodzielnie dokopywać się do poszczególnych aspektów zagrożenia kawałek po kawałku, analityk po prostu obserwuje całe szkodliwe zachowanie i potwierdza werdykt.
Dobrym przykładem prędkości analizy z użyciem sandboxa jest niedawny przypadek ataków phishingowych, w ramach których cyberprzestępcy wykorzystali dokumenty programu Figma, by uruchamiać łańcuch przechwytywania danych logowania. W sandboksie cały przepływ Figma -> mikrodomena Microsoft -> Azure Blob Storage staje się widoczny w ciągu niecałej minuty.
Tutaj można zobaczyć cały przebieg ataku wykorzystującego przekierowania w dokumencie Figma.
1. Analiza adresów URL/załączników
Bez sandboxa:
Analitycy zwykle rozpoczynają pracę od ręcznego sprawdzenia linków, otwierając załączniki w środowisku wirtualnym lub próbując odtworzyć to, w jaki sposób klikał będzie użytkownik. Nawet proste e-maile wymagają czasu na zdekodowanie i weryfikację, co często oznacza 5-10 minut pracy zanim badacz będzie mógł obserwować jakiekolwiek niebezpieczne działania.
Z sandboxem:
Wystarczy przesłać e-mail lub załącznik, a sandbox automatycznie i natychmiast zdetonuje podejrzany obiekt w kontrolowanym środowisku wirtualnym. Wstępne informacje o zachowaniu, nawiązywanych połączeniach, przekierowaniach czy uruchomieniach skryptów pojawiają się już po 20-40 sekundach, dając analitykom niemal natychmiastowy wgląd w to, czy badany obiekt rzeczywiście jest niebezpieczny.
2. Obserwowanie zachowania
Bez sandboxa:
Po otwarciu linku lub załącznika w maszynie wirtualnej analitycy muszą ręcznie obserwować zachowanie, przekierowania, uruchamiane procesy, ukryte skrypty czy odwołania sieciowe realizowane w tle. Działania te domyślnie nie są śledzone w ramach typowej maszyny wirtualnej.
Taki model działania jest powolny, ponieważ wszystkie prace badawcze polegają na samodzielnym obserwowaniu i przechwytywaniu poszczególnych fragmentów jeden po drugim. Wszystko to może trwać od kilku do nawet 10 minut, szczególnie gdy łańcuch ataku obejmuje wielokrotne przekierowania lub aktywności trwające bardzo krótko.
Z sandboxem:
W momencie detonacji obiektu sandbox rozpoczyna rejestrowanie każdego działania w momencie, w którym zostanie ono wykonane. Procesy, przekierowania i żądania sieciowe są wyświetlane w czasie rzeczywistym, dzięki czemu analitycy widzą pełny przepływ danych bez konieczności samodzielnego śledzenia poszczególnych operacji z użyciem różnych narzędzi. W większości przypadków główne niebezpieczne zachowanie staje się widoczne po upłynięciu zaledwie 20-40 sekund, łącznie z aktywnością, którą badacz mógłby z łatwością przeoczyć we własnej, utrzymywanej lokalnie maszynie wirtualnej.
3. Gromadzenie wskaźników infekcji
Bez sandboxa:
Gromadzenie wskaźników jest zwykle jednym z najbardziej czasochłonnych zadań związanych z analizą phishingu. Badacze muszą ręcznie sprawdzić każdą domenę, adres IP, hash i zapisywane pliki, co często wymaga kilkukrotnego uruchamiania zagrożenia, by wychwycić krótkotrwałe lub ukryte działania. Weryfikacja każdego wskaźnika z dziennikami zdarzeń, przeglądarkami i innymi narzędziami może wydłużyć to zadanie do 5-10 minut lub nawet bardziej, szczególnie gdy łańcuch przekierowań wykorzystywanych w ramach ataku jest rozbudowany.
Z sandboxem:
Wskaźniki pojawiają się natychmiast po wystąpieniu aktywności. Domeny, adresy IP, hashe plików, zmiany w rejestrze i zapisywane obiekty są przechwytywane automatycznie i wyświetlane w jednym panelu informacyjnym. Zamiast samodzielnie wyłuskiwać szczegóły, analitycy po prostu przeglądają automatycznie wygenerowaną listę. Zajmuje to zwykle 10-20 sekund, nawet gdy podczas detonacji gromadzonych jest wiele wskaźników infekcji.
4. Dopasowywanie zagrożeń
Bez sandboxa:
Po zgromadzeniu wskaźników analitycy zajmują się sprawdzaniem każdej domeny, adresu IP oraz hashy plików w zewnętrznych portalach reputacyjnych lub w bazach danych cyberwywiadowczych. Przechodzenie między narzędziami i sprawdzanie każdego wskaźnika często dodaje do czasu analizy kolejne 5-10 minut, szczególnie gdy łańcuch ataku phishingowego generuje kilka wskaźników infekcji.
Z sandboxem:
Szczegółowe informacje o reputacji pojawiają się natychmiast po automatycznej identyfikacji wskaźnika infekcji. Sandbox ANY.RUN wyświetla nazwę zagrożenia – niezależnie czy jest to rodzina złośliwych programów, pakiet do rozsyłania phishingu czy nawet zaawansowany atak APT. Informacje o zagrożeniach są na bieżąco uaktualniane przez wewnętrzny zespół badawczy ANY.RUN.
Klikalne nazwy zagrożeń są nadawane nawet podejrzanym obiektom, co pozwala analitykom przechodzić bezpośrednio do powiązanych analiz publicznych, celem porównania wyników.
Dodatkowo, narzędzie do śledzenia trendów pozwala na uzyskanie szerszego kontekstu, pokazując w jaki sposób dane zagrożenie zachowuje się w przypadku innych próbek.
Działania, które standardowo wymagają kilku rozległych wyszukiwań, w przypadku sandboxa ANY.RUN trwają zaledwie 10-20 sekund – najważniejszy kontekst zagrożenia jest widoczny niemal natychmiast w interfejsie usługi.
5. Dokumentacja związana z incydentem
Bez sandboxa:
Dokumentowanie odkryć jest jednym z najbardziej żmudnych zadań związanych z analizą phishingu. Badacze muszą wykonywać zrzuty ekranu, zapisywać adresy URL, zbierać wskaźniki, opisywać zachowanie i gromadzić wszystko ręcznie w postaci raportu. Nawet gdy mamy do czynienia z nieskomplikowanym zagrożeniem, zajmuje to zwykle 5-10 minut, a w przypadku bardziej wyrafinowanych ataków znacznie dłużej.
Z sandboxem:
Kompletny raport jest generowany automatycznie natychmiast po zdetonowaniu próbki. Zrzuty ekranu, aktywność sieciowa, przekierowania, zdarzenia związane z procesami, wskaźniki i etykiety zagrożeń są zapisane w ustrukturyzowanym formacie.
Analitycy mogą eksportować raporty lub korzystać z linków kierujących bezpośrednio do nich, dzięki czemu kontynuują pracę nad kolejnymi zadaniami bez jakichkolwiek ręcznych działań. Cały etap trwa nie więcej niż 10-20 sekund – wszystkie zadania związane z tworzeniem raportu realizowane są automatycznie.
Różnica w czasie: 15 minut vs 60 sekund
Gdy porównamy czasy realizacji wszystkich wspomnianych zadań, różnica staje się oczywista. Ręczna analiza phishingu dzieli cały zakres prac na kilka dość powolnych czynności, podczas gdy w interaktywnym sandboksie ANY.RUN wszystko sprowadza się do jednej detonacji badanego obiektu.
| Zadanie | Bez sandboxa | Z sandboxem |
| Analiza adresów URL/załączników | 5-10 minut | 20-40 sekund |
| Obserwowanie zachowania | 10-15 minut | 20-40 sekund |
| Pozyskiwanie wskaźników | 5-10 minut | 10-20 sekund |
| Dopasowywanie zagrożeń | 5-10 minut | 10-20 sekund |
| Dokumentowanie incydentu | 5-10 minut | 10-20 sekund |
| Łączny czas | około 15 minut | około 60 sekund |
Interaktywny sandbox sprowadza długi, powtarzalny proces do werdyktu uzyskiwanego po zaledwie jednej minucie. Gdy do analizy trafiają dziesiątki wiadomości phishingowych, te zaoszczędzone minuty szybko sumują się nawet do kilku godzin dziennie.
Dlaczego ta prędkość ma znaczenie: wpływ na funkcjonowanie działów bezpieczeństwa w firmach
Skrócenie czasu analizy phishingu z 15 minut do 60 sekund pozwala na znaczne usprawnienie pracy działu bezpieczeństwa.
Z danych ANY.RUN wynika, że:
- 90% niebezpiecznych działań ujawnia się w pierwszych 60 sekundach od momentu detonacji. Analitycy widzą realne zachowanie zanim atakujący zdążą je ukryć.
- 94% użytkowników priorytetyzuje zagrożenia znacznie szybciej. Mniej zadań utyka w kolejce, a kolejne fale wiadomości phishingowych powodują mniejsze opóźnienia.
- Działy bezpieczeństwa, które wdrożyły interaktywny sandbox, odnotowują trzykrotny wzrost liczby analiz przeprowadzanych w tym samym czasie.
- Liczba fałszywych alarmów znacznie spada. Analitycy spędzają więcej czasu na poważnych i skomplikowanych zagrożeniach, nie tracąc go na fałszywe trafienia i trywialne, łatwe w identyfikacji ataki.
- Zespoły raportują wzrost liczby identyfikowanych zagrożeń na poziomie 58% – dotyczy to także ataków, które prześlizgują się przez inne rozwiązania bezpieczeństwa wykorzystujące wyłącznie analizę statyczną.
Informacje o ANY.RUN
ANY.RUN pomaga zespołom bezpieczeństwa w szybszym i precyzyjniejszym analizowaniu zagrożeń. Interaktywny sandbox ujawnia pełne zachowanie złośliwych obiektów w czasie rzeczywistym – od uruchamiania procesów i przekierowań po aktywność sieciową oraz pobierane pliki. Daje to analitykom pełny wgląd pozwalający na podejmowanie świadomych, opartych na dowodach decyzji w zakresie dalszych działań wiązanych z incydentami.
Działający w chmurze sandbox ANY.RUN nie wymaga żadnej inwestycji w dodatkowy sprzęt czy oprogramowanie i obsługuje środowiska Windows, Linux oraz Android, pozwalając na łatwą i szybką analizę phishingowych wiadomości e-mail, adresów URL oraz podejrzanych obiektów bez konieczności utrzymywania własnej, skomplikowanej infrastruktury maszyn wirtualnych.
ANY.RUN oferuje także dostęp do nieustannie uaktualnianych danych cyberwywiadowczych (w modułach Threat Intelligence Lookup oraz TI Feeds), które oferują gotowe do automatyzacji wskaźniki infekcji poprawiające jakość wykrywania, a także wzbogacają działania związane z reagowaniem oraz raportowaniem.
Wszystkie te możliwości dają analitykom szybkie, transparentne i wiarygodne mechanizmy pozwalające na dogłębne zrozumienie współczesnych cyberzagrożeń oraz usprawnienie funkcjonowania całego działu SOC.
Źródło: https://any.run/cybersecurity-blog/60-seconds-phishing-analysis/