Khám phá các mối đe dọa ẩn trong vài giây với Phân tích phần mềm độc hại thế hệ tiếp theo

Các tài liệu phần mềm độc hại sử dụng geofencing đã trở thành mối đe dọa đáng kể đối với an ninh mạng. Các tệp độc hại này thường sử dụng các kích hoạt dựa trên vị trí, khiến việc phát hiện và giảm thiểu trở thành một nhiệm vụ đầy thách thức. Tuy nhiên, Adaptive Threat Analysis nổi bật so với các phương pháp truyền thống nhờ khả năng mô phỏng và làm sai lệch chính xác các giá trị định vị địa lý dự kiến, vô hiệu hóa hiệu quả các chiến thuật mà phần mềm độc hại sử dụng, do đó tăng cường khả năng bảo vệ chống lại các mối đe dọa đó.

Trong mẫu được cung cấp bên dưới, chúng ta có thể quan sát thấy phần mềm độc hại geofencing cố gắng thực thi độc quyền trong một quốc gia cụ thể. Tuy nhiên, giải pháp sáng tạo của chúng tôi đã thành công trong việc vượt qua hạn chế này, như đã đề cập trước đó, bằng cách mô phỏng các giá trị định vị địa lý mong muốn, chứng minh khả năng vượt trội của chúng tôi trong việc chống lại các mối đe dọa dựa trên geofencing như vậy.

Bằng cách hiển thị các trang web đáng ngờ và đưa chúng vào công cụ học máy tiên tiến của chúng tôi, chúng tôi có khả năng xác định gần 300 thương hiệu. Trong ví dụ được cung cấp bên dưới, bạn có thể thấy một trang web của Nga ngụy trang thành một công ty trò chơi điện tử có tên là Steam. Giải pháp của chúng tôi vượt trội trong việc so sánh nội dung của trang web với URL chính hãng, nhanh chóng xác định những nỗ lực gian lận như vậy để bảo vệ tài sản kỹ thuật số và thông tin cá nhân của bạn.

Mô hình ML phát hiện URL ngoại tuyến cung cấp một lớp phòng thủ mới bằng cách phát hiện hiệu quả các URL đáng ngờ, cung cấp một phương tiện mạnh mẽ để xác định và giảm thiểu các mối đe dọa do các liên kết độc hại gây ra. Nó tận dụng một tập dữ liệu chứa hàng trăm nghìn URL, được các nhà cung cấp có uy tín dán nhãn cẩn thận là không có mối đe dọa hoặc độc hại, để đánh giá tính khả thi của việc phát hiện chính xác các URL đáng ngờ thông qua các kỹ thuật học máy.

Điều quan trọng cần lưu ý là tính năng này đặc biệt hữu ích trong môi trường không có kết nối mạng, nơi không thể tra cứu danh tiếng trực tuyến.

Mẫu bên dưới tiết lộ một phần mềm độc hại được đóng gói bằng kỹ thuật đóng gói UPX. Mặc dù cố gắng trốn tránh phát hiện và phòng thủ, phân tích của chúng tôi đã giải nén thành công tải trọng, tiết lộ danh tính thực sự của nó là Trojan Dridex. Chúng tôi đã có thể khám phá cấu hình phần mềm độc hại, làm sáng tỏ ý định độc hại đằng sau mối đe dọa này, trích xuất các IOC có giá trị.

Sử dụng chức năng Tìm kiếm tương tự, sandbox đã phát hiện ra một tệp rất giống với phần mềm độc hại đã biết. Đáng chú ý là tệp này trước đây đã được đánh dấu là không độc hại, cho thấy khả năng có kết quả âm tính giả trong đánh giá bảo mật của chúng tôi. Phát hiện này giúp chúng tôi có thể nhắm mục tiêu cụ thể và khắc phục các mối đe dọa bị bỏ qua này.

Điều quan trọng cần nhấn mạnh là Tìm kiếm tương đồng rất có giá trị đối với nghiên cứu và săn tìm mối đe dọa vì nó có thể giúp phát hiện các mẫu từ cùng một họ phần mềm độc hại hoặc chiến dịch, cung cấp thêm IOC hoặc thông tin có liên quan về các hoạt động đe dọa cụ thể.

Our disassembling engine revealed intriguing findings within the target sample. Surprisingly, this sample monitors the system time using the uncommon <rdtsc> instruction and accesses an internal, undocumented structure in Windows, commonly used for different malicious tricks. These unusual actions raise questions about its purpose and underscore the need for further investigation to assess potential risks to the system.

Mẫu đang được kiểm tra được xây dựng bằng .NET framework. Mặc dù chúng tôi không hiển thị CIL thực tế, nhưng quá trình dịch ngược của chúng tôi sẽ trích xuất và trình bày thông tin đáng chú ý, bao gồm chuỗi, hiện vật đăng ký và giao diện lập trình ứng dụng cuộc gọi.

Bên cạnh đó, chúng tôi phân tích siêu dữ liệu .NET để xác định các chức năng và tài nguyên cụ thể của .NET. Quá trình này cho phép trích xuất thông tin chi tiết về assembly, chẳng hạn như phương pháp, lớp và tài nguyên nhúng, rất quan trọng để phân tích hành vi và cấu trúc của các ứng dụng .NET.

Nhiều khai thác ứng dụng đưa tải trọng cuối cùng của chúng vào định dạng nhị phân thô (shellcode), có thể là một trở ngại khi phân tích tải trọng. Với mô phỏng shellcode của chúng tôi, chúng tôi có thể khám phá và phân tích hành vi của tải trọng cuối cùng, trong ví dụ này là lỗ hổng Office được sử dụng rộng rãi trong trình soạn thảo phương trình. Do đó mở ra cánh cửa để thu thập các IOC có liên quan.

Macro VBA được mã hóa là một thách thức đáng kể trong việc cung cấp thời gian phản hồi hợp lý đối với các mối đe dọa đang hoạt động. Mã không rõ ràng này khiến việc phân tích và hiểu các mối đe dọa trở thành một nhiệm vụ phức tạp đòi hỏi nhiều thời gian và công sức. Công nghệ mô phỏng VBA tiên tiến của chúng tôi có thể vượt qua những thách thức này và cung cấp phân tích toàn diện về macro VBA được mã hóa cùng với thông tin chi tiết rõ ràng về chức năng của nó trong vài giây.

Mẫu được phân tích là một tài liệu Excel có mã VBA được che giấu kỹ lưỡng, mã này sẽ thả và chạy tệp .NET DLL, cùng với tệp LNK chịu trách nhiệm tiếp tục chuỗi thực thi phần mềm độc hại. Sau khi mô phỏng VBA, MetaDefender Sandbox xác định các tiến trình đã khởi chạy và chức năng giải mã chính, tự động trích xuất các chuỗi đã giải mã và lưu các tệp đã xóa (trước đó đã được mã hóa cứng và mã hóa trong mã VBA). Điều này nhanh chóng cho thấy mục đích chính của phần mềm độc hại và cung cấp cho chúng tôi khả năng phân tích sâu hơn về mối đe dọa này.

Sử dụng Windows Task Scheduler để thực thi các payload độc hại sau này là một kỹ thuật ẩn để tránh môi trường sandbox thường thấy trong các mối đe dọa gần đây. Nó khai thác sự chậm trễ trong quá trình thực thi để bỏ qua hiệu quả cửa sổ phân tích ngắn thường thấy của sandbox.

Mẫu sau đây là một VBScript được mã hóa tối nghĩa tải xuống tải trọng độc hại và tạo một tác vụ theo lịch trình để chạy nó sau 67 phút. Các hộp cát truyền thống chỉ duy trì việc thực thi trong vài phút và hành vi độc hại sẽ không bao giờ bị phát hiện. Mặt khác, trình giả lập VBScript của chúng tôi có thể phát hiện và khắc phục kỹ thuật trốn tránh này (T1497), điều chỉnh môi trường thực thi để tiếp tục phân tích sâu hơn và nhận được báo cáo đầy đủ trong 12 giây.

NET Reflection là một tính năng mạnh mẽ do .NET framework cung cấp cho phép các chương trình kiểm tra và thao tác cấu trúc và hành vi của tệp .NET khi chạy. Nó cho phép kiểm tra các assembly, module và type, cũng như khả năng tạo động các thể hiện của type, gọi phương thức và truy cập các trường và thuộc tính.

Phần mềm độc hại có thể sử dụng phản xạ để tải và thực thi mã động từ các cụm không được tham chiếu tại thời điểm biên dịch, cho phép truy xuất các tải trọng bổ sung từ máy chủ từ xa (hoặc ẩn trong tệp hiện tại) và thực thi chúng mà không cần ghi chúng vào đĩa, giúp giảm nguy cơ bị phát hiện.

Trong trường hợp này, chúng ta có thể thấy cách VBScript được phân tích tải và chạy một chương trình lắp ráp .NET vào bộ nhớ trực tiếp từ các byte được lưu trữ trong sổ đăng ký Windows.

Tính năng này cho phép tiết lộ các hiện vật ẩn được mã hóa trong tài nguyên PE. Các hiện vật độc hại thường được mã hóa để tránh bị phát hiện và che giấu mục đích thực sự của mẫu. Việc phát hiện ra các hiện vật này là điều cần thiết, vì chúng thường chứa dữ liệu quan trọng (như thông tin C2) hoặc tải trọng. Bằng cách trích xuất chúng, hộp cát có thể cung cấp quá trình quét sâu hơn, với khả năng xác định các IOC có giá trị nhất cao hơn.

Mẫu này lưu trữ các hiện vật được mã hóa bằng thuật toán XOR, đơn giản nhưng hiệu quả để tránh bị phát hiện. Bằng cách phân tích các mẫu trong dữ liệu được mã hóa, có thể đoán được khóa mã hóa, cho phép giải mã ẩn.