MetaDefender Sandbox^™

A geofencinget alkalmazó malware dokumentumok jelentős fenyegetést jelentenek a kiberbiztonságra nézve. Ezek a rosszindulatú fájlok gyakran használnak helyalapú kiváltó okokat, ami kihívást jelent a felderítésben és a kárenyhítésben. Az Adaptive fenyegetéselemzés azonban azzal emelkedik ki a hagyományos megközelítések közül, hogy képes pontosan utánozni és meghamisítani az elvárt geolokációs értékeket, így hatékonyan semlegesíti a rosszindulatú programok által alkalmazott taktikákat, és ezáltal javítja az ilyen fenyegetések elleni védekezési képességünket.

Az alábbi mintában megfigyelhetjük, hogy egy geofencing malware kizárólag egy adott országon belül próbál futtatni. Innovatív megoldásunk azonban sikeresen megkerüli ezt a korlátozást, ahogyan azt korábban említettük, a kívánt geolokációs értékek emulálásával, ami bizonyítja az ilyen geofencing-alapú fenyegetések elleni kiváló képességünket.

• Márkaérzékelés: A gyanús webhelyek renderelésével és a fejlett gépi tanulási motorunkkal való vizsgálatával közel 300 márkát tudunk azonosítani. Az alábbi példában egy Netflix néven ismert streaming cégnek álcázott weboldal tanúja lehet. Megoldásunk kiválóan összehasonlítja a webhely tartalmát a valódi URL-címmel, és gyorsan azonosítja az ilyen csalárd próbálkozásokat, hogy megvédje digitális eszközeit és személyes adatait. Tudjon meg többet.
• Mesterséges intelligencia által vezérelt elemzés: A mesterséges intelligencia által vezérelt megoldásunk elemzi a hálózati forgalmat, a megjelenített oldal szerkezeti és szöveges tartalmát. A közös modell eredményének megítélése az 'ML Web Threat Model' után látható.

Az offline URL-érzékelő ML-modell új védelmi réteget biztosít a gyanús URL-ek hatékony felderítésével, és megbízható eszközt kínál a rosszindulatú linkek által jelentett fenyegetések azonosítására és mérséklésére. Egy több százezer URL-t tartalmazó adathalmazt használ fel, amelyet neves gyártók gondosan megjelöltek, mint veszélytelen vagy rosszindulatú, hogy felmérje a gyanús URL-ek gépi tanulási technikák segítségével történő pontos észlelésének megvalósíthatóságát.

Fontos megjegyezni, hogy ez a funkció különösen hasznos a légtérzáras környezetben, ahol az online hírnévkeresés nem áll rendelkezésre.

Az alábbi minta egy olyan kártevőt mutat, amelyet az UPX csomagolási technikával csomagoltak. Annak ellenére, hogy megpróbálta elkerülni a felismerést és a védelmet, elemzésünk sikeresen kicsomagolta a hasznos terhet, felfedve annak valódi identitását, mint Dridex trójai. Sikerült feltárnunk a kártevő konfigurációját, fényt derítve a fenyegetés mögött álló rosszindulatú szándékra, értékes IOC-ket kinyerve.

A Hasonlósági keresés funkciót alkalmazva a homokozó egy olyan fájlt észlelt, amely feltűnően hasonlít egy ismert rosszindulatú szoftverre. Figyelemre méltó, hogy ezt a fájlt korábban nem rosszindulatúnak jelölték, ami rávilágít a hamis negatív eredmények lehetőségére a biztonsági értékeléseinkben. Ez a felfedezés lehetővé teszi számunkra, hogy célzottan megcélozzuk és orvosoljuk ezeket a figyelmen kívül hagyott fenyegetéseket.

Fontos kiemelni, hogy a hasonlósági keresés rendkívül értékes a fenyegetéskutatás és -vadászat szempontjából, mivel segíthet feltárni az azonos rosszindulatú szoftvercsaládból vagy kampányból származó mintákat, további IOC-ket vagy releváns információkat szolgáltatva az egyes fenyegető tevékenységekkel kapcsolatban.

Our disassembling engine revealed intriguing findings within the target sample. Surprisingly, this sample monitors the system time using the uncommon <rdtsc> instruction and accesses an internal, undocumented structure in Windows, commonly used for different malicious tricks. These unusual actions raise questions about its purpose and underscore the need for further investigation to assess potential risks to the system.

A vizsgált minta a .NET keretrendszer segítségével készült. Bár tartózkodunk a tényleges CIL megjelenítésétől, a dekompilációs folyamatunk kivonja és bemutatja a figyelemre méltó információkat, beleértve a karakterláncokat, a registry artifactokat és a API hívásokat.

Emellett elemezzük a .NET metaadatokat, hogy azonosítsuk a .NET-specifikus funkciókat és erőforrásokat. Ez a folyamat lehetővé teszi a részletes információk kinyerését az összeállításról, például a metódusokról, osztályokról és beágyazott erőforrásokról, ami kritikus fontosságú a .NET-alkalmazások viselkedésének és szerkezetének elemzéséhez.

Sok alkalmazás kihasználása nyers bináris formátumban (shellcode) hozza a végső hasznos terhet, ami akadályt jelenthet a hasznos teher elemzésekor. Shellcode-emulációnkkal képesek vagyunk felfedezni és elemezni a végső hasznos teher viselkedését, ebben a példában egy széles körben kihasznált Office sebezhetőséget az egyenletszerkesztőben. Így megnyílik az út a megfelelő IOC-k összegyűjtéséhez.

A homályos VBA-makrók jelentős kihívást jelentenek az aktív fenyegetések ésszerű válaszidejének biztosítása szempontjából. Ez a nem egyértelmű kód a fenyegetések elemzését és megértését rendkívül összetett, sok időt és erőfeszítést igénylő feladattá teszi. Korszerű VBA-emulációs technológiánk képes legyőzni ezeket a kihívásokat, és másodpercek alatt átfogó elemzést nyújt az obfuszkált VBA-makróról, valamint egyértelmű betekintést nyújt annak működésébe.

Az elemzett minta egy Excel-dokumentum, amely erősen elkendőzött VBA-kódot tartalmaz, amely egy .NET DLL-fájlt dob le és futtat, egy LNK-fájllal együtt, amely a kártevő futtatási lánc folytatásáért felelős. A VBA emuláció után a MetaDefender Sandbox azonosítja az indított folyamatokat és a fő deobfuszkáló funkciót, automatikusan kivonja az obfuszkált karakterláncokat és elmenti az elejtett fájlokat (amelyeket korábban keményen kódoltak és titkosítottak a VBA kódban). Ez gyorsan megmutatja a kártevő fő célját, és lehetőséget ad a fenyegetés további elemzésére.

A Windows Feladatütemező használata a rosszindulatú hasznos terhek későbbi időpontban történő végrehajtására egy lopakodó technika a homokozós környezetek kijátszására, amelyet a közelmúltban megjelent fenyegetésekben láthattunk. A végrehajtás késleltetését kihasználva hatékonyan megkerüli a homokdobozokra jellemző rövid elemzési ablakot.

A következő minta egy elkendőzött VBScript, amely letölti a rosszindulatú hasznos terhet, és létrehoz egy ütemezett feladatot, hogy 67 perccel később futtassa azt. A hagyományos sandboxok csak néhány percig tartják fenn a végrehajtást, és a rosszindulatú viselkedés soha nem kerülne nyilvánosságra. Ezzel szemben a mi VBScript emulátorunk képes felismerni és legyőzni ezt a kijátszási technikát (T1497), a végrehajtási környezetet a további elemzés folytatásához igazítja, és 12 másodperc alatt megkapja a teljes jelentést.

A NET Reflection a .NET keretrendszer által biztosított hatékony funkció, amely lehetővé teszi a programok számára, hogy futás közben megvizsgálják és manipulálják a .NET fájlszerkezetet és viselkedést. Lehetővé teszi az összeállítások, modulok és típusok vizsgálatát, valamint a típusok példányainak dinamikus létrehozását, a metódusok meghívását, illetve a mezők és tulajdonságok elérését.

A rosszindulatú programok a tükrözést használhatják a fordításkor nem hivatkozott összeállításokból származó kód dinamikus betöltésére és végrehajtására, lehetővé téve további hasznos terhek távoli szerverekről történő (vagy az aktuális fájlban elrejtett) lekérését és végrehajtását anélkül, hogy a lemezre írnák őket, csökkentve ezzel a felismerés kockázatát.

Ebben az esetben láthatjuk, hogy az elemzett VBScript hogyan tölt be és futtat egy .NET-összeállítást a memóriába közvetlenül egy Windows-regiszterben tárolt bájtokból.

Ez a funkció lehetővé teszi a PE erőforrásokban titkosított rejtett leletek feltárását. A rosszindulatú leleteket gyakran titkosítják, hogy elkerüljék a felismerést és elfedjék a minta valódi szándékát. Ezeknek az artefaktumoknak a feltárása alapvető fontosságú, mivel általában kritikus adatokat (mint C2-információkat) vagy hasznos terheket tartalmaznak. Kivonásukkal a sandbox mélyebb vizsgálatot végezhet, nagyobb eséllyel azonosítva a legértékesebb IOC-ket.

Ez a minta tárolja a titkosított műtárgyakat az XOR algoritmus segítségével, amely egyszerű, de hatékony a felderítés elkerülésére. A titkosított adatokban található minták elemzésével a titkosítási kulcs kitalálható, így a rejtett adatok visszafejtése lehetséges.

A támadók az archívumok összekapcsolását használják a rosszindulatú programok elrejtésére, több archívum egyetlen fájlba történő csatolásával, kihasználva, hogy a különböző eszközök hogyan dolgozzák fel azokat. Ez a technika több központi könyvtárat hoz létre - az archívumkezelők által használt kulcsfontosságú szerkezeti elemeket -, ami eltéréseket okoz a kivonatolás során, és lehetővé teszi az archívum figyelmen kívül hagyott részeiben elrejtett rosszindulatú tartalmak észlelésének megkerülését.

Az MD Sandbox felismeri és kivonja a tartalmat az összes összekapcsolt archívumból, így biztosítva, hogy egyetlen fájl sem marad ki, és hatékonyan semlegesíti ezt az elkerülő technikát.

A fenyegető szereplők a szándékosan futtatható fájlokat felduzzasztják szemét adatokkal, hogy az erőforrás- és elemzési időkorlátokat kihasználva elkerüljék a felderítést a homokozókban. Ez a kikerülési technika az időhatárok túllépésével igyekszik túlterhelni az eszközöket vagy megkerülni a vizsgálatokat.

Az MD sandbox idejekorán felismeri a felduzzadt futtatható fájlokat, eltávolítja a felesleges adatokat, és a hatékony elemzés érdekében kisebb fájlt dolgoz fel. Ez a felfúvódástalanítási folyamat különböző módszereket céloz meg, beleértve az átfedésekben, PE szakaszokban és tanúsítványokban lévő szemetet, biztosítva a pontos felismerést az eredeti erőforrások megóvása mellett.

Ez az Office-dokumentum Irán kritikus infrastruktúráit veszi célba (perzsa nyelvű tartalommal), hogy érzékeny információkat, például hitelesítő adatokat és dokumentumokat lopjon el, és rendszeresen képernyőképeket készít, potenciálisan kémkedési céllal.

A perzisztencia megteremtése után egy lopakodó kezdeti internetkapcsolat-ellenőrzést hajt végre (egy megbízható domain, például a google.com ellenében) a megbízható kapcsolat biztosítása érdekében, és a további műveleteket addig késlelteti, amíg a hálózati feltételek lehetővé nem teszik a támadás folytatását. Ez a taktika gyakran megfigyelhető a kritikus infrastruktúrák elleni támadásokban, olyan környezetekben, ahol az internet-hozzáférés időszakos vagy korlátozott lehet.

A kutatók szándékosan megrongált OOXML dokumentumokat (modern irodai dokumentumok) fedeztek fel. A belső fájlcímek közelében lévő bináris tartalom módosításával a szándékosan megrongált fájlokat az automatikus keresők, amelyek megpróbálják kinyerni a tömörített fájlokat, tévesen ZIP-fájlokként ismerhetik fel.

A dokumentumnéző programok megnyitáskor automatikusan javítják a dokumentumot. Ekkor a dokumentum annak ellenére, hogy adathalász tartalmakat tartalmaz, hatékonyan megkerülheti a védelmet. Az automatizált elemzés nem lesz képes elolvasni a tartalmát, és ezért nem veszi észre a releváns mutatókat.

Az olyan e-mail hitelesítési mechanizmusok, mint az SPF, a DKIM és a DMARC alapvető fontosságúak, de a kifinomult támadók néha képesek kijátszani őket. Ez a példa egy olyan forgatókönyvet mutat be, amelyben egy e-mailt a MetaDefender Sandbox annak ellenére, hogy a Google hitelesen aláírta és a szabványos ellenőrzéseken megfelelt, rosszindulatúnak azonosított.

MetaDefender Sandbox számos anomáliát észlelt más mutatókkal együtt:

• DKIM határok megsértése: A DKIM aláírás hatókörén kívül hozzáadott azonosított tartalom.
• Elhomályosítási technikák: Felismerte a túlzott üres szóközöket, amelyeket rosszindulatú szándék elrejtésére használtak.
• Adathalász minták: Az adathalászkísérletekre jellemző sürgős cselekvésre való felhívások felismerése.
• Fejlécelemzés: Az OAuth-alkalmazással való visszaéléssel kapcsolatos rendellenességek megjelölése az e-mail fejlécekben.

A ClickFix egy újonnan megjelenő webes fenyegetés, amely a social engineeringet kihasználva csendben ráveszi a felhasználókat, hogy rosszindulatú parancsokat hajtsanak végre. A hagyományos adathalászattal ellentétben a ClickFix nem fájlletöltéssel vagy hitelesítő adatok ellopásával, hanem megtévesztő UX elemekkel és a vágólap manipulálásával működik.

A ClickFix weboldal egy hamis reCAPTCHA vagy "botvédelmi" képernyővel jelenik meg, hogy legitimnek tűnjön. A felhasználót ezután arra kérik, hogy igazolja magát - gyakran egy ártalmatlannak tűnő interakcióval -, miközben a háttérben csendben fut egy homályos JavaScript kód. Ez a szkript dinamikusan dekódolja a rosszindulatú parancsot, és közvetlenül a rendszer vágólapjára másolja. Ezután a felhasználó félrevezető utasításokat kap és útmutatást a rosszindulatú parancs végrehajtásához, a veszélyről nem is tudva.

A ClickFix rávilágít arra, hogy egyszerű webes technikák a felhasználó megtévesztésével kombinálva hatékonyan megkerülhetik a hagyományos biztonsági rétegeket, így a sandbox-elemzés kritikus fontosságú az ehhez hasonló lopakodó, alacsony lábnyomú támadások leleplezéséhez.

MetaDefender Sandbox végponttól végpontig elemzi ezt a fenyegetést. A homokozó a rosszindulatú URL megjelenítésével és az adathalászat-felismerő modellek alkalmazásával kezdi a gyanús tartalom azonosítását. Ezután kivonja és emulálja a JavaScriptet, szimulálva a felhasználói műveleteket, hogy elérje a kritikus pillanatot, amikor a vágólap módosul. Miután a rejtett parancsot rögzítették, azt emulálják, lehetővé téve a homokozó számára a rosszindulatú végrehajtási folyamat teljes nyomon követését. Ez nemcsak a vágólap-alapú taktikát leplezi le, hanem a hasznos teher viselkedését és a fertőzési láncot is feltárja.

A SolarWinds ellátási láncát ért támadás jól példázza, hogy a megbízható szoftverekben végrehajtott minimális kódváltoztatások hogyan tesznek lehetővé masszív betöréseket a hagyományos biztonsági védelem megkerülésével. A fenyegető szereplők lopakodó hátsó ajtót építettek be egy legitim DLL-be, rosszindulatú logikát ágyazva be, miközben megőrizték az eredeti funkcionalitást. A hasznos teher csendben futott egy párhuzamos szálban, amely legitim komponenseket utánzott. Érvényes digitális aláírással és zökkenőmentes viselkedéssel a DLL elkerülte az észlelést, és titkos hozzáférést biztosított több ezer nagynevű áldozat számára. A build pipeline kompromittálása a megbízható frissítéseket globális behatolás eszközévé tette.

Bár egy 4000 soros hátsó ajtó jelentősnek tűnhet, egy nagyvállalat forráskódjának összefüggésében ez könnyen figyelmen kívül hagyható. A MetaDefender Sandbox ebben nyújt kiemelkedő teljesítményt: nem csak a kódot vizsgálja, hanem azt is megfigyeli, hogy mit csinál a szoftver. Jelzi a normális viselkedéstől való eltéréseket, és az elemzőket arra irányítja, ami valóban számít - átvágva a zajon, hogy rávilágítson azokra a fenyegetésekre, amelyeket a hagyományos felülvizsgálatok valószínűleg nem vennének észre.