Scoprire le minacce nascoste in pochi secondi con l'analisi del malware di nuova generazione

I documenti malware che utilizzano il geofencing sono diventati una minaccia significativa per la sicurezza informatica. Questi file dannosi spesso utilizzano trigger basati sulla posizione, rendendo il rilevamento e la mitigazione un compito impegnativo. Tuttavia, l'analisi Adaptive delle minacce si distingue dagli approcci tradizionali per la capacità di emulare e falsificare accuratamente i valori di geolocalizzazione previsti, neutralizzando efficacemente le tattiche impiegate dalle minacce informatiche e migliorando così la nostra capacità di protezione contro tali minacce.

Nell'esempio riportato di seguito, possiamo osservare un malware geofencing che tenta di essere eseguito esclusivamente all'interno di uno specifico Paese. Tuttavia, la nostra soluzione innovativa riesce ad aggirare questa restrizione, come già detto, emulando i valori di geolocalizzazione desiderati, dimostrando la nostra capacità superiore nel contrastare tali minacce basate sul geofencing.

Eseguendo il rendering di siti web sospetti e sottoponendoli al nostro motore di apprendimento automatico avanzato, siamo in grado di identificare quasi 300 marchi. Nell'esempio riportato di seguito, è possibile osservare un sito web russo mascherato da azienda di giochi per computer nota come Steam. La nostra soluzione eccelle nel confrontare il contenuto del sito con l'URL autentico, identificando rapidamente questi tentativi di frode per salvaguardare i vostri beni digitali e le vostre informazioni personali.

Il modello di ML offline URL detector fornisce un nuovo livello di difesa individuando efficacemente gli URL sospetti, offrendo un mezzo solido per identificare e mitigare le minacce poste dai link dannosi. Il modello sfrutta un set di dati contenente centinaia di migliaia di URL, meticolosamente etichettati come non pericolosi o dannosi da fornitori affidabili, per valutare la fattibilità del rilevamento accurato di URL sospetti attraverso tecniche di apprendimento automatico.

È importante notare che questa funzione è particolarmente utile in ambienti protetti dall'aria, dove le ricerche di reputazione online non sono disponibili.

L'esempio riportato di seguito rivela un malware che è stato impacchettato utilizzando la tecnica di impacchettamento UPX. Nonostante il tentativo di eludere il rilevamento e le difese, la nostra analisi è riuscita a decomprimere il payload, rivelando la sua vera identità di Trojan Dridex. Siamo stati in grado di scoprire la configurazione del malware, facendo luce sull'intento malevolo dietro questa minaccia, estraendo preziosi IOC.

Utilizzando la funzionalità Similarity Search, Sandbox ha rilevato un file molto simile a un malware noto. In particolare, questo file era stato precedentemente contrassegnato come non dannoso, rivelando il potenziale di falsi negativi nelle nostre valutazioni di sicurezza. Questa scoperta ci consente di individuare e correggere in modo specifico queste minacce trascurate.

È importante sottolineare che la Similarity Search è estremamente preziosa per la ricerca e la caccia alle minacce, in quanto può aiutare a scoprire campioni della stessa famiglia di malware o della stessa campagna, fornendo ulteriori CIO o informazioni rilevanti su specifiche attività di minaccia.

Our disassembling engine revealed intriguing findings within the target sample. Surprisingly, this sample monitors the system time using the uncommon <rdtsc> instruction and accesses an internal, undocumented structure in Windows, commonly used for different malicious tricks. These unusual actions raise questions about its purpose and underscore the need for further investigation to assess potential risks to the system.

L'esempio in esame è stato realizzato con il framework .NET. Pur astenendoci dal visualizzare il CIL vero e proprio, il nostro processo di decompilazione estrae e presenta le informazioni degne di nota, tra cui stringhe, artefatti del registro e chiamate a API .

Inoltre, analizziamo i metadati .NET per identificare le funzioni e le risorse specifiche di .NET. Questo processo consente di estrarre informazioni dettagliate sull'assembly, come metodi, classi e risorse incorporate, fondamentali per analizzare il comportamento e la struttura delle applicazioni .NET.

Molti exploit di applicazioni portano il loro payload finale in formato binario grezzo (shellcode), il che potrebbe essere un ostacolo durante l'analisi del payload. Con la nostra emulazione di shellcode siamo in grado di scoprire e analizzare il comportamento del payload finale, in questo esempio per una vulnerabilità di Office ampiamente sfruttata nell'editor di equazioni. In questo modo si apre la porta alla raccolta dei CIO pertinenti.

Le macro VBA offuscate rappresentano una sfida significativa per fornire un tempo di risposta ragionevole alle minacce attive. Questo codice poco chiaro rende l'analisi e la comprensione delle minacce un compito estremamente complesso che richiede molto tempo e sforzi. La nostra tecnologia di emulazione VBA all'avanguardia è in grado di superare queste sfide e di fornire in pochi secondi un'analisi completa delle macro VBA offuscate e una chiara comprensione delle loro funzionalità.

L'esempio analizzato è un documento Excel con codice VBA altamente offuscato che rilascia ed esegue un file DLL .NET, insieme a un file LNK incaricato di continuare la catena di esecuzione del malware. Dopo l'emulazione VBA, MetaDefender Sandbox identifica i processi avviati e la funzione principale di deobfuscating, estrae automaticamente le stringhe offuscate e salva i file eliminati (precedentemente codificati e crittografati nel codice VBA). Questo mostra rapidamente lo scopo principale del malware e ci dà la possibilità di un'ulteriore analisi di questa minaccia.

L'utilizzo dell'Utilità di pianificazione delle attività di Windows per eseguire payload dannosi in un secondo momento è una tecnica furtiva per eludere gli ambienti sandbox vista nelle minacce più recenti. Sfrutta il ritardo nell'esecuzione per aggirare efficacemente la breve finestra di analisi tipica delle sandbox.

Il seguente esempio è un VBScript offuscato che scarica il payload dannoso e crea un'attività pianificata per eseguirlo 67 minuti dopo. Le sandbox tradizionali mantengono l'esecuzione solo per pochi minuti e il comportamento dannoso non verrebbe mai scoperto. Invece, il nostro emulatore VBScript è in grado di rilevare e superare questa tecnica di evasione (T1497), adattando l'ambiente di esecuzione per continuare con ulteriori analisi e ottenendo il rapporto completo in 12 secondi.

NET Reflection è una potente funzionalità fornita dal framework .NET che consente ai programmi di ispezionare e manipolare la struttura e il comportamento di un file .NET in fase di esecuzione. Consente di esaminare assiemi, moduli e tipi, nonché di creare dinamicamente istanze di tipi, invocare metodi e accedere a campi e proprietà.

Il malware può utilizzare la reflection per caricare ed eseguire dinamicamente codice da assembly non referenziati in fase di compilazione, consentendo di recuperare payload aggiuntivi da server remoti (o nascosti nel file corrente) ed eseguirli senza scriverli su disco, riducendo il rischio di rilevamento.

In questo caso, possiamo vedere come il VBScript analizzato carichi ed esegua un assembly .NET in memoria direttamente dai byte memorizzati in un registro di Windows.

Questa funzione consente di rivelare gli artefatti nascosti e crittografati all'interno delle risorse PE. Gli artefatti dannosi sono spesso crittografati per eludere il rilevamento e oscurare il vero intento del campione. Scoprire questi artefatti è essenziale, poiché in genere contengono dati critici (come informazioni C2) o payload. Estraendoli, la sandbox può effettuare una scansione più approfondita, con maggiori possibilità di identificare i CIO più preziosi.

Questo campione memorizza gli artefatti crittografati utilizzando l'algoritmo XOR, semplice ma efficiente per eludere il rilevamento. Analizzando gli schemi nei dati crittografati, è possibile indovinare la chiave di crittografia, permettendo di decifrare i dati nascosti.