Gizli Tehditleri Saniyeler İçinde Ortaya Çıkarın Yeni Nesil Kötü Amaçlı Yazılım Analizi ile

Coğrafi sınırlama kullanan kötü amaçlı yazılım belgeleri siber güvenlik için önemli bir tehdit haline gelmiştir. Bu kötü amaçlı dosyalar genellikle konum tabanlı tetikleyiciler kullanır, bu da tespit ve azaltma işlemlerini zor bir görev haline getirir. Bununla birlikte, Adaptive Tehdit Analizi, beklenen coğrafi konum değerlerini doğru bir şekilde taklit etme ve tahrif etme, kötü amaçlı yazılımlar tarafından kullanılan taktikleri etkili bir şekilde etkisiz hale getirme ve böylece bu tür tehditlere karşı koruma yeteneğimizi artırma yeteneği sunarak geleneksel yaklaşımlardan ayrılır.

Aşağıda verilen örnekte, yalnızca belirli bir ülkede çalıştırılmaya çalışılan bir coğrafi sınırlama kötü amaçlı yazılımını gözlemleyebiliyoruz. Ancak, yenilikçi çözümümüz, daha önce de belirtildiği gibi, istenen coğrafi konum değerlerini taklit ederek bu kısıtlamayı başarıyla atlatmakta ve bu tür coğrafi sınırlama tabanlı tehditlere karşı koyma konusundaki üstün yeteneğimizi göstermektedir.

Şüpheli web sitelerini işleyerek ve bunları gelişmiş makine öğrenimi motorumuza tabi tutarak yaklaşık 300 markayı tanımlayabiliyoruz. Aşağıda verilen örnekte, Steam olarak bilinen bir bilgisayar oyunu şirketi gibi görünen bir Rus web sitesine tanık olabilirsiniz. Çözümümüz, sitenin içeriğini gerçek URL ile karşılaştırarak dijital varlıklarınızı ve kişisel bilgilerinizi korumak için bu tür dolandırıcılık girişimlerini hızlı bir şekilde tespit eder.

Çevrimdışı URL dedektörü ML modeli, şüpheli URL'leri etkili bir şekilde tespit ederek yeni bir savunma katmanı sağlar ve kötü amaçlı bağlantıların oluşturduğu tehditleri belirlemek ve azaltmak için sağlam bir araç sunar. Makine öğrenimi teknikleri aracılığıyla şüpheli URL'leri doğru bir şekilde tespit etmenin fizibilitesini değerlendirmek için, saygın satıcılar tarafından tehdit içermeyen veya kötü amaçlı olarak titizlikle etiketlenmiş yüz binlerce URL içeren bir veri kümesinden yararlanmaktadır.

Bu özelliğin, çevrimiçi itibar aramalarının mevcut olmadığı hava boşluklu ortamlarda özellikle yararlı olduğunu belirtmek önemlidir.

Aşağıdaki örnek, UPX paketleme tekniği kullanılarak paketlenmiş bir kötü amaçlı yazılımı ortaya koymaktadır. Tespit ve savunmadan kaçma girişimine rağmen, analizimiz yükü başarıyla açarak gerçek kimliğini bir Dridex Truva Atı olarak ortaya çıkardı. Kötü amaçlı yazılım yapılandırmasını ortaya çıkarabildik ve bu tehdidin arkasındaki kötü niyete ışık tutarak değerli IOC'leri çıkardık.

Sandbox, Benzerlik Arama işlevini kullanarak bilinen bir kötü amaçlı yazılıma oldukça benzeyen bir dosya tespit etti. Özellikle, bu dosya daha önce zararlı olmayan olarak işaretlenmişti ve güvenlik değerlendirmelerimizdeki yanlış negatif potansiyelini ortaya çıkardı. Bu keşif, gözden kaçan bu tehditleri özellikle hedeflememizi ve düzeltmemizi sağlıyor.

Benzerlik Aramasının tehdit araştırması ve avcılığı için son derece değerli olduğunu vurgulamak önemlidir, çünkü aynı kötü amaçlı yazılım ailesinden veya kampanyasından örnekleri ortaya çıkarmaya yardımcı olabilir, ek IOC'ler veya belirli tehdit faaliyetleri hakkında ilgili bilgiler sağlayabilir.

Our disassembling engine revealed intriguing findings within the target sample. Surprisingly, this sample monitors the system time using the uncommon <rdtsc> instruction and accesses an internal, undocumented structure in Windows, commonly used for different malicious tricks. These unusual actions raise questions about its purpose and underscore the need for further investigation to assess potential risks to the system.

İncelenen örnek .NET çerçevesi kullanılarak oluşturulmuştur. Gerçek CIL'i görüntülemekten kaçınsak da, ayrıştırma işlemimiz dizeler, kayıt defteri yapıları ve API çağrıları dahil olmak üzere kayda değer bilgileri çıkarır ve sunar.

Bunun yanı sıra, .NET'e özgü işlevleri ve kaynakları tanımlamak için .NET meta verilerini ayrıştırıyoruz. Bu işlem, .NET uygulamalarının davranışını ve yapısını analiz etmek için kritik olan yöntemler, sınıflar ve gömülü kaynaklar gibi montaj hakkında ayrıntılı bilgilerin çıkarılmasına olanak tanır.

Birçok uygulama istismarı nihai yükünü ham ikili formatta (shellcode) getirir, bu da yükü ayrıştırırken bir engel teşkil edebilir. Kabuk kodu emülasyonumuzla, bu örnekte denklem düzenleyicisindeki yaygın olarak kullanılan bir Office güvenlik açığı için nihai yükün davranışını keşfedebilir ve analiz edebiliriz. Böylece ilgili IOC'leri toplamak için kapıyı açıyoruz.

Karartılmış VBA makroları, aktif tehditlere makul bir yanıt süresi sunmak için önemli bir zorluk teşkil etmektedir. Bu belirsiz kod, tehditlerin analizini ve anlaşılmasını çok fazla zaman ve çaba gerektiren oldukça karmaşık bir görev haline getirmektedir. Son teknoloji VBA emülasyon teknolojimiz bu zorlukların üstesinden gelebilmekte ve saniyeler içinde işlevselliği hakkında net bilgilerle birlikte gizlenmiş VBA makrosunun kapsamlı bir analizini sağlamaktadır.

Analiz edilen örnek, kötü amaçlı yazılım yürütme zincirini devam ettirmekle görevli bir LNK dosyasıyla birlikte bir .NET DLL dosyasını düşüren ve çalıştıran yüksek oranda gizlenmiş VBA koduna sahip bir Excel belgesidir. VBA emülasyonundan sonra, MetaDefender Sandbox başlatılan işlemleri ve ana deobfuscating işlevini tanımlar, otomatik olarak obfuscated dizeleri çıkarır ve bırakılan dosyaları kaydeder (daha önce VBA kodunda sabit kodlanmış ve şifrelenmiş). Bu, kötü amaçlı yazılımın ana amacını hızlı bir şekilde gösterir ve bize bu tehdidin daha ileri bir analizini yapma imkanı verir.

Kötü amaçlı yükleri daha sonra çalıştırmak için Windows Görev Zamanlayıcısı'nı kullanmak, son tehditlerde görülen korumalı alan ortamlarından kaçmak için gizli bir tekniktir. Kum havuzlarının tipik kısa analiz penceresini etkili bir şekilde atlamak için yürütmedeki gecikmeden yararlanır.

Aşağıdaki örnek, kötü amaçlı yükü indiren ve 67 dakika sonra çalıştırmak için zamanlanmış bir görev oluşturan gizlenmiş bir VBScript'tir. Geleneksel kum havuzları yürütmeyi yalnızca birkaç dakika boyunca sürdürür ve kötü niyetli davranış asla açığa çıkmaz. Öte yandan, VBScript emülatörümüz bu kaçınma tekniğini (T1497) tespit edip üstesinden gelebilmekte, yürütme ortamını daha fazla analize devam edecek şekilde uyarlayabilmekte ve 12 saniye içinde tam raporu alabilmektedir.

NET Reflection, .NET çerçevesi tarafından sağlanan ve programların çalışma zamanında bir .NET dosya yapısını ve davranışını incelemesine ve değiştirmesine olanak tanıyan güçlü bir özelliktir. Derlemelerin, modüllerin ve türlerin incelenmesinin yanı sıra türlerin örneklerini dinamik olarak oluşturma, yöntemleri çağırma ve alanlara ve özelliklere erişme olanağı sağlar.

Kötü amaçlı yazılımlar, derleme zamanında referans verilmeyen derlemelerden dinamik olarak kod yüklemek ve çalıştırmak için yansımayı kullanabilir, bu da uzak sunuculardan (veya mevcut dosyada gizlenmiş) ek yükler getirmeye ve bunları diske yazmadan çalıştırmaya olanak tanıyarak tespit riskini azaltır.

Bu durumda, analiz edilen VBScript'in bir .NET derlemesini doğrudan bir Windows kaydında depolanan baytlardan belleğe nasıl yüklediğini ve çalıştırdığını görebiliriz.

Bu özellik PE kaynakları içinde şifrelenmiş gizli eserlerin ortaya çıkarılmasını sağlar. Kötü amaçlı yapılar genellikle tespit edilmekten kaçınmak ve örneğin gerçek amacını gizlemek için şifrelenir. Genellikle kritik veriler (C2 bilgileri gibi) veya yükler içerdiklerinden, bu yapıların ortaya çıkarılması çok önemlidir. Bunları ayıklayarak, sanal alan daha derin bir tarama sağlayabilir ve en değerli IOC'leri belirleme şansı daha yüksektir.

Bu örnek, XOR algoritmasını kullanarak şifrelenmiş eserleri saklar, basit ama tespit edilmekten kaçınmak için etkilidir. Şifrelenmiş verilerdeki kalıpları analiz ederek, şifreleme anahtarı tahmin edilebilir ve gizli olanın şifresinin çözülmesine olanak tanır.