Giriş
Sürekli gelişen tehditler, kötü niyetli yapılarını gizlemek ve güvenlik çözümlerinden kaçmak için karmaşıklık katmanları ekliyor. Günümüzde tehdit aktörleri, dağıtımın son aşamalarına kadar herhangi bir kötü niyetli davranış göstermeyerek radarın altında uçabilen çok katmanlı kötü amaçlı yazılımlar sunmaktadır.
Çok katmanlı kötü amaçlı yazılımlar birden fazla aşama içerir, gizleme ve şifreleme teknikleri ve hatta kötü amaçlı yazılımın davranışının ve işlevselliğinin kurbanın sistemine göre geliştiği uyarlanabilir taktikler kullanır. Bu tehditlere karşı etkili bir tespit ve müdahale, kötü amaçlı yazılımın davranışının kapsamlı bir şekilde anlaşılmasını gerektirir ki bu da önemli ölçüde zaman ve kaynak gerektirir.
Çok katmanlı saldırılarla başa çıkmak için OPSWAT MetaDefender , benzersiz bir emülasyon tabanlı uyarlanabilir tehdit analizi teknolojisini gelişmiş algılama ve tehdit istihbaratı yetenekleriyle birleştiren bütünsel bir yaklaşım izler.
Karmaşık kötü amaçlı yazılımları yenmek için statik ve dinamik analizleri birleştirme
MetaDefender motoru, tehdit algılamada ön saflarda yer alır ve statik ve dinamik analiz tekniklerini sorunsuz bir şekilde birleştirerek en sofistike saldırıları bile engeller.
- Derin Yapı Analizi: 50'den fazla desteklenen dosya türü için erken tespit yetenekleri sağlayan ve daha fazla analiz için gömülü aktif içeriği çıkaran ilk statik dosya değerlendirmesi.
- Dinamik İçerik Analizi: Şüpheli URL'ler de dahil olmak üzere gizli kötü niyetli faaliyetleri ortaya çıkarmak için e-postalardaki, web sayfalarındaki ve belgelerdeki içeriği ve bağlamı inceler ve analiz eder. Bu, kimlik avı saldırılarına karşı özellikle yararlı bir koruyucu önlemdir.
- Uyarlanabilir Tehdit Analizi: Belirli bir ortamı hedef almak üzere tasarlanmış olsa bile kötü amaçlı yazılımın yürütme akışı üzerinde kontrolü koruyan emülasyon tabanlı dinamik analiz. Office dosyalarını, Taşınabilir Yürütülebilirleri ve en yaygın komut dosyalarını destekler.
Tüm modüllerin birbirinin içine aktığını ve sorunsuz bir analiz ve bilgi alışverişi sağladığını unutmayın.
Tüm bu teknolojiler, farklı saldırı katmanlarına ilişkin benzersiz bir içgörü sağlamada, modern kötü amaçlı yazılımları doğru bir şekilde değerlendirmek için hedeflenen ortamlara gerçek zamanlı olarak uyum sağlamada ve MetaDefender Cloud, güncel tehdit istihbaratı ve ilgili Taktikler, Teknikler ve Prosedürler (TTP) ile doğrulanmış güvenilir bir Uzlaşma Göstergeleri (IOC) seti oluşturmada önemli bir rol oynar.
MetaDefender'un gücünü açığa çıkarma Advanced Threat Detection
Aşağıdaki kullanım örneği, tehdit algılama motorunun birden fazla modülünün gelişmiş bir kötü amaçlı yazılım simülatörü olan Cobalt Strike'ı (CS) hedeflemek ve son derece değerli içgörüler elde etmek için nasıl birlikte çalıştığını örneklemektedir.
CS, hedefli saldırılar gerçekleştirmek ve gelişmiş tehdit aktörlerinin istismar sonrası eylemlerini taklit etmek için tasarlanmış ticari bir uzaktan erişim aracıdır. CS'nin kırılmış sürümleri tehdit aktörleri tarafından yaygın olarak kullanılmakta ve diske dokunmadan kurban ana bilgisayara bellek içi bir aracı (beacon) yerleştirmelerine olanak tanımaktadır. CS beacon, çeşitli protokoller üzerinden ortak ve kontrol (C2) iletişimini ve ayrıcalık yükseltme, kimlik bilgisi boşaltma, yanal hareket ve veri sızıntısı dahil olmak üzere çok sayıda işlevselliği destekler.
CS, sayısız çeşitlilikte sunulur ve her biri tespit ve analiz açısından kendine özgü zorluklar ortaya çıkarır. MetaDefender , bu yeni dağıtım yöntemlerine uyum sağlayarak, son derece gizlenmiş ve şifrelenmiş kötü amaçlı yazılımları tespit eder, bize bu yazılımların işlevselliği hakkında derinlemesine bilgi verir ve yüksek değerli IOC ve TTP'leri çıkarır.
Örnek genel bakış
Analiz edilen örnek, kötü niyetli bir ana bilgisayardan gizlice bir Cobalt Strike stager PE indiren Pyinstaller kullanılarak derlenmiş bir Taşınabilir yürütülebilir (PE) dosyasıdır. Ardından, stager PE gömülü CS işaretinin şifresini çözer ve belleğe enjekte ederek C2 ile iletişimi başlatır.
Katman 1: Pyinstaller tarafından derlenmiş PE
PyInstaller, bir Python uygulamasını ve tüm bağımlılıklarını tek bir pakette bir araya getirerek kullanıcının Python yorumlayıcısı veya herhangi bir modül yüklemeden uygulamayı çalıştırmasına olanak tanır, bu da kötü amaçlı yazılım yaratıcıları için çekici bir tekliftir.
Bu dosyanın statik analizi, kötü amaçlı davranışına odaklanmak yerine yalnızca çok sayıda gereksiz gürültü üretecektir. MetaDefender , derlenmiş bayt kodu (pyc) dosyalarını ve orijinal python kodu tarafından kullanılan gömülü artefaktları açar ve çıkarır. Ardından, pyc dosyalarını dekompile ederek orijinal python kodunu elde eder, bu da tehdit göstergelerini tespit etmemizi ve yüksek değerli IOC'leri çıkarmamızı sağlar.
Pyinstaller, en yaygın dosya arşivleyiciler tarafından bile desteklenmeyen özel bir açma işlemine ihtiyaç duyar. MetaDefender artık, Nuitka ve Py2exe gibi diğer yaygın python derleyicilerini de destekleyen yerleşik bir python açma özelliği içerir.
Bu yeni özellik, bu ilk paketleme katmanını atlamamıza yardımcı olur ve paketten çıkarılan dosyaların analizine devam eder.
Katman 2: Python kodunun derlemesini çözün ve analiz için kötü amaçlı yapıyı indirin
Python dosyalarının derlemesini açmak bize bu kötü amaçlı yazılımın kötü amaçlı bir URL'den bir PE dosyası (CS stager) indirdiğini gösteriyor. Ardından, CS stager'ı çalıştırır ve olası IOC'leri ortadan kaldırmak için diskten kaldırır. Ayrıca, kullanıcıyı bir hata oluştuğuna inandırmak için sahte bir Windows mesajı açılır.
MetaDefender , kötü amaçlı URL'yi çıkarır ve daha ayrıntılı analiz için stager'ı indirir.
Katman 3: Cobalt Strike yapılandırma kod çözme
İndirilen PE (cs.exe) dosyası, ikinci bir PE dosyasının şifresini çözen bir stager'dır. Bu dosya, CS işaretçisinin şifresini çözer ve onu belleğe enjekte eder. CS, işaretçiyi gizlemek ve tespit edilmesini zorlaştırmak için birçok teknik kullanır. MetaDefender , CS işaretçisine ulaşana kadar yürütme akışını statik olarak takip edebilir ve yapılandırmasını çıkarabilir.
CS istifleyicisi .data bölümünde XOR şifreli bir PE dosyası gizler. Bu ikinci PE, CS işaretçisi için varsayılan yansıtıcı yük leyici saplamasının başlangıcı olan iyi bilinen DLL başlığı (MZARUH) aracılığıyla tanımlanabilen bir DLL dosyasına karşılık gelir. Bu, ilk PE'nin yansıtıcı yükleyici DLL'sini bellekte ayırmak ve kopyalamaktan, içe aktarma işlev adreslerini ayrıştırmak ve çözümlemekten ve DLL'nin giriş noktasını çalıştırmaktan sorumlu olacağı anlamına gelir. Son olarak, yansıtıcı yükleyici bellekteki CS işaretinin şifresini çözecek ve çalıştıracaktır.
CS işaret yapılandırması, tek bayt XOR ile şifrelenmiş yansıtıcı yükleyici DLL'de saklanır. CS yapılandırmasının her zaman "00 01 00 01 00 02" bayt deseniyle başladığını unutmayın; bu, kaba kuvvet XOR ile şifrelendiğinde bile kolayca tanımlamamıza yardımcı olur.
Sonuç
CS'nin bu teknik analizi, mevcut siber tehditlerin karmaşıklığını ve derinliğini vurgulamakta ve MetaDefender güçlü, gelişmiş tehdit motorunun çok katmanlı saldırıları olağanüstü bir hızla etkili bir şekilde analiz ettiğini göstermektedir.
Python paket açma ve ayrıştırma özelliği, kötü niyetli programın gerçek doğasını ortaya çıkarmak için gerekli olan daha derin analizi mümkün kılmaktadır. Paket açmanın CS yapılandırmasının tespit edilmesine ve çıkarılmasına yol açan ek eylemleri nasıl tetiklediğini gördük.
Kötü amaçlı yazılım yapılandırmasının çıkarılması her zaman değerli IOC'leri ortaya çıkarır ve doğru kötü amaçlı yazılım tanımlamasını sağlar. Kötü amaçlı yazılım analistlerinden oluşan özel ekibimiz, desteklenen kötü amaçlı yazılım aileleri yelpazesini sürekli genişleterek kapsamlı bir kapsam sağlar ve ortaya çıkan tehditlerin hızlı bir şekilde tespit edilmesine olanak tanır.
Uzlaşma Göstergeleri (IOC'ler)
Pyinstaller tarafından derlenmiş PE
Sha256: d5a5a87cbc499d39797bcba85232fd1eede2fd81f4d5a1147454324968185926
Cobalt Strike Stager
Sha256: d8674a668cb51fe0d8dc89740c03e95d1f659fb6cb66ec8c896e3b1af748662f
Kötü Amaçlı URL
hxxp[://]43[.]143[.]130[.]124:8000/cs[.]exe
Cobalt Strike C2 IP adresi
43[.]143[.]130[.]124
