Als ersten Schritt nennt der Beitrag die interaktive Sandbox-Analyse. Statt aus fragmentierten Signalen auf das Risiko zu schließen, führen Analysten einen verdächtigen Link oder Anhang in einer kontrollierten Umgebung aus und bedienen ihn wie ein echter Nutzer: Sie klicken durch Seiten, folgen Weiterleitungsketten, geben Test-Zugangsdaten ein und beobachten in Echtzeit, wie sich die Phishing-Infrastruktur verhält – ohne das Unternehmen einem Risiko auszusetzen.
Als Beispiel beschreibt ANY.RUN eine Analyse-Sitzung, in der ein Analyst einen Tycoon2FA-Phishing-Angriff in 55 Sekunden vollständig offenlegt. Das Anmeldeformular ist auf Microsoft Azure Blob Storage gehostet – einem legitimen Dienst, der die Seite mit rein statischen Prüfungen schwerer erkennbar macht. Durch die sichere Interaktion mit der Probe deckt der Analyst die gesamte Angriffskette auf und extrahiert verwertbare Indikatoren (IOCs) und Taktiken (TTPs) für die weitere Erkennung.
Der zweite Schritt adressiert das Mengenproblem: Verdächtige Links, Anhänge, QR-Codes und gemeldete Nachrichten treffen laufend ein, manuelle Prüfung skaliert nicht. Automatisierung führt verdächtige Artefakte in der Sandbox aus, sammelt Indikatoren und liefert binnen Sekunden ein erstes Urteil. Moderne Phishing-Angriffe enthalten jedoch oft CAPTCHAs, QR-Codes und mehrstufige Weiterleitungen, die herkömmliche Automatisierung ausbremsen.
ANY.RUN setzt deshalb auf Automatisierung in Kombination mit sicherer Interaktivität: Die automatisierte Analyse ahmt das Verhalten eines Analysten nach, interagiert mit Seiten, löst Hürden und durchläuft die Phishing-Abläufe selbsttätig, bis das vollständige Verhalten sichtbar wird. Nach Angaben des Anbieters liegt das Urteil in 90 Prozent der Fälle in unter 60 Sekunden vor.
Der dritte Schritt betrifft verschlüsselten Datenverkehr. Viele Kampagnen laufen inzwischen vollständig innerhalb von HTTPS-Sitzungen ab: Anmeldeseiten, Weiterleitungsketten und Mechanismen zum Abgreifen von Zugangsdaten werden über legitime Infrastruktur mit gültigen SSL-Zertifikaten ausgeliefert und wirken für Überwachungssysteme normal. Viele Werkzeuge sehen zwar die verschlüsselte Verbindung, können aber nicht zeigen, was darin geschieht.
Die automatische SSL-Entschlüsselung in der Sandbox soll diese Hürde beseitigen. Laut ANY.RUN extrahiert das System die Verschlüsselungsschlüssel während der Ausführung direkt aus dem Prozessspeicher, entschlüsselt den HTTPS-Verkehr intern und legt so Weiterleitungsketten, Mechanismen zum Abgreifen von Zugangsdaten und die Angreifer-Infrastruktur offen.
In einer weiteren Sitzung wird ein Salty2FA-Phishing-Angriff, der wie gewöhnlicher HTTPS-Verkehr aussieht, bereits beim ersten Durchlauf entlarvt. Mit der automatischen SSL-Entschlüsselung deckt die Sandbox den schädlichen Ablauf auf, löst eine Suricata-Regel aus und erzeugt nach 40 Sekunden ein einsatzbereites Urteil. Aus der Kombination von sicherer Interaktion, Automatisierung und SSL-Entschlüsselung leitet der Beitrag ein Untersuchungsmodell ab, das Angriffsketten früher und mit klaren Belegen bestätigen soll.
