钓鱼攻击活动越来越难以识别，有时会隐藏在你绝不会怀疑的文件中。 ANY.RUN的网络安全分析师最近发现了这样一个案例：一个伪装成PDF的恶意SVG文件，托管在一个合法域名上，并包含隐藏的重定向链接。到9月中旬，它已演变成一场全面的垃圾邮件浪潮，使用微软主题的诱饵。

让我们来看看它是如何运作的，以及分析师如何在安全的沙盒环境中收集完整的情报链。

近期SVG攻击内幕

以下是一个展示完整行为的沙箱会话。查看实际案例可实时观看重定向和有效载荷提取过程：

查看沙箱会话（SVG攻击）

传递与伪装：该文件看似是PDF附件，实则为SVG（XML）文件。由于SVG支持脚本，攻击者会嵌入动态内容而非静态像素。

显示的虚假提示：在浏览器中打开文件会显示“受保护文档”消息，以通过社会工程学手段诱使用户点击或等待。

脚本执行（XOR解码器）： 嵌入的JavaScript运行一个XOR解码程序，该程序重构真实的重定向代码，然后执行它（通过eval）。

你可以在ANY.RUN的静态/十六进制视图中直接看到这一点：解码器变量、十六进制/转义字节（例如‘\x65’、‘\x76’等）以及重建的脚本都在会话中显示。该视图允许分析人员提取解码后的有效负载，并查看SVG运行的确切命令。

分层重定向：解码后的代码会让浏览器经过多个中间域名，从而混淆踪迹。在此链条中观察到的例子包括：

1. 登录micro s ft 365[.]电源应用门户[.]com
2. loginmicr0sft0nlineofy[.]52632651246148569845521065[.]cc

最终钓鱼页面：用户会进入一个带有微软品牌标识的凭证页面，该页面甚至使用了Cloudflare Turnstile小部件，使其看起来合法并能绕过粗略检查。借助ANY.RUN的自动交互功能，这些验证会被自动处理，因此分析师无需浪费时间手动点击操作。

凭证收集与持久化：输入的凭证会被捕获并转发至攻击者控制的、为规模化而构建的基础设施（类似凭证即服务），从而实现大规模窃取。

沙箱所揭示的内容：交互式会话会显示每一次重定向和HTTP事务，以十六进制/文本形式呈现解码后的JavaScript，并捕获运行时工件。

可导出的IOC和报告可以直接与安全信息和事件管理（SIEM）、端点检测与响应（EDR）以及威胁情报平台集成，因此分析人员可以在他们已在使用的工具中获取数据，从而节省时间并减少额外步骤。

沙箱优势：快速检测新型攻击

如你所见，交互式沙箱在发现新型和规避性攻击方面特别有价值。它们不会等待静态特征码或延迟的警报，而是在真实环境中运行文件，并实时呈现恶意行为。

借助ANY.RUN，分析人员可以：

• 60秒内获取恶意判定结果：88%的威胁都能以这样的速度被检测到。
• 立即揭示完整攻击链：毫无猜测地绘制出每一次重定向、脚本和有效载荷。
• 加快分类和响应速度：团队报告称分类速度提升高达94%，安全运营中心（SOC）性能提升3倍。
• 将发现转化为行动：直接将IOC和TTP导出至SIEM、EDR或TI平台，以立即更新检测内容并启动排查。

通过将数小时的手动工作转变为几分钟的自动化可见性，沙箱为分析师提供了领先于新型攻击技术所需的速度、清晰度和背景信息。

来看看借助ANY.RUN的沙箱，你能以多快的速度捕获新攻击。