Sandboxovi su sinonim za dinamičku analizu malvera. Oni pomažu u izvršavanju zlonamjernih datoteka u sigurnom virtualnom okruženju i promatraju njihovo ponašanje. Međutim, oni također nude obilje vrijednosti u smislu statičke analize. Pogledajte ovih pet scenarija u kojima se sandbox može pokazati korisnim alatom u vašim istraživanjima.
Otkrivanje prijetnji u PDF-ovima
Hakeri često iskorištavaju PDF datoteke za isporuku payload-a. Statička analiza u sandbox-u omogućava razotkrivanje bilo koje prijetnje koju zlonamjerni PDF sadrži izdvajanjem njegove strukture.
Prisustvo JavaScript ili Bash skripti može otkriti mogući mehanizam za preuzimanje i izvršavanje zlonamjernog softvera.
Sandbox-ovi poput ANY.RUN takođe omogućavaju korisnicima da provjere URL-ove pronađene u PDF-ovima kako bi identifikovali sumnjive domene, potencijalne komandne i kontrolne (C2) servere ili druge pokazatelje kompromisa.
Primjer:
Statička analiza PDF datoteke u ANY.RUN
Interaktivnost omogućava našim korisnicima da manipulišu datotekama unutar VM-a kako žele, ali statički Discovery nudi još više mogućnosti.
Kao dio ove sesije analize, statički modul navodi nekoliko URL-ova koji se mogu naći unutar PDF-a. Da bismo ih istražili, svaki od njih možemo poslati na dalju analizu sandbox-a jednostavnim klikom na odgovarajuće dugme.
Razotkrivanje zloupotrebe LNK
LNK datoteke su prečice koje usmjeravaju na izvršnu datoteku, dokument ili mapu. Sandbox može pružiti transparentan prikaz svojstava LNK datoteke, kao što su ciljna putanja, lokacija ikone i sve ugrađene komande ili skripte.
Pregled naredbi u LNK datotekama može otkriti pokušaje pokretanja zlonamjernog softvera ili povezivanja na udaljene servere.
Statička analiza u sandboxu je posebno korisna u identifikaciji prijetnji koje ne pokreću novi proces. Ovo može biti teško otkriti samo dinamičkom analizom.
Primjer:
Argumenti komandne linije prikazani u statičkom modulu otkrivaju zlonamjernu aktivnost
Ispitivanje sadržaja LNK datoteka može vam pomoći da otkrijete napade prije nego što počnu.
U ovoj sesiji sandbox-a možemo otkriti svaki detalj o LNK datoteci, uključujući njene argumente komandne linije koji pokazuju da je datoteka konfigurisana za preuzimanje i izvršavanje korisnog učitavanja sa zlonamjernog URL-a.
Istraga neželjene pošte i phishing e-pošte
E-pošta ostaje jedan od najčešćih vektora za distribuciju malvera. Sandbox vam omogućava da otpremite datoteku e-pošte na servis i bezbjedno je analizirate kako biste brže i bez rizika za vašu infrastrukturu uočili neželjenu poštu i skrivene zlonamjerne elemente.
Sandbox prikazuje pregled e-pošte i navodi metapodatke i indikatore kompromisa (IOC). Možete ispitati sadržaj e-pošte bez otvaranja i proučiti metapodatke koji pružaju informacije o porijeklu e-pošte, vremenskim oznakama i drugim relevantnim detaljima.
ANY.RUN sandbox takođe integriše RSPAMD, modul otvorenog koda koji svakoj analiziranoj e-pošti dodjeljuje ocjenu za krađu identiteta i prikazuje sve njegove elemente koristeći ove funkcije:
- Analiza zaglavlja: Ispituje zaglavlja e-pošte na autentičnost i anomalije pošiljaoca.
- Provjere reputacije: Identifikuje poznate izvore neželjene pošte/malvera koristeći DNSBL i URIBL.
- Bayesovo filtriranje: Klasifikuje e-poštu na osnovu probabilističke analize.
U ANY.RUN, možete otići dalje od statičke analize i komunicirati s e-poštom direktno kao što biste to radili na svom računaru. To znači da možete preuzimati i otvarati priloge, uključujući one zaštićene lozinkom, ili pratiti cijeli phishing napad, počevši od početne veze.
Primjer:
Detalji statičke analize .eml datoteke
Sav sadržaj unutar EMAIL fajlova se izdvaja i stavlja na raspolaganje kroz statičku analizu u sandboxu, omogućavajući korisnicima da vide detalje o njemu čak i bez pristupa samoj VM.
U ovoj sesiji analize možemo uočiti .RAR prilog koji prati email. S obzirom da je jedna od datoteka koja se nalazi unutar ove arhive izvršna datoteka pod nazivom “PDF komercijalne fakture”, možemo odmah pretpostaviti njenu zlonamjernu prirodu.
Da analiziramo izvršni fajl, možemo jednostavno kliknuti na dugme “Pošalji na analizu” i pokrenuti novu sesiju sandbox-a.
Analiza sumnjivih kancelarijskih dokumenata
Microsoft Office dokumenti, kao što su Word, Excel i PowerPoint, jedan su od vodećih sigurnosnih rizika kako u korporativnim tako iu ličnim postavkama. Statička analiza sandbox-a može se koristiti za ispitivanje različitih elemenata takvih dokumenata bez otvaranja. To uključuje:
- Sadržaj: statička analiza Sandbox-a vam omogućava da ispitate sadržaj dokumenta na znakove taktike društvenog inženjeringa, pokušaja krađe identiteta ili sumnjivih veza.
- Makroi: Napadači često iskorištavaju Visual Basic za aplikacije (VBA) kod u Office dokumentima za automatizaciju zlonamjernih zadataka. Ovi zadaci mogu biti u rasponu od preuzimanja i izvršavanja zlonamjernog softvera do krađe osjetljivih podataka. ANY.RUN prikazuje cijeli lanac izvršavanja skripte, omogućavajući vam da ga proučavate korak po korak.
- Slike i QR kodovi: Steganografske tehnike omogućavaju napadačima da sakriju kod unutar slika. Sandbox statička analiza je sposobna izdvojiti ove skrivene podatke. QR kodovi ugrađeni u dokumente također mogu sadržavati zlonamjerne veze. Sandbox ih može dekodirati i razotkriti potencijalne prijetnje.
- Metapodaci: Informacije o kreiranju, modifikaciji, autoru, itd. dokumenta mogu vam pomoći da razumijete porijeklo dokumenta.
Primjer:
Sandbox može prikazati pregled Office datoteka
Microsoft Office datoteke dolaze u različitim formatima, a analiza njihove interne strukture ponekad može biti izazovna. Static Discovery za Office datoteke omogućava vam da pregledate makroe bez potrebe za dodatnim alatima.
Svi ugrađeni fajlovi, uključujući slike, skripte i izvršne datoteke, takođe su dostupni za dalju analizu. QR kodovi se otkrivaju tokom statičke analize, a korisnici mogu poslati novi zadatak koji otvara sadržaj kodiran ovim kodovima, kao što su URL-ovi.
U ovoj sesiji, statička analiza omogućava da se vidi da analizirana .pptx datoteka sadrži .zip arhivu.
Pogled u zlonamjerne arhive
Arhive poput ZIP, tar.gz, .bz2 i RAR se često koriste kao sredstva za zaobilaženje osnovnih metoda detekcije. Sandbox okruženje pruža siguran i izolovan prostor za analizu ovih datoteka.
Na primjer, sandbox-ovi mogu raspakovati arhive kako bi otkrili njihov sadržaj, uključujući izvršne datoteke, skripte i druge potencijalno zlonamjerne komponente. Ove datoteke se zatim mogu analizirati pomoću ugrađenog statičkog modula kako bi se otkrile njihove prijetnje.
Primjer:
Struktura ZIP datoteke prikazana u prozoru za statičku analizu
U ANY.RUN, korisnici mogu poslati datoteke za novu analizu direktno iz arhiviranih datoteka iz prozora statičkog otkrivanja. Ovo eliminiše potrebu da ih preuzmete ili ručno raspakujete unutar VM-a.
U ovoj sesiji analize još jednom vidimo arhivu sa fajlovima koji se mogu proučavati jedan po jedan kako bi se utvrdilo da li je potrebna bilo kakva dodatna analiza.
Provedite statičku i dinamičku analizu u ANY.RUN
ANY.RUN je sandbox zasnovan na oblaku sa naprednim mogućnostima statičke i dinamičke analize. Usluga vam omogućava da skenirate sumnjive datoteke i linkove i dobijete prve rezultate o njihovom nivou prijetnje za manje od 40 sekundi. Daje vam pregled u realnom vremenu mrežnog saobraćaja, aktivnosti registra i procesa koji se dešavaju tokom izvršavanja malvera, naglašavajući zlonamjerno ponašanje i taktike, tehnike i procedure (TTP).
ANY.RUN vam pruža potpunu kontrolu nad VM-om, omogućavajući interakciju sa virtuelnim okruženjem baš kao na standardnom računaru. Sandbox generiše sveobuhvatne izvještaje koji sadrže ključne informacije o prijetnjama, uključujući indikatore kompromisa (IOC).
Izvor: The Hacker News