More

    Kako prikupiti pokazatelje malicioznog softvera u ANY.RUN Sandboxu

    Indikatori kompromisa (IOC) su kritični forenzički artefakti koje istraživači sajber sigurnosti koriste da „otkriju“, „istraže“ i „ublaže“ sigurnosne prijetnje.

    Budući da ovi digitalni tragovi sadrže “sumnjive IP adrese”, “potpise malicioznog softvera” ili “neobične obrasce ponašanja sistema”.

    Dakle, sve ove elemente istraživači koriste da identifikuju i reaguju na sajber napade.

    Interaktivni “Sandbox” “ANY.RUN” nudi sveobuhvatnu platformu za prikupljanje širokog spektra ‘IOC-a’ koja analitičarima pruža potpun, detaljan pregled sajber prijetnji.

    Ovo okruženje za analizu omogućava korisnicima da bezbjedno izvršavaju “sumnjive datoteke” ili “URL-ove”, posmatrajući njihovo ponašanje u “realnom vremenu” i prikupljajući vrijedne “obaveštajne podatke o prijetnjama”.

    Tehnička analiza

    Sandbox hvata različite vrste IOC-a kao što su „mrežne komunikacije“, „promjene sistema datoteka“, „modifikacije registra“ i „ponašanje procesa“, omogućavajući temeljnu procjenu prijetnji.

    Ne samo da čak i olakšava kreiranje robusnih odbrambenih strategija protiv evoluirajućih sajber prijetnji.

    Ime datoteke prikazano unutar ANY.RUN sandbox-a (izvor – ANY.RUN)

    ⁤Glavni objekat je primarna datoteka koja je pod istragom i dostupna je preko gornjeg desnog ugla interfejsa, nudeći bitne IOC-ove kao što su „putevi do datoteka“ i „haševi“.

    Glavni objekti IOC-ovi unutar ANY.RUN sandbox analize (izvor – ANY.RUN)

    ⁤U donjem panelu pod “Files”, analitičari mogu pratiti “Dropped Executable Files”, otkrivajući “širenje” malvera kroz sistem. ⁤

    Ispuštene izvršne datoteke unutar ANY.RUN (izvor – ANY.RUN)

    ⁤ “Indikatori mreže” su jednako vitalni, kao i DNS zahtjevi, koji se nalaze pod “Mreža → DNS zahtjevi”, koji otkrivaju domene i pokušaje pristupa malicioznom softveru, ne samo da čak i često otkrivaju C2 infrastrukturu. ⁤

    DNS zahtjevi unutar ANY.RUN sandbox-a (izvor – ANY.RUN)

    “⁤Aktivne veze”, vidljive pod “Mreža → Veze”, što omogućava praćenje komunikacijskih kanala malicioznog softvera sa “sumnjivim IP adresama”.

    Veze u ANY.RUN sandbox analizi (izvor – ANY.RUN)

    Ove komponente zajedno nude „sveobuhvatan pregled“ „ponašanja malvera“, od njegovog „početnog izvršenja“ do njegove interakcije sa „spoljnim serverima“.

    Ispitivanjem ovih indikatora sigurnosni analitičari mogu učiniti sljedeće stvari:

    • Pratite aktivnosti zlonamjernog softvera.
    • Razumjeti metode njegovog razmnožavanja.
    • Identificirajte potencijalne prijetnje.

    Ovaj sveobuhvatni pristup u “ ANY.RUN sandbox-u ” omogućava temeljnu istragu i analizu prijetnji.

    Sveobuhvatne mogućnosti praćenja mrežnog saobraćaja u sandbox-u za analizu zlonamjernog softvera ANY.RUN također omogućavaju analitičarima da prate obrasce eksfiltracije podataka kroz detaljne dnevnike zahtjeva „HTTP/HTTPS“ koji se nalaze u odjeljku Mreža → HTTP zahtjevi.

    HTTP zahtjevi prikazani u ANY.RUN (Izvor – ANY.RUN)

    Sofisticirana funkcija “MalConf” (Konfiguracija zlonamjernog softvera) platforme dostupna je preko gornjeg desnog dugmeta.

    MalConf dugme unutar ANY.RUN sandbox (izvor – ANY.RUN)

    Ovo automatski izdvaja ključne IOC-ove kao što su “URL-ovi C2 servera”, “MD5/SHA heševi datoteka”, “maliciozni domeni” i “IP adrese” iz internih konfiguracijskih datoteka malicioznog softvera.

    Konfiguracije zlonamjernog softvera unutar (izvor – ANY.RUN)

    Svi ovi kritični indikatori su smanjeni u centralizovanom prozoru IOC, kojem se može brzo pristupiti preko IOC dugmeta u gornjem desnom uglu interfejsa.

    Ovaj prozor agregira inteligenciju iz faze „statičke analize“ i „dinamičke analize“, predstavljajući „jedinstveni pogled na mrežne artefakte“, „modifikacije sistema datoteka“ i „ponašanja u toku rada“.

    IOCs prozor unutar ANY.RUN sandbox (izvor – ANY.RUN)

    Interfejs uključuje ‘intuitivan sistem padajućeg menija’ za filtriranje i kategorizaciju različitih tipova IOC-a.

    Takođe nudi funkciju izvoza ‘jednim klikom’ koja pojednostavljuje dalji proces inkorporacije.

    Izvor: CyberSecurityNews

    Recent Articles

    spot_img

    Related Stories