Site icon Kiber.ba

Kako prikupiti pokazatelje malicioznog softvera u ANY.RUN Sandboxu

Kako prikupiti pokazatelje malicioznog softvera u ANY.RUN Sandboxu-Kiber.ba

Kako prikupiti pokazatelje malicioznog softvera u ANY.RUN Sandboxu-Kiber.ba

Indikatori kompromisa (IOC) su kritični forenzički artefakti koje istraživači sajber sigurnosti koriste da „otkriju“, „istraže“ i „ublaže“ sigurnosne prijetnje.

Budući da ovi digitalni tragovi sadrže “sumnjive IP adrese”, “potpise malicioznog softvera” ili “neobične obrasce ponašanja sistema”.

Dakle, sve ove elemente istraživači koriste da identifikuju i reaguju na sajber napade.

Interaktivni “Sandbox” “ANY.RUN” nudi sveobuhvatnu platformu za prikupljanje širokog spektra ‘IOC-a’ koja analitičarima pruža potpun, detaljan pregled sajber prijetnji.

Ovo okruženje za analizu omogućava korisnicima da bezbjedno izvršavaju “sumnjive datoteke” ili “URL-ove”, posmatrajući njihovo ponašanje u “realnom vremenu” i prikupljajući vrijedne “obaveštajne podatke o prijetnjama”.

Tehnička analiza

Sandbox hvata različite vrste IOC-a kao što su „mrežne komunikacije“, „promjene sistema datoteka“, „modifikacije registra“ i „ponašanje procesa“, omogućavajući temeljnu procjenu prijetnji.

Ne samo da čak i olakšava kreiranje robusnih odbrambenih strategija protiv evoluirajućih sajber prijetnji.

Ime datoteke prikazano unutar ANY.RUN sandbox-a (izvor – ANY.RUN)

⁤Glavni objekat je primarna datoteka koja je pod istragom i dostupna je preko gornjeg desnog ugla interfejsa, nudeći bitne IOC-ove kao što su „putevi do datoteka“ i „haševi“.

Glavni objekti IOC-ovi unutar ANY.RUN sandbox analize (izvor – ANY.RUN)

⁤U donjem panelu pod “Files”, analitičari mogu pratiti “Dropped Executable Files”, otkrivajući “širenje” malvera kroz sistem. ⁤

Ispuštene izvršne datoteke unutar ANY.RUN (izvor – ANY.RUN)

⁤ “Indikatori mreže” su jednako vitalni, kao i DNS zahtjevi, koji se nalaze pod “Mreža → DNS zahtjevi”, koji otkrivaju domene i pokušaje pristupa malicioznom softveru, ne samo da čak i često otkrivaju C2 infrastrukturu. ⁤

DNS zahtjevi unutar ANY.RUN sandbox-a (izvor – ANY.RUN)

“⁤Aktivne veze”, vidljive pod “Mreža → Veze”, što omogućava praćenje komunikacijskih kanala malicioznog softvera sa “sumnjivim IP adresama”.

Veze u ANY.RUN sandbox analizi (izvor – ANY.RUN)

Ove komponente zajedno nude „sveobuhvatan pregled“ „ponašanja malvera“, od njegovog „početnog izvršenja“ do njegove interakcije sa „spoljnim serverima“.

Ispitivanjem ovih indikatora sigurnosni analitičari mogu učiniti sljedeće stvari:

Ovaj sveobuhvatni pristup u “ ANY.RUN sandbox-u ” omogućava temeljnu istragu i analizu prijetnji.

Sveobuhvatne mogućnosti praćenja mrežnog saobraćaja u sandbox-u za analizu zlonamjernog softvera ANY.RUN također omogućavaju analitičarima da prate obrasce eksfiltracije podataka kroz detaljne dnevnike zahtjeva „HTTP/HTTPS“ koji se nalaze u odjeljku Mreža → HTTP zahtjevi.

HTTP zahtjevi prikazani u ANY.RUN (Izvor – ANY.RUN)

Sofisticirana funkcija “MalConf” (Konfiguracija zlonamjernog softvera) platforme dostupna je preko gornjeg desnog dugmeta.

MalConf dugme unutar ANY.RUN sandbox (izvor – ANY.RUN)

Ovo automatski izdvaja ključne IOC-ove kao što su “URL-ovi C2 servera”, “MD5/SHA heševi datoteka”, “maliciozni domeni” i “IP adrese” iz internih konfiguracijskih datoteka malicioznog softvera.

Konfiguracije zlonamjernog softvera unutar (izvor – ANY.RUN)

Svi ovi kritični indikatori su smanjeni u centralizovanom prozoru IOC, kojem se može brzo pristupiti preko IOC dugmeta u gornjem desnom uglu interfejsa.

Ovaj prozor agregira inteligenciju iz faze „statičke analize“ i „dinamičke analize“, predstavljajući „jedinstveni pogled na mrežne artefakte“, „modifikacije sistema datoteka“ i „ponašanja u toku rada“.

IOCs prozor unutar ANY.RUN sandbox (izvor – ANY.RUN)

Interfejs uključuje ‘intuitivan sistem padajućeg menija’ za filtriranje i kategorizaciju različitih tipova IOC-a.

Takođe nudi funkciju izvoza ‘jednim klikom’ koja pojednostavljuje dalji proces inkorporacije.

Izvor: CyberSecurityNews

Exit mobile version