Tehdit aktörleri veri hırsızlığı için giderek daha fazla Telegram ve Discord uygulamalarına güveniyor. ANY.RUN’daki analistler şunları paylaştı: Çalınan verileri ele geçirmek için ayrıntılı kılavuz bu uygulamalar aracılığıyla virüs bulaşmış makinelerden gelen kötü amaçlı yazılımlar tarafından. Araştırmacılar sürecin her adımını özetlediler ve tehdit araştırmalarında faydalı olabilecek uygulanabilir ipuçları sağladılar.
Tehdit Aktörlerinin Sohbet Kimliğini ve Bot Tokenını Toplama
Tehdit aktörlerinin Sohbet Kimliğini ve bot jetonunu toplama sürecini başlatmak için analistler, ANY.RUN’un Tehdit İstihbaratı Aramasını kullanarak “api.telegram.org” alanıyla ilgili ilgili bir kötü amaçlı yazılım örneği buldular. Hizmet, ANY.RUN sanal alanında gerçekleştirilen milyonlarca analiz oturumundan toplanan tehdit verilerinin aranabilir bir veritabanını içerir.
Bir örnek bulduktan sonra analistler, yönlendirilen tüm talepleri gözlemlemek için onu bir kez daha sanal alanda patlattı. api.telegram.org Telegram’ın API’si ile etkileşimini incelemek için.
Kötü amaçlı yazılımı analiz ettikten sonra POSTALAMAK analistler davayı topladı, bot jetonu (kimlik doğrulama için kullanılan bir anahtar) ve chat_id (alıcı sohbetini tanımlar).
Korumalı alan ayrıca araştırmacıların, chat_id, bot kullanıcı adı, bot adı, sohbet adı ve sohbet türü dahil olmak üzere JSON formatında yararlı bilgiler içeren sunucunun yanıtını görüntülemesine de olanak tanıdı.
Integrate interactive malware sandbox from ANY.RUN in your organization. Sign up for a free account using a business email.
Saldırganın kimliğini aldıktan sonra chat_id Ve bot jetonuanalistler botun bir web kancasına sahip olup olmadığını kontrol etme sürecini başlattı.
Bir web kancası varsa, verilerini kaydetmek ve ardından /deleteWebhook yöntemini kullanarak silmek çok önemlidir.
Web kancası ele alındıktan sonra analistler bir Telegram grubu oluşturdu ve ona bir bot ekledi.
kullanarak /ileriMesaj çıkarılan yöntem chat_id Ve mesaj_kimliğiAnalistler nihayet saldırganın sohbetinden istenen mesajı gruba iletebildiler.
Tüm süreç hakkında daha fazla bilgi edinin ve saldırganların sohbetlerindeki tüm mesajları nasıl kopyalayabileceğinizi görün. HERHANGİ BİR ÇALIŞMA blogu
Özel ANY.RUN Kötü Amaçlı Yazılım Korumalı Alanını Kuruluşunuza Entegre Edin
ANY.RUN’un kötü amaçlı yazılım korumalı alanı, onu tehdit analizinde öne çıkaran bir dizi özellik sunar:
- Özel mod: Kötü amaçlı yazılımları tamamen yalıtılmış bir ortamda güvenli bir şekilde analiz ederek gizlilik ve koruma sağlayın.
- Gerçek zamanlı etkileşim: Kötü amaçlı yazılımın girdilerinize nasıl yanıt verdiğini görmek için doğrudan sistemle etkileşim kurun.
- Windows ve Linux VM desteği: Platforma özgü tehditleri yakalamak için farklı işletim sistemlerindeki şüpheli dosyaları araştırın.
- Detaylı raporlama: Kapsamlı analiz için tüm Uzlaşma Göstergeleri (IOC’ler), ağ etkinliği ve süreç ağaçlarını içeren kapsamlı raporlar alın.
14 günlük ücretsiz deneme talebinde bulunun ANY.RUN sanal alanının tüm yeteneklerini test etmek için.