Dynamische malwareanalyse is een belangrijk onderdeel van elk bedreigingsonderzoek. Het omvat het uitvoeren van een voorbeeld van een kwaadaardig programma in de geïsoleerde omgeving van een malware-sandbox om het gedrag ervan te monitoren en bruikbare indicatoren te verzamelen. Effectieve analyses moeten snel, diepgaand en nauwkeurig zijn. Met deze vijf tools kunt u dit gemakkelijk bereiken.
1. Interactiviteit
De mogelijkheid om in realtime met de malware en het systeem te communiceren, is een groot voordeel als het gaat om dynamische analyse. Op deze manier kunt u niet alleen de uitvoering ervan observeren, maar ook zien hoe deze op uw input reageert en specifiek gedrag teweegbrengt.
Bovendien bespaart het tijd doordat u voorbeelden kunt downloaden die worden gehost op websites voor het delen van bestanden, of voorbeelden kunt openen die in een archief zijn opgeslagen, wat een gebruikelijke manier is om payloads aan slachtoffers te bezorgen.
Bekijk deze sandboxsessie in de ANY.RUN-sandbox die laat zien hoe interactiviteit wordt gebruikt voor het analyseren van de hele aanvalsketen, te beginnen met een phishing-e-mail die een pdf-bijlage bevat. De link in de .pdf leidt naar een website voor het delen van bestanden waar een met een wachtwoord beveiligde .zip wordt gehost.
Met de sandbox kunnen we niet alleen het archief downloaden, maar ook het wachtwoord invoeren (dat u in de e-mail kunt vinden) en de inhoud ervan extraheren om de kwaadaardige lading uit te voeren.
Na het starten van het uitvoerbare bestand dat zich in het archief bevindt, detecteert de sandbox onmiddellijk dat het systeem is geïnfecteerd met AsyncRAT, een populaire malwarefamilie die door aanvallers wordt gebruikt om de machines van slachtoffers op afstand te besturen en gevoelige gegevens te stelen.
Het voegt overeenkomstige tags toe aan de interface en genereert een rapport over de dreiging.
Analyseer bestanden en URL’s in een privé, realtime omgeving van de ANY.RUN-sandbox.
Ontvang een gratis proefperiode van 14 dagen voor de sandbox om de mogelijkheden ervan te testen.
2. Extractie van IOC’s
Het verzamelen van relevante compromisindicatoren (IOC’s) is een van de belangrijkste doelstellingen van dynamische analyse. Door malware in een live-omgeving tot ontploffing te brengen, wordt het gedwongen zijn C2-serveradressen, coderingssleutels en andere instellingen vrij te geven die de functionaliteit en communicatie met de aanvallers garanderen.
Hoewel dergelijke gegevens vaak worden beschermd en verborgen door malware-ontwikkelaars, zijn sommige sandbox-oplossingen uitgerust met geavanceerde IOC-verzamelmogelijkheden, waardoor het gemakkelijk wordt om de kwaadaardige infrastructuur te identificeren.
In ANY.RUN kunt u snel verschillende indicatoren verzamelen, waaronder bestandshashes, kwaadaardige URL’s, C2-verbindingen, DNS-verzoeken en meer.
De ANY.RUN-sandbox gaat nog een stap verder door niet alleen een lijst met relevante indicatoren te presenteren die tijdens de analysesessie zijn verzameld, maar ook configuraties voor tientallen populaire malwarefamilies te extraheren. Bekijk een voorbeeld van een malwareconfiguratie in de volgende sandboxsessie.
Dergelijke configuraties zijn de meest betrouwbare bron van bruikbare IOC’s die u zonder aarzeling kunt gebruiken om uw detectiesystemen te verbeteren en de effectiviteit van uw algehele beveiligingsmaatregelen te verbeteren.
3. MITRE ATT&CK-toewijzing
Het voorkomen van potentiële aanvallen op uw infrastructuur gaat niet alleen over het proactief vinden van IOC’s die door aanvallers worden gebruikt. Een duurzamere methode is het begrijpen van de tactieken, technieken en procedures (TTP’s) die worden gebruikt bij malware die zich momenteel op uw branche richt.
Het MITRE ATT&CK-framework helpt u deze TTP’s in kaart te brengen, zodat u kunt zien wat de malware doet en hoe deze in het grotere dreigingsbeeld past. Door TTP’s te begrijpen, kunt u sterkere verdedigingen bouwen die zijn afgestemd op uw organisatie en aanvallers voor de deur tegenhouden.
Zie de volgende analyse van AgentTesla. De dienst registreert alle belangrijke TTP’s die bij de aanval worden gebruikt en geeft voor elk ervan gedetailleerde beschrijvingen.
Het enige dat u nog hoeft te doen, is rekening houden met deze belangrijke dreigingsinformatie en deze gebruiken om uw beveiligingsmechanismen te versterken.
4. Analyse van netwerkverkeer
Dynamische malware-analyse vereist ook een grondig onderzoek van het netwerkverkeer dat door de malware wordt gegenereerd.
Analyse van HTTP-verzoeken, verbindingen en DNS-verzoeken kan inzicht verschaffen in de communicatie van de malware met externe servers, het type gegevens dat wordt uitgewisseld en eventuele kwaadwillige activiteiten.
De ANY.RUN-sandbox registreert al het netwerkverkeer en laat u zowel ontvangen als verzonden pakketten in HEX- en tekstformaat bekijken.
Naast het simpelweg registreren van het verkeer, is het van cruciaal belang dat de sandbox schadelijke acties automatisch detecteert. Hiervoor gebruikt ANY.RUN Suricata IDS-regels die de netwerkactiviteit scannen en meldingen over bedreigingen geven.
U kunt gegevens ook exporteren in PCAP-indeling voor gedetailleerde analyse met behulp van tools zoals Wireshark.
Probeer de geavanceerde netwerkverkeeranalyse van ANY.RUN met een gratis proefperiode van 14 dagen.
5. Geavanceerde procesanalyse
Om de uitvoeringsstroom van de malware en de impact ervan op het systeem te begrijpen, moet u toegang hebben tot gedetailleerde informatie over de processen die erdoor worden voortgebracht. Om u hierbij te helpen, moet de sandbox van uw keuze beschikken over geavanceerde procesanalyses die verschillende gebieden bestrijken.
Door de procesboom in de ANY.RUN-sandbox te visualiseren, wordt het bijvoorbeeld gemakkelijker om de volgorde van het maken en beëindigen van processen te volgen en worden belangrijke processen geïdentificeerd die van cruciaal belang zijn voor de werking van de malware.
U moet ook de authenticiteit van het proces kunnen verifiëren door de certificaatgegevens te bekijken, inclusief de uitgever, status en geldigheid.
Een andere handige functie zijn procesdumps, die essentiële informatie kunnen bevatten, zoals coderingssleutels die door de malware worden gebruikt. Met een effectieve sandbox kunt u deze dumps eenvoudig downloaden om verdere forensische analyses uit te voeren.
Een van de recente trends op het gebied van cyberaanvallen is het gebruik van bestandsloze malware die alleen in het geheugen wordt uitgevoerd. Om dit te kunnen opmerken, moet u toegang hebben tot de scripts en opdrachten die worden uitgevoerd tijdens het infectieproces.
Het bijhouden van gebeurtenissen bij het maken, wijzigen en verwijderen van bestanden is een ander essentieel onderdeel van elk onderzoek naar de activiteiten van malware. Het kan u helpen te achterhalen of een proces probeert bestanden in gevoelige gebieden, zoals systeemmappen of opstartmappen, neer te zetten of te wijzigen.
Het monitoren van registerwijzigingen die door het proces worden aangebracht, is van cruciaal belang voor het begrijpen van de persistentiemechanismen van de malware. Het Windows-register is een veelvoorkomend doelwit voor persistentie op zoek naar malware, omdat het kan worden gebruikt om kwaadaardige code uit te voeren bij het opstarten of om het systeemgedrag te wijzigen.
Analyseer malware- en phishing-bedreigingen in ANY.RUN Sandbox
ANY.RUN biedt een cloud-sandbox voor malware- en phishing-analyse die snelle en nauwkeurige resultaten oplevert om uw onderzoeken te stroomlijnen. Dankzij interactiviteit kunt u vrijelijk omgaan met de bestanden en URL’s die u indient, evenals met het systeem, om de dreiging diepgaand te onderzoeken.
U kunt de geavanceerde sandbox van ANY.RUN integreren met functies zoals Windows- en Linux-VM’s, privémodus en teamwerk in uw organisatie.
Laat uw proefaanvraag achter om de ANY.RUN-sandbox te testen.
