MetaDefender Sandbox^™

Các tài liệu mã độc sử dụng geofencing đã trở thành mối đe dọa đáng kể đối với an ninh mạng. Các tệp độc hại này thường sử dụng các kích hoạt dựa trên vị trí, khiến việc phát hiện và giảm thiểu trở thành một nhiệm vụ đầy thách thức. Tuy nhiên, Adaptive Threat Analysis nổi bật so với các phương pháp truyền thống nhờ khả năng mô phỏng và làm sai lệch chính xác các giá trị định vị địa lý dự kiến, vô hiệu hóa hiệu quả các chiến thuật mà mã độc sử dụng, do đó tăng cường khả năng bảo vệ chống lại các mối đe dọa đó.

Trong mẫu được cung cấp bên dưới, chúng ta có thể quan sát thấy mã độc geofencing cố gắng thực thi độc quyền trong một quốc gia cụ thể. Tuy nhiên, giải pháp sáng tạo của chúng tôi đã thành công trong việc vượt qua hạn chế này, như đã đề cập trước đó, bằng cách mô phỏng các giá trị định vị địa lý mong muốn, chứng minh khả năng vượt trội của chúng tôi trong việc chống lại các mối đe dọa dựa trên geofencing như vậy.

• Phát hiện thương hiệu: Bằng cách hiển thị các trang web đáng ngờ và áp dụng công nghệ học máy tiên tiến, chúng tôi có khả năng xác định gần 300 thương hiệu. Trong ví dụ dưới đây, bạn có thể thấy một trang web giả mạo công ty phát trực tuyến Netflix. Giải pháp của chúng tôi vượt trội trong việc so sánh nội dung của trang web với URL chính hãng, nhanh chóng xác định các hành vi gian lận nhằm bảo vệ tài sản kỹ thuật số và thông tin cá nhân của bạn. Tìm hiểu thêm .
• Phân tích dựa trên AI: Chúng tôi có một giải pháp dựa trên AI để phân tích lưu lượng mạng, cấu trúc và nội dung văn bản của trang được hiển thị. Kết quả của mô hình kết hợp có thể được xem sau 'Mô hình Mối đe dọa Web ML'.

Mô hình ML phát hiện URL ngoại tuyến cung cấp một lớp phòng thủ mới bằng cách phát hiện hiệu quả các URL đáng ngờ, cung cấp một phương tiện mạnh mẽ để xác định và giảm thiểu các mối đe dọa do các liên kết độc hại gây ra. Nó tận dụng một tập dữ liệu chứa hàng trăm nghìn URL, được các nhà cung cấp có uy tín dán nhãn cẩn thận là không có mối đe dọa hoặc độc hại, để đánh giá tính khả thi của việc phát hiện chính xác các URL đáng ngờ thông qua các kỹ thuật học máy.

Điều quan trọng cần lưu ý là tính năng này đặc biệt hữu ích trong môi trường không có kết nối mạng, nơi không thể tra cứu danh tiếng trực tuyến.

Mẫu bên dưới tiết lộ một mã độc được đóng gói bằng kỹ thuật đóng gói UPX. Mặc dù cố gắng trốn tránh phát hiện và phòng thủ, phân tích của chúng tôi đã giải nén thành công tải trọng, tiết lộ danh tính thực sự của nó là Trojan Dridex. Chúng tôi đã có thể khám phá cấu hình mã độc, làm sáng tỏ ý định độc hại đằng sau mối đe dọa này, trích xuất các IOC có giá trị.

Sử dụng chức năng Tìm kiếm tương tự, sandbox đã phát hiện ra một tệp rất giống với mã độc đã biết. Đáng chú ý là tệp này trước đây đã được đánh dấu là không độc hại, cho thấy khả năng có kết quả âm tính giả trong đánh giá bảo mật của chúng tôi. Phát hiện này giúp chúng tôi có thể nhắm mục tiêu cụ thể và khắc phục các mối đe dọa bị bỏ qua này.

Điều quan trọng cần nhấn mạnh là Tìm kiếm tương đồng rất có giá trị đối với nghiên cứu và săn tìm mối đe dọa vì nó có thể giúp phát hiện các mẫu từ cùng một họ mã độc hoặc chiến dịch, cung cấp thêm IOC hoặc thông tin có liên quan về các hoạt động đe dọa cụ thể.

Our disassembling engine revealed intriguing findings within the target sample. Surprisingly, this sample monitors the system time using the uncommon <rdtsc> instruction and accesses an internal, undocumented structure in Windows, commonly used for different malicious tricks. These unusual actions raise questions about its purpose and underscore the need for further investigation to assess potential risks to the system.

Mẫu đang được kiểm tra được xây dựng bằng .NET framework. Mặc dù chúng tôi không hiển thị CIL thực tế, nhưng quá trình dịch ngược của chúng tôi sẽ trích xuất và trình bày thông tin đáng chú ý, bao gồm chuỗi, hiện vật đăng ký và giao diện lập trình ứng dụng cuộc gọi.

Bên cạnh đó, chúng tôi phân tích siêu dữ liệu .NET để xác định các chức năng và tài nguyên cụ thể của .NET. Quá trình này cho phép trích xuất thông tin chi tiết về assembly, chẳng hạn như phương pháp, lớp và tài nguyên nhúng, rất quan trọng để phân tích hành vi và cấu trúc của các ứng dụng .NET.

Nhiều khai thác ứng dụng đưa tải trọng cuối cùng của chúng vào định dạng nhị phân thô (shellcode), có thể là một trở ngại khi phân tích tải trọng. Với mô phỏng shellcode của chúng tôi, chúng tôi có thể khám phá và phân tích hành vi của tải trọng cuối cùng, trong ví dụ này là lỗ hổng Office được sử dụng rộng rãi trong trình soạn thảo phương trình. Do đó mở ra cánh cửa để thu thập các IOC có liên quan.

Macro VBA được mã hóa là một thách thức đáng kể trong việc cung cấp thời gian phản hồi hợp lý đối với các mối đe dọa đang hoạt động. Mã không rõ ràng này khiến việc phân tích và hiểu các mối đe dọa trở thành một nhiệm vụ phức tạp đòi hỏi nhiều thời gian và công sức. Công nghệ mô phỏng VBA tiên tiến của chúng tôi có thể vượt qua những thách thức này và cung cấp phân tích toàn diện về macro VBA được mã hóa cùng với thông tin chi tiết rõ ràng về chức năng của nó trong vài giây.

Mẫu được phân tích là một tài liệu Excel có mã VBA được che giấu kỹ lưỡng, mã này sẽ thả và chạy tệp .NET DLL, cùng với tệp LNK chịu trách nhiệm tiếp tục chuỗi thực thi mã độc. Sau khi mô phỏng VBA, MetaDefender Sandbox xác định các tiến trình đã khởi chạy và chức năng giải mã chính, tự động trích xuất các chuỗi đã giải mã và lưu các tệp đã xóa (trước đó đã được mã hóa cứng và mã hóa trong mã VBA). Điều này nhanh chóng cho thấy mục đích chính của mã độc và cung cấp cho chúng tôi khả năng phân tích sâu hơn về mối đe dọa này.

Sử dụng Windows Task Scheduler để thực thi các payload độc hại sau này là một kỹ thuật ẩn để tránh môi trường sandbox thường thấy trong các mối đe dọa gần đây. Nó khai thác sự chậm trễ trong quá trình thực thi để bỏ qua hiệu quả cửa sổ phân tích ngắn thường thấy của sandbox.

Mẫu sau đây là một VBScript được mã hóa tối nghĩa tải xuống tải trọng độc hại và tạo một tác vụ theo lịch trình để chạy nó sau 67 phút. Các môi trường giả lập truyền thống chỉ duy trì việc thực thi trong vài phút và hành vi độc hại sẽ không bao giờ bị phát hiện. Mặt khác, trình giả lập VBScript của chúng tôi có thể phát hiện và khắc phục kỹ thuật trốn tránh này (T1497), điều chỉnh môi trường thực thi để tiếp tục phân tích sâu hơn và nhận được báo cáo đầy đủ trong 12 giây.

NET Reflection là một tính năng mạnh mẽ do .NET framework cung cấp cho phép các chương trình kiểm tra và thao tác cấu trúc và hành vi của tệp .NET khi chạy. Nó cho phép kiểm tra các assembly, module và type, cũng như khả năng tạo động các thể hiện của type, gọi phương thức và truy cập các trường và thuộc tính.

mã độc có thể sử dụng phản xạ để tải và thực thi mã động từ các cụm không được tham chiếu tại thời điểm biên dịch, cho phép truy xuất các tải trọng bổ sung từ máy chủ từ xa (hoặc ẩn trong tệp hiện tại) và thực thi chúng mà không cần ghi chúng vào đĩa, giúp giảm nguy cơ bị phát hiện.

Trong trường hợp này, chúng ta có thể thấy cách VBScript được phân tích tải và chạy một chương trình lắp ráp .NET vào bộ nhớ trực tiếp từ các byte được lưu trữ trong sổ đăng ký Windows.

Tính năng này cho phép tiết lộ các hiện vật ẩn được mã hóa trong tài nguyên PE. Các hiện vật độc hại thường được mã hóa để tránh bị phát hiện và che giấu mục đích thực sự của mẫu. Việc phát hiện ra các hiện vật này là điều cần thiết, vì chúng thường chứa dữ liệu quan trọng (như thông tin C2) hoặc tải trọng. Bằng cách trích xuất chúng, môi trường giả lập có thể cung cấp quá trình quét sâu hơn, với khả năng xác định các IOC có giá trị nhất cao hơn.

Mẫu này lưu trữ các hiện vật được mã hóa bằng thuật toán XOR, đơn giản nhưng hiệu quả để tránh bị phát hiện. Bằng cách phân tích các mẫu trong dữ liệu được mã hóa, có thể đoán được khóa mã hóa, cho phép giải mã ẩn.

Kẻ tấn công sử dụng kỹ thuật nối kho lưu trữ để ẩn mã độc bằng cách thêm nhiều kho lưu trữ vào một tệp duy nhất, khai thác cách các công cụ khác nhau xử lý chúng. Kỹ thuật này tạo ra nhiều thư mục trung tâm - các yếu tố cấu trúc chính được các trình quản lý kho lưu trữ sử dụng - gây ra sự khác biệt trong quá trình trích xuất và cho phép bỏ qua việc phát hiện nội dung độc hại ẩn trong các phần bị bỏ qua của kho lưu trữ.

Bác sĩ Sandbox phát hiện và trích xuất nội dung từ tất cả các kho lưu trữ được nối tiếp, đảm bảo không có tệp nào bị bỏ sót và vô hiệu hóa hiệu quả kỹ thuật trốn tránh này.

Kẻ tấn công cố tình nhồi nhét dữ liệu rác vào các tệp thực thi để tránh bị phát hiện bằng cách khai thác các hạn chế về tài nguyên và thời gian phân tích trong môi trường sandbox. Kỹ thuật lẩn tránh này nhằm mục đích làm quá tải các công cụ hoặc bỏ qua quá trình quét bằng cách vượt quá giới hạn thời gian.

MD sandbox phát hiện sớm các tệp thực thi phình to, loại bỏ dữ liệu rác và xử lý tệp nhỏ hơn để phân tích hiệu quả. Quy trình loại bỏ phình to này nhắm vào nhiều phương pháp khác nhau, bao gồm cả rác trong lớp phủ, phần PE và chứng chỉ, đảm bảo phát hiện chính xác trong khi vẫn bảo toàn tài nguyên gốc.

Tài liệu Văn phòng này nhắm mục tiêu cơ sở hạ tầng trọng yếu ở Iran (có nội dung bằng tiếng Ba Tư) để đánh cắp thông tin nhạy cảm, chẳng hạn như thông tin xác thực và tài liệu, và định kỳ chụp ảnh màn hình, có thể phục vụ mục đích gián điệp.

Sau khi thiết lập tính bền bỉ, nó sẽ thực hiện kiểm tra kết nối internet ban đầu một cách bí mật (đối với một tên miền đáng tin cậy như google.com) để đảm bảo kết nối ổn định, trì hoãn các hành động tiếp theo cho đến khi điều kiện mạng cho phép cuộc tấn công diễn ra. Đây là một chiến thuật thường thấy trong các cuộc tấn công vào cơ sở hạ tầng trọng yếu , môi trường mà việc truy cập internet có thể bị gián đoạn hoặc hạn chế.

Các nhà nghiên cứu đã phát hiện ra các tài liệu OOXML (tài liệu văn phòng hiện đại) bị cố ý làm hỏng. Bằng cách sửa đổi nội dung nhị phân gần tiêu đề tệp nội bộ, các tệp bị cố ý làm hỏng có thể bị phát hiện nhầm là tệp ZIP bởi các chương trình quét tự động, vốn sẽ cố gắng trích xuất các tệp nén.

Trình xem tài liệu sẽ tự động sửa chữa tài liệu khi mở. Tại thời điểm này, mặc dù tài liệu chứa nội dung lừa đảo, nó có thể đã vượt qua các biện pháp phòng thủ một cách hiệu quả. Phân tích tự động sẽ không thể đọc được nội dung của nó và do đó bỏ lỡ các chỉ số liên quan.

Các cơ chế xác thực email như SPF, DKIM và DMARC rất cần thiết, nhưng những kẻ tấn công tinh vi đôi khi có thể vượt qua chúng. Ví dụ này minh họa một tình huống trong đó một email, mặc dù đã được Google ký xác thực và vượt qua các kiểm tra tiêu chuẩn, vẫn bị xác định là độc hại. MetaDefender Sandbox .

MetaDefender Sandbox phát hiện một số bất thường cùng với các chỉ số khác:

• Vi phạm ranh giới DKIM: Nội dung được xác định nằm ngoài phạm vi chữ ký DKIM.
• Kỹ thuật che giấu: Phát hiện khoảng trắng quá mức được sử dụng để che giấu ý định xấu.
• Mẫu lừa đảo: Nhận biết được đặc điểm kêu gọi hành động khẩn cấp của các nỗ lực lừa đảo.
• Phân tích tiêu đề: Đánh dấu các điểm bất thường trong tiêu đề email liên quan đến việc lạm dụng ứng dụng OAuth.

ClickFix là một mối đe dọa trực tuyến mới nổi, lợi dụng kỹ thuật xã hội để âm thầm lừa người dùng thực thi các lệnh độc hại. Không giống như lừa đảo truyền thống, ClickFix hoạt động thông qua các yếu tố UX lừa đảo và thao túng clipboard thay vì tải xuống tệp hoặc đánh cắp thông tin đăng nhập.

Trang web ClickFix hiển thị màn hình reCAPTCHA hoặc "bảo vệ bot" giả mạo để trông có vẻ hợp pháp. Sau đó, người dùng được yêu cầu xác minh danh tính—thường thông qua một tương tác trông có vẻ vô hại—trong khi, ở chế độ nền, mã JavaScript được mã hóa sẽ chạy âm thầm. Tập lệnh này sẽ tự động giải mã một lệnh độc hại và sao chép trực tiếp vào bộ nhớ tạm của hệ thống. Tiếp theo, người dùng được cung cấp các hướng dẫn gây hiểu lầm và hướng dẫn thực thi mã độc mà không hề hay biết về mối nguy hiểm.

ClickFix nhấn mạnh cách các kỹ thuật web đơn giản, kết hợp với việc lừa dối người dùng, có thể vượt qua các lớp bảo mật truyền thống một cách hiệu quả—khiến phân tích môi trường giả lập trở nên quan trọng để phát hiện các cuộc tấn công lén lút, ít dấu vết như thế này.

MetaDefender Sandbox Phân tích mối đe dọa này từ đầu đến cuối. Sandbox bắt đầu bằng cách hiển thị URL độc hại và áp dụng các mô hình phát hiện lừa đảo để xác định nội dung đáng ngờ. Sau đó, nó trích xuất và mô phỏng JavaScript, mô phỏng hành động của người dùng cho đến thời điểm quan trọng khi bảng tạm bị sửa đổi. Khi lệnh ẩn được phát hiện, nó sẽ được mô phỏng, cho phép sandbox theo dõi toàn bộ luồng thực thi độc hại. Điều này không chỉ phơi bày chiến thuật dựa trên bảng tạm mà còn tiết lộ hành vi và chuỗi lây nhiễm của payload.

Vụ tấn công chuỗi cung ứng SolarWinds minh họa rõ ràng rằng chỉ một vài thay đổi mã nhỏ trong phần mềm đáng tin cậy cũng có thể dẫn đến các vi phạm quy mô lớn, vượt qua được các lớp phòng thủ truyền thống. Các tác nhân đe dọa đã chèn một cửa hậu (backdoor) tinh vi vào một tệp DLL hợp lệ, nhúng logic độc hại đồng thời vẫn giữ nguyên chức năng ban đầu. Payload được thực thi lặng lẽ trong một luồng song song, bắt chước các thành phần hợp pháp; kèm theo chữ ký số hợp lệ và hành vi liền mạch, DLL này đã né tránh được cơ chế phát hiện và mở cửa truy cập bí mật cho hàng nghìn nạn nhân là tổ chức lớn. Việc chuỗi công cụ xây dựng (build pipeline) bị xâm phạm đã biến các bản cập nhật đáng tin cậy thành phương tiện cho một chiến dịch xâm nhập toàn cầu.

Mặc dù một cửa hậu 4.000 dòng có vẻ quan trọng, nhưng trong bối cảnh mã nguồn của một doanh nghiệp lớn, nó dễ bị bỏ qua. Đây là nơi MetaDefender Sandbox excels: nó không chỉ kiểm tra mã, mà còn quan sát những gì phần mềm thực hiện. Nó đánh dấu các sai lệch so với hành vi bình thường, hướng dẫn các nhà phân tích đến những gì thực sự quan trọng - loại bỏ nhiễu để làm nổi bật các mối đe dọa mà các đánh giá truyền thống có thể bỏ sót.