MetaDefender Sandbox^™

A geofencinget alkalmazó malware dokumentumok jelentős fenyegetést jelentenek a kiberbiztonságra nézve. Ezek a rosszindulatú fájlok gyakran használnak helyalapú kiváltó okokat, ami kihívást jelent a felderítésben és a kárenyhítésben. Az Adaptive fenyegetéselemzés azonban azzal emelkedik ki a hagyományos megközelítések közül, hogy képes pontosan utánozni és meghamisítani az elvárt geolokációs értékeket, így hatékonyan semlegesíti a rosszindulatú programok által alkalmazott taktikákat, és ezáltal javítja az ilyen fenyegetések elleni védekezési képességünket.

Az alábbi mintában megfigyelhetjük, hogy egy geofencing malware kizárólag egy adott országon belül próbál futtatni. Innovatív megoldásunk azonban sikeresen megkerüli ezt a korlátozást, ahogyan azt korábban említettük, a kívánt geolokációs értékek emulálásával, ami bizonyítja az ilyen geofencing-alapú fenyegetések elleni kiváló képességünket.

A gyanús webhelyek renderelésével és a fejlett gépi tanulási motorunkkal való vizsgálatával közel 300 márkát tudunk azonosítani. Az alábbi példában egy Steam nevű számítógépes játékgyártó cégnek álcázott orosz weboldalnak lehet tanúja. Megoldásunk kiválóan összehasonlítja a webhely tartalmát a valódi URL-címmel, és gyorsan azonosítja az ilyen csalárd próbálkozásokat, hogy megvédje digitális eszközeit és személyes adatait.

Az offline URL-érzékelő ML-modell új védelmi réteget biztosít a gyanús URL-ek hatékony felderítésével, és megbízható eszközt kínál a rosszindulatú linkek által jelentett fenyegetések azonosítására és mérséklésére. Egy több százezer URL-t tartalmazó adathalmazt használ fel, amelyet neves gyártók gondosan megjelöltek, mint veszélytelen vagy rosszindulatú, hogy felmérje a gyanús URL-ek gépi tanulási technikák segítségével történő pontos észlelésének megvalósíthatóságát.

Fontos megjegyezni, hogy ez a funkció különösen hasznos a légtérzáras környezetben, ahol az online hírnévkeresés nem áll rendelkezésre.

Az alábbi minta egy olyan kártevőt mutat, amelyet az UPX csomagolási technikával csomagoltak. Annak ellenére, hogy megpróbálta elkerülni a felismerést és a védelmet, elemzésünk sikeresen kicsomagolta a hasznos terhet, felfedve annak valódi identitását, mint Dridex trójai. Sikerült feltárnunk a kártevő konfigurációját, fényt derítve a fenyegetés mögött álló rosszindulatú szándékra, értékes IOC-ket kinyerve.

A Hasonlósági keresés funkciót alkalmazva a homokozó egy olyan fájlt észlelt, amely feltűnően hasonlít egy ismert rosszindulatú szoftverre. Figyelemre méltó, hogy ezt a fájlt korábban nem rosszindulatúnak jelölték, ami rávilágít a hamis negatív eredmények lehetőségére a biztonsági értékeléseinkben. Ez a felfedezés lehetővé teszi számunkra, hogy célzottan megcélozzuk és orvosoljuk ezeket a figyelmen kívül hagyott fenyegetéseket.

Fontos kiemelni, hogy a hasonlósági keresés rendkívül értékes a fenyegetéskutatás és -vadászat szempontjából, mivel segíthet feltárni az azonos rosszindulatú szoftvercsaládból vagy kampányból származó mintákat, további IOC-ket vagy releváns információkat szolgáltatva az egyes fenyegető tevékenységekkel kapcsolatban.

Our disassembling engine revealed intriguing findings within the target sample. Surprisingly, this sample monitors the system time using the uncommon <rdtsc> instruction and accesses an internal, undocumented structure in Windows, commonly used for different malicious tricks. These unusual actions raise questions about its purpose and underscore the need for further investigation to assess potential risks to the system.

A vizsgált minta a .NET keretrendszer segítségével készült. Bár tartózkodunk a tényleges CIL megjelenítésétől, a dekompilációs folyamatunk kivonja és bemutatja a figyelemre méltó információkat, beleértve a karakterláncokat, a registry artifactokat és a API hívásokat.

Emellett elemezzük a .NET metaadatokat, hogy azonosítsuk a .NET-specifikus funkciókat és erőforrásokat. Ez a folyamat lehetővé teszi a részletes információk kinyerését az összeállításról, például a metódusokról, osztályokról és beágyazott erőforrásokról, ami kritikus fontosságú a .NET-alkalmazások viselkedésének és szerkezetének elemzéséhez.

Sok alkalmazás kihasználása nyers bináris formátumban (shellcode) hozza a végső hasznos terhet, ami akadályt jelenthet a hasznos teher elemzésekor. Shellcode-emulációnkkal képesek vagyunk felfedezni és elemezni a végső hasznos teher viselkedését, ebben a példában egy széles körben kihasznált Office sebezhetőséget az egyenletszerkesztőben. Így megnyílik az út a megfelelő IOC-k összegyűjtéséhez.

A homályos VBA-makrók jelentős kihívást jelentenek az aktív fenyegetések ésszerű válaszidejének biztosítása szempontjából. Ez a nem egyértelmű kód a fenyegetések elemzését és megértését rendkívül összetett, sok időt és erőfeszítést igénylő feladattá teszi. Korszerű VBA-emulációs technológiánk képes legyőzni ezeket a kihívásokat, és másodpercek alatt átfogó elemzést nyújt az obfuszkált VBA-makróról, valamint egyértelmű betekintést nyújt annak működésébe.

Az elemzett minta egy Excel-dokumentum, amely erősen elkendőzött VBA-kódot tartalmaz, amely egy .NET DLL-fájlt dob le és futtat, egy LNK-fájllal együtt, amely a kártevő futtatási lánc folytatásáért felelős. A VBA emuláció után a MetaDefender Sandbox azonosítja az indított folyamatokat és a fő deobfuszkáló funkciót, automatikusan kivonja az obfuszkált karakterláncokat és elmenti az elejtett fájlokat (amelyeket korábban keményen kódoltak és titkosítottak a VBA kódban). Ez gyorsan megmutatja a kártevő fő célját, és lehetőséget ad a fenyegetés további elemzésére.

A Windows Feladatütemező használata a rosszindulatú hasznos terhek későbbi időpontban történő végrehajtására egy lopakodó technika a homokozós környezetek kijátszására, amelyet a közelmúltban megjelent fenyegetésekben láthattunk. A végrehajtás késleltetését kihasználva hatékonyan megkerüli a homokdobozokra jellemző rövid elemzési ablakot.

A következő minta egy elkendőzött VBScript, amely letölti a rosszindulatú hasznos terhet, és létrehoz egy ütemezett feladatot, hogy 67 perccel később futtassa azt. A hagyományos sandboxok csak néhány percig tartják fenn a végrehajtást, és a rosszindulatú viselkedés soha nem kerülne nyilvánosságra. Ezzel szemben a mi VBScript emulátorunk képes felismerni és legyőzni ezt a kijátszási technikát (T1497), a végrehajtási környezetet a további elemzés folytatásához igazítja, és 12 másodperc alatt megkapja a teljes jelentést.

A NET Reflection a .NET keretrendszer által biztosított hatékony funkció, amely lehetővé teszi a programok számára, hogy futás közben megvizsgálják és manipulálják a .NET fájlszerkezetet és viselkedést. Lehetővé teszi az összeállítások, modulok és típusok vizsgálatát, valamint a típusok példányainak dinamikus létrehozását, a metódusok meghívását, illetve a mezők és tulajdonságok elérését.

A rosszindulatú programok a tükrözést használhatják a fordításkor nem hivatkozott összeállításokból származó kód dinamikus betöltésére és végrehajtására, lehetővé téve további hasznos terhek távoli szerverekről történő (vagy az aktuális fájlban elrejtett) lekérését és végrehajtását anélkül, hogy a lemezre írnák őket, csökkentve ezzel a felismerés kockázatát.

Ebben az esetben láthatjuk, hogy az elemzett VBScript hogyan tölt be és futtat egy .NET-összeállítást a memóriába közvetlenül egy Windows-regiszterben tárolt bájtokból.

Ez a funkció lehetővé teszi a PE erőforrásokban titkosított rejtett leletek feltárását. A rosszindulatú leleteket gyakran titkosítják, hogy elkerüljék a felismerést és elfedjék a minta valódi szándékát. Ezeknek az artefaktumoknak a feltárása alapvető fontosságú, mivel általában kritikus adatokat (mint C2-információkat) vagy hasznos terheket tartalmaznak. Kivonásukkal a sandbox mélyebb vizsgálatot végezhet, nagyobb eséllyel azonosítva a legértékesebb IOC-ket.

Ez a minta tárolja a titkosított műtárgyakat az XOR algoritmus segítségével, amely egyszerű, de hatékony a felderítés elkerülésére. A titkosított adatokban található minták elemzésével a titkosítási kulcs kitalálható, így a rejtett adatok visszafejtése lehetséges.