W świecie phishingu to, co użytkownik widzi w treści e-maila, często ma kilka wspólnego z rzeczywistym miejscem, w które zostanie odesłany po kliknięciu linku. Przestępcy potrafią sprytnie korzystać z łańcuchów przekierowań, skracaczy URL, usług analitycznych oraz funkcji open-redirect, aby ukryć prawdziwą stronę docelową.
Analiza pojedynczego URL nie daje więc pełnego obrazu. Dopiero analiza wszystkich kolejnych „skoków” linku – od źródła do finalnej domeny – pozwala wykryć zagrożenia sprytnie schowane za lawiną przekierowań.
Kusto Query Language (KQL), używany w środowiskach Microsoft 365 i Azure, staje się jednym z najskuteczniejszych narzędzi do polowania na złośliwe łańcuchy URL. Podejście opisane w niniejszym artykule opiera się na analizowaniu logów mailowych i rekonstruowaniu całej mapy przekierowań, dzięki czemu analitycy mogą wykrywać podejrzane kampanie, zanim użytkownik kliknie w niebezpieczny link.
Kluczowe kolumny w KQL do analizy przekierowań
W centrum techniki znajdują się dwie kolumny, które pozwalają zebrać chaotyczne dane w logiczną całość: UrlChainId oraz UrlChainPosition.
UrlChainId grupuje wszystkie rekordy dotyczące jednego „kliku”. jeżeli w wiadomości był jeden link prowadzący przez pięć kolejnych domen, każdy z nich znajdzie się pod tym samym identyfikatorem. To zdecydowanie ułatwia pracę – nie trzeba manualnie łączyć poszczególnych URL-i po ich wartościach.
UrlChainPosition to nic innego jak „numer kroku”. Pozycja 0 oznacza link widoczny w wiadomości, pozycja 1 pierwsze przekierowanie, a kolejne numery następne przeskoki. Dzięki temu można nie tylko zobaczyć cały łańcuch, ale także określić, gdzie pojawił się moment „skrętu” w podejrzaną stronę.
To właśnie z tej kombinacji rodzi się moc tej techniki: wiedza o strukturze łańcucha pozwala odróżnić zwykłe linki marketingowe od kampanii phishingowych próbujących zamaskować prawdziwy cel.
Klasyfikacja podejrzanych przekierowań
Nie każdy redirect jest podejrzany. Przekierowania są częścią normalnego funkcjonowania marketingu, śledzenia kampanii, obsługi urządzeń mobilnych czy równoważenia obciążenia. Dopiero kontekst i wzorce decydują o ryzyku.
W praktyce analitycy zwracają uwagę na kilka elementów, które zwiększają prawdopodobieństwo, iż mamy do czynienia z kampanią phishingową:
- Skracacze URL – bit.ly, tinyurl, ow.ly i inne. Link skracany jest łatwy do maskowania, a kampanie phishingowe bardzo często wykorzystują takie „pośredniki”.
- Nagła zmiana domeny na niepowiązaną – np. mail wygląda jak od Microsoftu, ale końcowy adres prowadzi na świeżo zarejestrowaną domenę .top, .shop albo ukierunkowaną na kraje o wysokiej aktywności cyberprzestępczej.
- Długi łańcuch redirectów – legalne systemy zwykle wykonują jedno, dwa przekierowania. Złośliwe kampanie mogą ich mieć choćby kilkanaście.
- Świeżo zarejestrowana domena końcowa – agresywne kampanie phishingowe często korzystają z domen działających zaledwie kilka dni.
- Linki śledzące pochodzące od nietypowych dostawców – jeżeli firma zwykle korzysta z Adobe/Marketo, a nagle pojawia się nieznana usługa trackingowa, warto się temu przyjrzeć.
Analiza takich sygnałów to klucz do automatycznego klasyfikowania podejrzanych wiadomości.
Analiza end-to-end przy użyciu KQL
Przykład zapytania analitycznego KQL omówiono w artykule Detect FYI ). Ma ono jeden główny cel: zebrać wszystkie kroki przekierowań przypisane do jednego zdarzenia i poukładać je w odpowiedniej kolejności.
Efekt przypomina wizualizację ścieżki ataku:
- Finalna strona phishingowa
- Oryginalny link w mailu
- Zewnętrzny skracacz
- Usługa trackingowa
- Open-redirect z legalnej domeny
Dzięki takiej strukturze analityk może łatwo zauważyć moment, w którym link „skręca”. To szczególnie przydatne, gdy kampanie phishingowe wykorzystują sztuczki – jak legalne strony firm jako open-redirect, ukrywanie finałowego URL w JavaScript, czy np. dynamiczne przekierowania zależne od geolokalizacji. Zbudowanie pełnej mapy przekierowań pozwala też tworzyć polityki bezpieczeństwa na poziomie organizacji – np. blokować całe klasy usług śledzących lub znane skracacze.
Podsumowanie
Technika opisana powyżej wpisuje się w rosnącą potrzebę „detekcji behawioralnej” w mailach. Filtry antyphishingowe są dobre w statycznej ocenie treści, ale atakujący nieustannie podnoszą poprzeczkę.
Analiza przekierowań daje przewagę, bo bada zachowanie linku, a nie tylko jego zawartość.
Dla zespołów SOC oznacza to kilka korzyści:
- wykrywanie nowych kampanii, zanim trafią do feedów Threat Intelligence,
- możliwość mapowania infrastruktur phishingowych (np. wykorzystywane skracacze, rodziny domen),
- identyfikowanie trendów – np. jakie branże atakuje dana grupa,
- budowanie automatycznych reguł, które łączą dane z wielu źródeł (Defender, SIEM, Threat Intel, rejestry WHOIS).
W rezultacie e-mailowy Threat Hunting staje się bardziej proaktywny, a analitycy mogą wykrywać kampanie, które przeszłyby niezauważone przy tradycyjnych metodach.
Łańcuchy przekierowań są jak labirynt, który ma oszukać zarówno użytkownika, jak i systemy bezpieczeństwa. Dzięki KQL można ten labirynt zmapować i zrozumieć, gdzie pojawiają się sygnały alarmowe. W epoce, w której phishing staje się coraz bardziej wyrafinowany, narzędzia do analizy zachowań linków stają się jednym z kluczowych elementów zbrojowni każdego zespołu bezpieczeństwa. Można tę technikę rozszerzać: wykrywać nietypowe nagłówki HTTP, badać TLS-fingerprinting domen końcowych, analizować datę rejestracji domeny, integrując to wszystko w jedną procedurę detekcyjną.
