Malware-analyse omvat een breed scala aan activiteiten, waaronder het onderzoeken van het netwerkverkeer van de malware. Om hier effectief in te zijn, is het van cruciaal belang om de gemeenschappelijke uitdagingen te begrijpen en te weten hoe u deze kunt overwinnen. Hier volgen drie veelvoorkomende problemen die u kunt tegenkomen en de hulpmiddelen die u nodig heeft om deze aan te pakken.
HTTPS-verkeer ontsleutelen
Hypertext Transfer Protocol Secure (HTTPS), het protocol voor veilige online communicatie, is voor malware een hulpmiddel geworden om hun kwaadaardige activiteiten te verbergen. Door de gegevensuitwisseling tussen geïnfecteerde apparaten en command-and-control (C&C)-servers te camoufleren, kan malware onopgemerkt opereren, gevoelige gegevens exfiltreren, extra payloads installeren en instructies van de operators ontvangen.
Maar met de juiste tool is het ontsleutelen van HTTPS-verkeer een eenvoudige taak. Voor dit doel kunnen we een man-in-the-middle (MITM) proxy gebruiken. De MITM-proxy werkt als tussenpersoon tussen de client en de server en onderschept hun communicatie.
De MITM-proxy helpt analisten bij het realtime monitoren van het netwerkverkeer van de malware, waardoor ze een duidelijk beeld krijgen van de activiteiten ervan. Analisten hebben onder andere toegang tot de inhoud van aanvraag- en antwoordpakketten, IP’s en URL’s om de details van de communicatie van de malware te bekijken en gestolen gegevens te identificeren. De tool is vooral handig voor het extraheren van SSL-sleutels die door de malware worden gebruikt.
Gebruiksgeval
In dit voorbeeld wordt met het oorspronkelijke bestand, dat 237,06 KB groot is, het uitvoerbare bestand van AxilStealer, dat 129,54 KB groot is, verwijderd. Als typische stealer krijgt het toegang tot wachtwoorden die in webbrowsers zijn opgeslagen en begint deze via een Telegram-messengerverbinding aan aanvallers over te dragen.
De kwaadaardige activiteit wordt aangegeven door de regel “STEALER [ANY.RUN] Probeer te exfiltreren via Telegram”. Dankzij de MITM-proxyfunctie wordt het verkeer van de malware gedecodeerd, waardoor meer details over het incident worden onthuld.
De familie van malware ontdekken
Identificatie van malwarefamilies is een cruciaal onderdeel van elk cyberonderzoek. Yara- en Suricata-regels zijn veelgebruikte hulpmiddelen voor deze taak, maar hun effectiviteit kan beperkt zijn bij het omgaan met malwaremonsters waarvan de servers niet langer actief zijn.
FakeNET biedt een oplossing voor dit probleem door een nep-serververbinding te creëren die reageert op malwareverzoeken. Door de malware te misleiden om een verzoek te verzenden, wordt een Suricata- of YARA-regel geactiveerd, die de malwarefamilie nauwkeurig identificeert.
Gebruiksgeval
Bij het analyseren van dit voorbeeld wijst de sandbox erop dat de servers van de malware niet reageren.
Maar nadat de FakeNET-functie is ingeschakeld, stuurt de schadelijke software onmiddellijk een verzoek naar een nepserver, waardoor de netwerkregel wordt geactiveerd die deze identificeert als Smoke Loader.
Het onderscheppen van geogerichte en ontwijkende malware
Veel aanvallen en phishingcampagnes richten zich op specifieke geografische regio’s of landen. Vervolgens integreren ze mechanismen zoals IP-geolocatie, taaldetectie of websiteblokkering, waardoor het vermogen van analisten om ze te detecteren kan worden beperkt.
Naast geotargeting kunnen malware-operatoren technieken gebruiken om analyse in sandbox-omgevingen te omzeilen. Een gebruikelijke aanpak is om te verifiëren of het systeem een IP-adres van een datacenter gebruikt. Indien bevestigd, stopt de uitvoering van de schadelijke software.
Om deze obstakels tegen te gaan, gebruiken analisten een residentiële proxy. Deze handige tool werkt door het IP-adres van het apparaat of de virtuele machine van de analist om te zetten naar de residentiële IP’s van gewone gebruikers uit verschillende delen van de wereld.
Deze functie stelt professionals in staat geografische beperkingen te omzeilen door lokale gebruikers na te bootsen en kwaadaardige activiteiten te bestuderen zonder hun sandbox-omgeving prijs te geven.
Gebruiksgeval
Hier controleert Xworm onmiddellijk op een hosting-IP-adres zodra dit naar een sandbox wordt geüpload. Maar omdat de VM een residentiële proxy heeft, blijft de malware worden uitgevoerd en maakt hij verbinding met de command-and-control-server.
Probeer al deze tools in ANY.RUN
Het afzonderlijk instellen en gebruiken van elk van de bovengenoemde tools kan veel moeite kosten. Om ze allemaal gemakkelijk te kunnen openen en gebruiken, kunt u de cloudgebaseerde ANY.RUN-sandbox gebruiken.
Het belangrijkste kenmerk van de service is interactiviteit, waardoor u veilig met malware en het geïnfecteerde systeem kunt omgaan, net zoals u dat op uw eigen computer zou doen.
U kunt deze en talloze andere functies van ANY.RUN, inclusief privéruimte voor uw team, Windows 7, 8, 10, 11 VM’s en API-integratie, volledig gratis verkennen.
Gebruik gewoon een proefperiode van 14 dagen, zonder verplichtingen.
