Documentele malware care utilizează geofencing au devenit o amenințare semnificativă la adresa securității cibernetice. Aceste fișiere malițioase folosesc adesea declanșatoare bazate pe localizare, ceea ce face ca detectarea și atenuarea acestora să fie o sarcină dificilă. Cu toate acestea, analiza Adaptive a amenințărilor se deosebește de abordările tradiționale prin faptul că oferă capacitatea de a emula cu precizie și de a falsifica valorile de geolocație așteptate, neutralizând în mod eficient tacticile utilizate de programele malware, sporind astfel capacitatea noastră de a ne proteja împotriva acestor amenințări.

În exemplul prezentat mai jos, putem observa un malware geofencing care încearcă să se execute exclusiv într-o anumită țară. Cu toate acestea, soluția noastră inovatoare ocolește cu succes această restricție, așa cum am menționat anterior, prin emularea valorilor de geolocalizare dorite, demonstrând capacitatea noastră superioară de a contracara astfel de amenințări bazate pe geofencing.

• Detectarea mărcilor: Prin redarea site-urilor web suspecte și supunerea acestora motorului nostru avansat de învățare automată, suntem capabili să identificăm aproape 300 de mărci. În exemplul prezentat mai jos, puteți vedea un site web care se preface că este o companie de streaming cunoscută sub numele de Netflix. Soluția noastră excelează în compararea conținutului site-ului cu URL-ul autentic, identificând rapid astfel de tentative frauduloase pentru a vă proteja activele digitale și informațiile personale. Aflați mai multe.
• Analiză bazată pe AI: Avem o soluție bazată pe AI care analizează traficul de rețea, conținutul structural și textual al paginii redate. Verdictul rezultatului modelului comun poate fi văzut după "ML Web Threat Model".

Modelul ML de detectare offline a URL-urilor oferă un nou nivel de apărare prin detectarea eficientă a URL-urilor suspecte, oferind un mijloc robust de identificare și atenuare a amenințărilor reprezentate de link-urile rău intenționate. Modelul utilizează un set de date care conține sute de mii de URL-uri, etichetate meticulos ca fiind fie fără amenințare, fie rău intenționate de către furnizori de renume, pentru a evalua fezabilitatea detectării exacte a URL-urilor suspecte prin tehnici de învățare automată.

Este important de remarcat faptul că această caracteristică este deosebit de utilă în mediile acoperite de aer, unde nu sunt disponibile căutări online ale reputației.

Exemplarul de mai jos dezvăluie un malware care a fost împachetat utilizând tehnica de împachetare UPX. În ciuda încercării sale de a se sustrage detectării și apărării, analiza noastră a reușit să descompună sarcina utilă, expunând adevărata sa identitate ca troian Dridex. Am reușit să descoperim configurația malware-ului, punând în lumină intențiile malițioase din spatele acestei amenințări, extrăgând IOC-uri valoroase.

Utilizând funcționalitatea Similarity Search, sandbox a detectat un fișier care seamănă foarte mult cu un malware cunoscut. În mod deosebit, acest fișier fusese marcat anterior ca nefiind rău intenționat, dezvăluind potențialul de false negații în evaluările noastre de securitate. Această descoperire ne permite să țintim și să rectificăm în mod specific aceste amenințări trecute cu vederea.

Este important să subliniem faptul că căutarea prin similitudine este extrem de valoroasă pentru cercetarea și vânătoarea de amenințări, deoarece poate ajuta la descoperirea eșantioanelor din aceeași familie sau campanie malware, furnizând IOC suplimentare sau informații relevante despre activități specifice ale amenințărilor.

Our disassembling engine revealed intriguing findings within the target sample. Surprisingly, this sample monitors the system time using the uncommon <rdtsc> instruction and accesses an internal, undocumented structure in Windows, commonly used for different malicious tricks. These unusual actions raise questions about its purpose and underscore the need for further investigation to assess potential risks to the system.

Eșantionul examinat a fost creat utilizând cadrul .NET. Deși ne abținem să afișăm CIL-ul real, procesul nostru de decompilare extrage și prezintă informații demne de menționat, inclusiv șiruri de caractere, artefacte de registru și apeluri API .

Pe lângă aceasta, analizăm metadatele .NET pentru a identifica funcțiile și resursele specifice .NET. Acest proces permite extragerea de informații detaliate despre ansamblu, cum ar fi metode, clase și resurse încorporate, ceea ce este esențial pentru analiza comportamentului și structurii aplicațiilor .NET.

Multe aplicații exploatate aduc sarcina utilă finală în format binar brut (shellcode), ceea ce ar putea constitui un obstacol la analizarea sarcinii utile. Cu ajutorul emulației noastre de shellcode, putem descoperi și analiza comportamentul încărcăturii finale, în acest exemplu pentru o vulnerabilitate Office larg exploatată în editorul de ecuații. Astfel, se deschide ușa pentru colectarea IOC-urilor relevante.

Macro-urile VBA ofuscate reprezintă o provocare semnificativă pentru a oferi un timp rezonabil de răspuns la amenințările active. Acest cod neclar face din analiza și înțelegerea amenințărilor o sarcină extrem de complexă care necesită mult timp și eforturi. Tehnologia noastră de emulare VBA de ultimă generație este capabilă să depășească aceste provocări și oferă o analiză cuprinzătoare a macro-urilor VBA ofuscate împreună cu informații clare despre funcționalitatea acestora în câteva secunde.

Eșantionul analizat este un document Excel cu cod VBA foarte ofuscat care lansează și execută un fișier DLL .NET, împreună cu un fișier LNK însărcinat cu continuarea lanțului de execuție a malware-ului. După emulația VBA, MetaDefender Sandbox identifică procesele lansate și funcția principală de deobfuscare, extrage automat șirurile de caractere ofuscate și salvează fișierele abandonate (anterior hardcoded și criptate în codul VBA). Acest lucru arată rapid scopul principal al malware-ului și ne oferă posibilitatea unei analize mai aprofundate a acestei amenințări.

Utilizarea Windows Task Scheduler pentru a executa sarcini utile malițioase la o dată ulterioară este o tehnică discretă de eludare a mediilor sandbox întâlnită în amenințările recente. Aceasta exploatează întârzierea în execuție pentru a ocoli în mod eficient fereastra scurtă de analiză tipică sandbox-urilor.

Următorul exemplu este un VBScript ofuscat care descarcă sarcina utilă malițioasă și creează o sarcină programată pentru a o executa 67 de minute mai târziu. Sandbox-urile tradiționale mențin execuția doar pentru câteva minute, iar comportamentul rău intenționat nu ar fi niciodată expus. Pe de altă parte, emulatorul nostru VBScript este capabil să detecteze și să depășească această tehnică de evaziune (T1497), adaptând mediul de execuție pentru a continua analiza și obținând raportul complet în 12 secunde.

NET Reflection este o caracteristică puternică oferită de cadrul .NET care permite programelor să inspecteze și să manipuleze structura și comportamentul unui fișier .NET în timpul execuției. Aceasta permite examinarea ansamblurilor, modulelor și tipurilor, precum și capacitatea de a crea dinamic instanțe ale tipurilor, de a invoca metode și de a accesa câmpuri și proprietăți.

Programele malware pot utiliza reflection pentru a încărca dinamic și a executa cod din ansambluri care nu sunt menționate la momentul compilării, permițând obținerea de sarcini utile suplimentare de pe servere la distanță (sau ascunse în fișierul curent) și executarea lor fără a le scrie pe disc, reducând riscul de detectare.

În acest caz, putem vedea cum VBScript-ul analizat încarcă și rulează un ansamblu .NET în memorie direct din octeții stocați într-un registru Windows.

Această caracteristică permite dezvăluirea artefactelor ascunse criptate în cadrul resurselor PE. Artefactele malițioase sunt adesea criptate pentru a evita detectarea și pentru a ascunde adevărata intenție a eșantionului. Descoperirea acestor artefacte este esențială, deoarece acestea conțin de obicei date critice (precum informații C2) sau sarcini utile. Prin extragerea acestora, sandbox-ul poate oferi o scanare mai profundă, cu șanse mai mari de a identifica cele mai valoroase IOC.

Acest eșantion stochează acele artefacte criptate folosind algoritmul XOR, simplu dar eficient pentru a se sustrage detectării. Analizând modelele din datele criptate, cheia de criptare poate fi ghicită, permițând decriptarea celor ascunse.

Atacatorii folosesc concatenarea arhivelor pentru a ascunde programe malware prin adăugarea mai multor arhive într-un singur fișier, exploatând modul în care diferite instrumente le procesează. Această tehnică creează mai multe directoare centrale - elemente structurale cheie utilizate de administratorii de arhive - cauzând discrepanțe în timpul extracției și permițând ocolirea detectării conținutului rău intenționat ascuns în părți ignorate ale arhivei.

MD Sandbox detectează și extrage conținutul din toate arhivele concatenate, asigurându-se că niciun fișier nu este omis și neutralizând eficient această tehnică evazivă.

Actorii de amenințări umplu intenționat executabilele cu date nedorite pentru a se sustrage detectării, exploatând limitările de resurse și constrângerile de timp de analiză din sandbox-uri. Această tehnică de evaziune urmărește să copleșească instrumentele sau să ocolească scanările prin depășirea limitelor de timp.

MD sandbox detectează din timp executabilele umflate, elimină datele nedorite și procesează un fișier mai mic pentru o analiză eficientă. Acest proces de deblocare vizează diverse metode, inclusiv gunoiul din suprapuneri, secțiuni PE și certificate, asigurând o detectare precisă și conservând în același timp resursele originale.

Acest document Office vizează infrastructuri critice din Iran (cu conținut în persană) pentru a fura informații sensibile, cum ar fi acreditări și documente, și face periodic capturi de ecran, potențial în scopuri de spionaj.

După stabilirea persistenței, acesta efectuează o verificare inițială ascunsă a conectivității la internet (în raport cu un domeniu de încredere precum google.com) pentru a asigura o conexiune fiabilă, amânând acțiunile ulterioare până când condițiile de rețea permit continuarea atacului. Aceasta este o tactică frecvent observată în atacurile asupra infrastructurilor critice, medii în care accesul la internet poate fi intermitent sau restricționat.

Cercetătorii au descoperit documente OOXML (documente office moderne) corupte intenționat. Prin modificarea conținutului binar din apropierea antetelor interne ale fișierelor, fișierele deteriorate intenționat pot fi detectate greșit ca fișiere ZIP de către scanările automate care vor încerca să extragă fișiere comprimate.

Vizoarele de documente vor repara automat documentul la deschidere. În acest moment, deși documentul conține conținut de phishing, este posibil ca acesta să fi ocolit în mod eficient sistemele de apărare. Analiza automatizată nu va putea citi conținutul acestuia și, prin urmare, nu va detecta indicatorii relevanți.

Mecanismele de autentificare a e-mailurilor precum SPF, DKIM și DMARC sunt esențiale, însă atacatorii sofisticați le pot ocoli uneori. Acest exemplu prezintă un scenariu în care un e-mail, deși a fost semnat în mod autentic de Google și a trecut verificările standard, a fost identificat ca fiind malițios de către MetaDefender Sandbox.

MetaDefender Sandbox a detectat mai multe anomalii împreună cu alți indicatori:

• Încălcarea limitelor DKIM: Identificarea conținutului adăugat dincolo de domeniul de aplicare al semnăturii DKIM.
• Tehnici de ofuscare: Detectarea spațiilor albe excesive utilizate pentru a ascunde intenții rău intenționate.
• Modele de phishing: Recunoașterea apelurilor urgente la acțiune caracteristice tentativelor de phishing.
• Analiza antetelor: Anomalii semnalate în antetele e-mailurilor asociate cu abuzul aplicației OAuth.

ClickFix este o amenințare web emergentă care utilizează ingineria socială pentru a păcăli în mod silențios utilizatorii să execute comenzi malițioase. Spre deosebire de phishing-ul tradițional, ClickFix operează prin elemente UX înșelătoare și manipularea clipboard-ului, mai degrabă decât prin descărcarea de fișiere sau furtul de acreditări.

Site-ul ClickFix prezintă un reCAPTCHA fals sau un ecran de "protecție împotriva roboților" pentru a părea legitim. Utilizatorului i se cere apoi să se legitimeze - adesea printr-o interacțiune care pare inofensivă - în timp ce, în fundal, un cod JavaScript ofuscat rulează în tăcere. Acest script decodifică în mod dinamic o comandă malițioasă și o copiază direct în clipboard-ul sistemului. Apoi, utilizatorului i se prezintă instrucțiuni înșelătoare și este ghidat pentru a executa malware-ul, fără a fi conștient de pericol.

ClickFix evidențiază modul în care tehnicile web simple, combinate cu înșelăciunea utilizatorului, pot ocoli în mod eficient straturile tradiționale de securitate, ceea ce face ca analiza sandbox să fie esențială pentru descoperirea atacurilor furtive, cu amprentă redusă, precum acesta.

MetaDefender Sandbox analizează această amenințare de la un capăt la altul. Sandbox-ul începe prin redarea URL-ului malițios și aplicarea modelelor de detectare a phishing-ului pentru a identifica conținutul suspect. Apoi extrage și emulează JavaScript-ul, simulând acțiunile utilizatorului pentru a ajunge la momentul critic în care este modificat clipboard-ul. Odată ce comanda ascunsă este capturată, aceasta este emulată, permițând sandbox-ului să urmărească complet fluxul de execuție rău intenționat. Acest lucru nu numai că expune tactica bazată pe clipboard, dar dezvăluie și comportamentul încărcăturii utile și lanțul de infectare.

Atacul asupra lanțului de aprovizionare SolarWinds exemplifică modul în care modificări minime ale codului în software de încredere pot permite breșe masive, ocolind în același timp apărarea tradițională de securitate. Actorii amenințării au injectat un backdoor ascuns într-o DLL legitimă, încorporând o logică malițioasă, păstrând în același timp funcționalitatea originală. Sarcina utilă a rulat silențios într-un fir paralel, imitând componentele legitime. Cu o semnătură digitală validă și un comportament transparent, DLL-ul a scăpat de detectare și a permis accesul ascuns la mii de victime de profil înalt. Compromiterea conductei de construire a transformat actualizările de încredere într-un vehicul de intruziune globală.

În timp ce un backdoor de 4.000 de linii poate părea semnificativ, în contextul codului sursă al unei întreprinderi mari, este ușor de trecut cu vederea. Aici excelează MetaDefender Sandbox : nu doar inspectează codul, ci observă ce face software-ul. Acesta semnalează abaterile de la comportamentul normal, ghidând analiștii către ceea ce contează cu adevărat - trecând prin zgomot pentru a scoate în evidență amenințările pe care analizele tradiționale le-ar putea rata.