Sandboxen zijn synoniem met dynamische malware-analyse. Ze helpen kwaadaardige bestanden uit te voeren in een veilige virtuele omgeving en hun gedrag te observeren. Ze bieden echter ook veel waarde op het gebied van statische analyse. Bekijk deze vijf scenario's waarin een sandbox een nuttig hulpmiddel kan zijn bij uw onderzoek.
Bedreigingen in PDF's detecteren
PDF-bestanden worden vaak misbruikt door bedreigingsactoren om payloads te leveren. Statische analyse in een sandbox maakt het mogelijk om elke bedreiging die een kwaadaardige PDF bevat bloot te leggen door de structuur ervan te extraheren.
De aanwezigheid van JavaScript- of Bash-scripts kan een mogelijk mechanisme onthullen voor het downloaden en uitvoeren van malware.
Sandboxen zoals ANY.RUN stellen gebruikers ook in staat URL's in PDF's nauwkeurig te onderzoeken om verdachte domeinen, potentiële command and control (C2)-servers of andere indicatoren van compromittering te identificeren.
Voorbeeld:
Interactiviteit stelt onze gebruikers in staat bestanden binnen een VM naar wens te manipuleren, maar statische Discovery biedt nog meer mogelijkheden.
Als onderdeel van deze analysesessie vermeldt de statische module verschillende URL's die in de PDF te vinden zijn. Om ze te onderzoeken, kunnen we ze allemaal indienen voor verdere sandbox-analyse door simpelweg op de bijbehorende knop te klikken.
Ontdek hoe statische en dynamische analyse in de ANY.RUN-sandbox uw beveiligingsteam ten goede kan komen.
Boek vandaag nog een persoonlijke demo van de dienst!
LNK-misbruik blootleggen
LNK-bestanden zijn snelkoppelingen die verwijzen naar een uitvoerbaar bestand, een document of een map. Een sandbox kan een transparant beeld bieden van de eigenschappen van het LNK-bestand, zoals het doelpad, de pictogramlocatie en eventuele ingebedde opdrachten of scripts.
Het bekijken van opdrachten in LNK-bestanden kan pogingen onthullen om kwaadaardige software te starten of verbinding te maken met externe servers.
Statische analyse in een sandbox is vooral nuttig bij het identificeren van bedreigingen die geen nieuw proces voortbrengen. Deze kunnen moeilijk te detecteren zijn met alleen dynamische analyse.
Voorbeeld:
Door de inhoud van LNK-bestanden te onderzoeken, kunt u aanvallen detecteren voordat ze beginnen.
In deze sandboxsessie kunnen we elk detail van het LNK-bestand ontdekken, inclusief de opdrachtregelargumenten die aantonen dat het bestand is geconfigureerd om een payload van een kwaadaardige URL te downloaden en uit te voeren.
Onderzoek naar spam en phishing-e-mails
E-mail blijft een van de meest voorkomende vectoren voor de verspreiding van malware. Met een sandbox kunt u een e-mailbestand naar de service uploaden en veilig analyseren om spam en verborgen kwaadaardige elementen sneller en zonder enig risico voor uw infrastructuur op te sporen.
Een sandbox toont een e-mailvoorbeeld en vermeldt metadata en Indicators of Compromise (IOC's). U kunt de inhoud van de e-mail onderzoeken zonder deze te openen en de metagegevens bestuderen die informatie bieden over de herkomst van de e-mail, tijdstempels en andere relevante details.
De ANY.RUN-sandbox integreert ook RSPAMD, een open-sourcemodule die een phishing-score toewijst aan elke geanalyseerde e-mail en alle elementen ervan weergeeft met behulp van deze functies:
- Headeranalyse: Onderzoekt e-mailheaders op authenticiteit en afwijkingen van de afzender.
- Reputatiecontroles: Identificeert bekende bronnen van spam/malware met behulp van DNSBL's en URIBL's.
- Bayesiaanse filtering: Classificeert e-mails op basis van probabilistische analyse.
In ANY.RUN kunt u verder gaan dan statische analyse en rechtstreeks met de e-mail communiceren, net zoals u dat op uw eigen computer zou doen. Dit betekent dat u bijlagen kunt downloaden en openen, ook bijlagen die met een wachtwoord zijn beveiligd, of de hele phishing-aanval kunt volgen, beginnend bij de eerste link.
Voorbeeld:
Alle inhoud in EMAIL-bestanden wordt geëxtraheerd en beschikbaar gemaakt via statische analyse in de sandbox, waardoor gebruikers details erover kunnen bekijken, zelfs zonder toegang tot de VM zelf.
Tijdens deze analysesessie kunnen we een .RAR-bijlage bekijken die bij de e-mail wordt gevoegd. Aangezien een van de bestanden in dit archief een uitvoerbaar bestand is met de naam “Commercial Invoice PDF”, kunnen we onmiddellijk aannemen dat het een kwaadaardig karakter heeft.
Om het uitvoerbare bestand te analyseren, kunnen we eenvoudig op de knop “Verzenden om te analyseren” klikken en een nieuwe sandbox-sessie starten.
Verdachte Office-documenten analyseren
Microsoft Office-documenten, zoals Word-, Excel- en PowerPoint-documenten, vormen een van de grootste beveiligingsrisico's in zowel zakelijke als persoonlijke omgevingen. Er kan statische sandbox-analyse worden gebruikt om verschillende elementen van dergelijke documenten nauwkeurig te onderzoeken zonder ze te openen. Deze omvatten:
- Inhoud: Met statische Sandbox-analyse kunt u de inhoud van het document onderzoeken op tekenen van social engineering-tactieken, phishing-pogingen of verdachte links.
- Macro's: Aanvallers maken vaak misbruik van VBA-code (Visual Basic for Applications) in Office-documenten om kwaadaardige taken te automatiseren. Deze taken kunnen variëren van het downloaden en uitvoeren van malware tot het stelen van gevoelige gegevens. ANY.RUN toont de volledige uitvoeringsketen van het script, zodat u het stap voor stap kunt bestuderen.
- Afbeeldingen en QR-codes: Met steganografietechnieken kunnen aanvallers code in afbeeldingen verbergen. Met statische sandbox-analyse kunnen deze verborgen gegevens worden geëxtraheerd. QR-codes die in documenten zijn ingebed, kunnen ook kwaadaardige links bevatten. Een sandbox kan deze decoderen en de potentiële bedreigingen blootleggen.
- Metagegevens: Informatie over de creatie, wijziging, auteur, enz. van het document kan u helpen de oorsprong van het document te begrijpen.
Voorbeeld:
Microsoft Office-bestanden zijn er in verschillende formaten en het analyseren van hun interne structuur kan soms een uitdaging zijn. Met Static Discovery voor Office-bestanden kunt u macro's onderzoeken zonder dat u extra hulpmiddelen nodig hebt.
Alle ingebedde bestanden, inclusief afbeeldingen, scripts en uitvoerbare bestanden, zijn ook toegankelijk voor verdere analyse. QR-codes worden gedetecteerd tijdens statische analyse en gebruikers kunnen een nieuwe taak indienen waarmee de inhoud wordt geopend die in deze codes is gecodeerd, zoals URL's.
In deze sessie maakt statische analyse het mogelijk om te zien dat het geanalyseerde .pptx-bestand een .zip-archief bevat.
Kijken in kwaadaardige archieven
Archieven zoals ZIP, tar.gz, .bz2 en RAR worden vaak gebruikt als middel om basisdetectiemethoden te omzeilen. Een sandbox-omgeving biedt een veilige en geïsoleerde ruimte om deze bestanden te analyseren.
Sandboxen kunnen bijvoorbeeld archieven uitpakken om hun inhoud vrij te geven, inclusief uitvoerbare bestanden, scripts en andere potentieel kwaadaardige componenten. Deze bestanden kunnen vervolgens worden geanalyseerd met behulp van de ingebouwde statische module om hun bedreigingen bloot te leggen.
Voorbeeld:
In ANY.RUN kunnen gebruikers bestanden rechtstreeks vanuit gearchiveerde bestanden indienen voor nieuwe analyse vanuit het statische detectievenster. Dit elimineert de noodzaak om ze te downloaden of handmatig uit te pakken in een VM.
In deze analysesessie zien we wederom een archief met bestanden die één voor één kunnen worden bestudeerd om te bepalen of aanvullende analyse nodig is.
Voer statische en dynamische analyses uit in ANY.RUN
ANY.RUN is een cloudgebaseerde sandbox met geavanceerde statische en dynamische analysemogelijkheden. Met deze service kunt u verdachte bestanden en links scannen en binnen 40 seconden de eerste resultaten op hun dreigingsniveau krijgen. Het geeft u een realtime overzicht van het netwerkverkeer, registeractiviteiten en processen die plaatsvinden tijdens de uitvoering van malware, waarbij kwaadaardig gedrag en de tactieken, technieken en procedures (TTP's) worden belicht.
ANY.RUN biedt u volledige controle over de VM, waardoor interactie met de virtuele omgeving mogelijk is, net als op een standaardcomputer. De sandbox genereert uitgebreide rapporten met belangrijke informatie over dreigingen, inclusief indicatoren van compromissen (IOC's).
Begin vandaag nog gratis met het gebruik van ANY.RUN en geniet van onbeperkte malware-analyse in Windows- en Linux-VM's.