MetaDefender Sandbox^™

Documentele malware care utilizează geofencing au devenit o amenințare semnificativă la adresa securității cibernetice. Aceste fișiere malițioase folosesc adesea declanșatoare bazate pe localizare, ceea ce face ca detectarea și atenuarea acestora să fie o sarcină dificilă. Cu toate acestea, analiza Adaptive a amenințărilor se deosebește de abordările tradiționale prin faptul că oferă capacitatea de a emula cu precizie și de a falsifica valorile de geolocație așteptate, neutralizând în mod eficient tacticile utilizate de programele malware, sporind astfel capacitatea noastră de a ne proteja împotriva acestor amenințări.

În exemplul prezentat mai jos, putem observa un malware geofencing care încearcă să se execute exclusiv într-o anumită țară. Cu toate acestea, soluția noastră inovatoare ocolește cu succes această restricție, așa cum am menționat anterior, prin emularea valorilor de geolocalizare dorite, demonstrând capacitatea noastră superioară de a contracara astfel de amenințări bazate pe geofencing.

Prin redarea site-urilor web suspecte și supunerea acestora motorului nostru avansat de învățare automată, suntem capabili să identificăm aproape 300 de mărci. În exemplul prezentat mai jos, puteți vedea un site web rusesc care se preface că este o companie de jocuri pe calculator cunoscută sub numele de Steam. Soluția noastră excelează în compararea conținutului site-ului cu URL-ul autentic, identificând rapid astfel de tentative frauduloase pentru a vă proteja bunurile digitale și informațiile personale.

Modelul ML de detectare offline a URL-urilor oferă un nou nivel de apărare prin detectarea eficientă a URL-urilor suspecte, oferind un mijloc robust de identificare și atenuare a amenințărilor reprezentate de link-urile rău intenționate. Modelul utilizează un set de date care conține sute de mii de URL-uri, etichetate meticulos ca fiind fie fără amenințare, fie rău intenționate de către furnizori de renume, pentru a evalua fezabilitatea detectării exacte a URL-urilor suspecte prin tehnici de învățare automată.

Este important de remarcat faptul că această caracteristică este deosebit de utilă în mediile acoperite de aer, unde nu sunt disponibile căutări online ale reputației.

Exemplarul de mai jos dezvăluie un malware care a fost împachetat utilizând tehnica de împachetare UPX. În ciuda încercării sale de a se sustrage detectării și apărării, analiza noastră a reușit să descompună sarcina utilă, expunând adevărata sa identitate ca troian Dridex. Am reușit să descoperim configurația malware-ului, punând în lumină intențiile malițioase din spatele acestei amenințări, extrăgând IOC-uri valoroase.

Utilizând funcționalitatea Similarity Search, sandbox a detectat un fișier care seamănă foarte mult cu un malware cunoscut. În mod deosebit, acest fișier fusese marcat anterior ca nefiind rău intenționat, dezvăluind potențialul de false negații în evaluările noastre de securitate. Această descoperire ne permite să țintim și să rectificăm în mod specific aceste amenințări trecute cu vederea.

Este important să subliniem faptul că căutarea prin similitudine este extrem de valoroasă pentru cercetarea și vânătoarea de amenințări, deoarece poate ajuta la descoperirea eșantioanelor din aceeași familie sau campanie malware, furnizând IOC suplimentare sau informații relevante despre activități specifice ale amenințărilor.

Our disassembling engine revealed intriguing findings within the target sample. Surprisingly, this sample monitors the system time using the uncommon <rdtsc> instruction and accesses an internal, undocumented structure in Windows, commonly used for different malicious tricks. These unusual actions raise questions about its purpose and underscore the need for further investigation to assess potential risks to the system.

Eșantionul examinat a fost creat utilizând cadrul .NET. Deși ne abținem să afișăm CIL-ul real, procesul nostru de decompilare extrage și prezintă informații demne de menționat, inclusiv șiruri de caractere, artefacte de registru și apeluri API .

Pe lângă aceasta, analizăm metadatele .NET pentru a identifica funcțiile și resursele specifice .NET. Acest proces permite extragerea de informații detaliate despre ansamblu, cum ar fi metode, clase și resurse încorporate, ceea ce este esențial pentru analiza comportamentului și structurii aplicațiilor .NET.

Multe aplicații exploatate aduc sarcina utilă finală în format binar brut (shellcode), ceea ce ar putea constitui un obstacol la analizarea sarcinii utile. Cu ajutorul emulației noastre de shellcode, putem descoperi și analiza comportamentul încărcăturii finale, în acest exemplu pentru o vulnerabilitate Office larg exploatată în editorul de ecuații. Astfel, se deschide ușa pentru colectarea IOC-urilor relevante.

Macro-urile VBA ofuscate reprezintă o provocare semnificativă pentru a oferi un timp rezonabil de răspuns la amenințările active. Acest cod neclar face din analiza și înțelegerea amenințărilor o sarcină extrem de complexă care necesită mult timp și eforturi. Tehnologia noastră de emulare VBA de ultimă generație este capabilă să depășească aceste provocări și oferă o analiză cuprinzătoare a macro-urilor VBA ofuscate împreună cu informații clare despre funcționalitatea acestora în câteva secunde.

Eșantionul analizat este un document Excel cu cod VBA foarte ofuscat care lansează și execută un fișier DLL .NET, împreună cu un fișier LNK însărcinat cu continuarea lanțului de execuție a malware-ului. După emulația VBA, MetaDefender Sandbox identifică procesele lansate și funcția principală de deobfuscare, extrage automat șirurile de caractere ofuscate și salvează fișierele abandonate (anterior hardcoded și criptate în codul VBA). Acest lucru arată rapid scopul principal al malware-ului și ne oferă posibilitatea unei analize mai aprofundate a acestei amenințări.

Utilizarea Windows Task Scheduler pentru a executa sarcini utile malițioase la o dată ulterioară este o tehnică discretă de eludare a mediilor sandbox întâlnită în amenințările recente. Aceasta exploatează întârzierea în execuție pentru a ocoli în mod eficient fereastra scurtă de analiză tipică sandbox-urilor.

Următorul exemplu este un VBScript ofuscat care descarcă sarcina utilă malițioasă și creează o sarcină programată pentru a o executa 67 de minute mai târziu. Sandbox-urile tradiționale mențin execuția doar pentru câteva minute, iar comportamentul rău intenționat nu ar fi niciodată expus. Pe de altă parte, emulatorul nostru VBScript este capabil să detecteze și să depășească această tehnică de evaziune (T1497), adaptând mediul de execuție pentru a continua analiza și obținând raportul complet în 12 secunde.

NET Reflection este o caracteristică puternică oferită de cadrul .NET care permite programelor să inspecteze și să manipuleze structura și comportamentul unui fișier .NET în timpul execuției. Aceasta permite examinarea ansamblurilor, modulelor și tipurilor, precum și capacitatea de a crea dinamic instanțe ale tipurilor, de a invoca metode și de a accesa câmpuri și proprietăți.

Programele malware pot utiliza reflection pentru a încărca dinamic și a executa cod din ansambluri care nu sunt menționate la momentul compilării, permițând obținerea de sarcini utile suplimentare de pe servere la distanță (sau ascunse în fișierul curent) și executarea lor fără a le scrie pe disc, reducând riscul de detectare.

În acest caz, putem vedea cum VBScript-ul analizat încarcă și rulează un ansamblu .NET în memorie direct din octeții stocați într-un registru Windows.

Această caracteristică permite dezvăluirea artefactelor ascunse criptate în cadrul resurselor PE. Artefactele malițioase sunt adesea criptate pentru a evita detectarea și pentru a ascunde adevărata intenție a eșantionului. Descoperirea acestor artefacte este esențială, deoarece acestea conțin de obicei date critice (precum informații C2) sau sarcini utile. Prin extragerea acestora, sandbox-ul poate oferi o scanare mai profundă, cu șanse mai mari de a identifica cele mai valoroase IOC.

Acest eșantion stochează acele artefacte criptate folosind algoritmul XOR, simplu dar eficient pentru a se sustrage detectării. Analizând modelele din datele criptate, cheia de criptare poate fi ghicită, permițând decriptarea celor ascunse.