Meerfasige cyberaanvallen, gekenmerkt door hun complexe uitvoeringsketens, zijn ontworpen om detectie te voorkomen en slachtoffers een vals gevoel van veiligheid te geven. Weten hoe ze opereren is de eerste stap naar het opbouwen van een solide verdedigingsstrategie tegen hen. Laten we voorbeelden uit de praktijk bekijken van enkele van de meest voorkomende aanvalsscenario’s in meerdere fasen die momenteel actief zijn.
URL’s en andere ingebedde inhoud in documenten
Aanvallers verbergen vaak kwaadaardige links in ogenschijnlijk legitieme documenten, zoals PDF’s of Word-bestanden. Bij het openen van het document en het klikken op de ingesloten link worden gebruikers doorgestuurd naar een kwaadaardige website. Deze sites maken vaak gebruik van misleidende tactieken om het slachtoffer ertoe aan te zetten malware op zijn computer te downloaden of zijn wachtwoorden te delen.
Een ander populair type ingebedde inhoud zijn QR-codes. Aanvallers verbergen kwaadaardige URL’s in QR-codes en voegen deze in documenten in. Deze strategie dwingt gebruikers om hun mobiele apparaten te gebruiken om de code te scannen, waarna ze naar phishing-sites worden geleid. Deze sites vragen doorgaans om inloggegevens, die bij binnenkomst onmiddellijk door de aanvallers worden gestolen.
Voorbeeld: PDF-bestand met een QR-code
Om te demonstreren hoe een typische aanval verloopt, gebruiken we de ANY.RUN Sandbox, die een veilige virtuele omgeving biedt voor het bestuderen van kwaadaardige bestanden en URL’s. Dankzij de interactiviteit stelt deze cloudgebaseerde dienst ons in staat om met het systeem te communiceren, net als op een standaardcomputer.
Ontvang tot 3 ANY.RUN-licenties cadeau met een Black Friday-aanbieding→
Om onze analyse te vereenvoudigen, schakelen we de functie Automatische interactiviteit in, die alle gebruikersacties kan uitvoeren die nodig zijn om een aanval of voorbeelduitvoering automatisch te activeren.
Denk eens aan deze sandbox-sessie, die een kwaadaardig pdf-bestand bevat dat een QR-code bevat. Als de automatisering is ingeschakeld, extraheert de service de URL in de code en opent deze zelf in de browser.
Na een paar omleidingen brengt de aanval ons naar de laatste phishing-pagina die is ontworpen om een Microsoft-site na te bootsen. Het wordt gecontroleerd door bedreigingsactoren en geconfigureerd om de inlog- en wachtwoordgegevens van gebruikers te stelen zodra deze worden ingevoerd.
De sandbox maakt het mogelijk om alle netwerkactiviteit die tijdens de aanval plaatsvindt te observeren en geactiveerde Suricata IDS-regels te zien
Na voltooiing van de analyse geeft de ANY.RUN-sandbox een sluitend oordeel over “kwaadwillige activiteit” en genereert een rapport over de dreiging, dat ook een lijst met IOC’s bevat.
Omleidingen in meerdere fasen
Omleidingen in meerdere fasen omvatten een reeks URL’s die gebruikers door meerdere sites leiden, wat uiteindelijk naar een kwaadaardige bestemming leidt. Aanvallers maken vaak gebruik van vertrouwde domeinen, zoals die van Google of populaire sociale-mediaplatforms zoals TikTok, om de omleidingen legitiem te laten lijken. Deze methode bemoeilijkt de detectie van de uiteindelijke kwaadaardige URL door beveiligingstools.
Sommige omleidingsfasen kunnen CAPTCHA-uitdagingen bevatten om te voorkomen dat geautomatiseerde oplossingen en filters toegang krijgen tot schadelijke inhoud. Aanvallers kunnen ook scripts gebruiken die het IP-adres van de gebruiker controleren. Als een op hosting gebaseerd adres, dat vaak door beveiligingsoplossingen wordt gebruikt, wordt gedetecteerd, wordt de aanvalsketen onderbroken en wordt de gebruiker omgeleid naar een legitieme website, waardoor de toegang tot de phishing-pagina wordt verhinderd.
Voorbeeld: keten van links die naar een phishing-pagina leiden
Hier is een sandboxsessie die de hele aanvalsketen laat zien, beginnend bij een schijnbaar legitieme TikTok-link.
Bij nadere beschouwing blijkt echter dat de volledige URL een omleiding naar een legitiem Google-domein bevat.
Van daaruit gaat de aanval verder naar een andere site met een omleiding en vervolgens naar de laatste phishing-pagina, die echter is beveiligd met een CAPTCHA-uitdaging.
Dankzij geavanceerde inhoudsanalyse lost de sandbox deze CAPTCHA automatisch op, waardoor we de neppagina kunnen observeren die is ontworpen om de inloggegevens van slachtoffers te stelen.
E-mailbijlagen
E-mailbijlagen blijven een veel voorkomende vector voor aanvallen in meerdere fasen. In het verleden stuurden aanvallers regelmatig e-mails met Office-documenten die kwaadaardige macro’s bevatten.
Momenteel is de focus verschoven naar archieven die payloads en scripts bevatten. Archieven bieden bedreigingsactoren een eenvoudige en effectieve methode om kwaadaardige uitvoerbare bestanden te verbergen voor beveiligingsmechanismen en de betrouwbaarheid van de bestanden te vergroten.
Voorbeeld: e-mailbijlage met Formbook-malware
In deze sandboxsessie zien we een phishing-e-mail met een .zip-bijlage. De service opent automatisch het archief, dat verschillende bestanden bevat.
Met Smart Content Analysis identificeert de service de belangrijkste payload en lanceert deze, waardoor de uitvoeringsketen wordt geïnitieerd en we kunnen zien hoe de malware zich op een live systeem gedraagt.
De sandbox detecteert FormBook en registreert alle netwerk- en systeemactiviteiten, en levert ook een gedetailleerd dreigingsrapport.
Ontvang uw Black Friday-deal van ANY.RUN
Analyseer verdachte e-mails, bestanden en URL’s in de ANY.RUN-sandbox om snel cyberaanvallen te identificeren. Met Automated Interactivity kan de service alle noodzakelijke analysestappen zelf uitvoeren, waardoor u tijd bespaart en u alleen de belangrijkste inzichten in de dreiging krijgt gepresenteerd.
ANY.RUN biedt momenteel Black Friday-deals aan. Haal de jouwe vóór 8 december:
- Voor individuele gebruikers: 2 licenties voor de prijs van 1.
- Voor teams: Maximaal 3 licenties + jaarlijks basisabonnement voor Threat Intelligence Lookup, de doorzoekbare database van ANY.RUN met de nieuwste dreigingsgegevens;
Bekijk alle aanbiedingen en test de service vandaag nog met een gratis proefperiode →
Conclusie
Meerfasige aanvallen vormen een aanzienlijke bedreiging voor zowel organisaties als individuen. Tot de meest voorkomende aanvalsscenario’s behoren URL’s en insluitingen in documenten, QR-codes, omleidingen in meerdere fasen, e-mailbijlagen en gearchiveerde payloads. Door deze te analyseren met tools als de interactieve sandbox van ANY.RUN kunnen we onze infrastructuur beter verdedigen.