ANY.RUN, Tehdit İstihbaratı Araması için IOC'leri Nasıl İşler?

Veritabanı, uzlaşma göstergelerini (IOC'ler) ve bir analiz oturumunda gözlemlenen farklı yapılar arasındaki ilişkileri içerir. Ekim 2022'de ANY.RUN, kullanıcıların bu verileri kullanmasına olanak sağlamak için TI Tehdit İstihbaratı Akışlarını başlattı.

Güvenlik uzmanları, etkileşimli kötü amaçlı yazılım korumalı alanı olan ANY.RUN'u kullanarak tehditleri değerlendirir ve bu analizlerden toplanan veriler, bir tehdit istihbaratı veritabanı oluşturmak için kullanılır.

TI Lookup'ın Şubat 2023'teki tanıtımı, kullanıcıların tehditleri diğer güvenlik çözümlerinin göremeyebileceği tek göstergelerden bile tanımasına olanak tanıyarak bu yeteneği daha da geliştirdi.

Öğrenebilirsin Burada ANY.RUN'un Tehdit İstihbaratı Arama'yı nasıl geliştirdiği hakkında.

ANY.RUN'un Gösterge Analizine Yaklaşımı

Etkileşimli bir korumalı alan ortamı, kötü amaçlı yazılım davranışının derinlemesine analizine olanak tanır. Şüpheli dosyalar, sanal alanda yürütülür ve yüklerin getirilmesi, dosyaların şifrelenmesi veya veri çalınması da dahil olmak üzere, kötü amaçlı yazılımların tüm aşamaları boyunca gözlemlenmesine olanak tanıyan gerçek dünya senaryolarını taklit eder.

Analistler, şifre girme veya CAPTCHA çözme gibi kullanıcı eylemlerini simüle ederek kötü amaçlı yazılımı manuel olarak bile tetikleyebilir.

Kapsamlı analiz, bellek dökümleri, kötü amaçlı yazılım ile onun komuta ve kontrol sunucusu arasındaki ağ trafiği ve MITRE ATT&CK taktikleri dahil olmak üzere çeşitli göstergeleri yakalıyor.

Dosya ve kayıt defteri bilgilerini, komut satırı etkinliğini, HTTP yanıt içeriğini ve daha fazlasını kapsayan, olaya özel yaklaşık 30 ayrıntı toplanır ve bu, kötü amaçlı yazılımın tüm saldırı döngüsünün kapsamlı bir şekilde anlaşılmasını sağlar.

Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN'u Şirketinize Entegre Edin

SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:

• Gerçek Zamanlı Tespit
• İnteraktif Kötü Amaçlı Yazılım Analizi
• Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
• Maksimum veriyle ayrıntılı raporlar alın
• Linux'ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
• Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun

Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:

ANY.RUN'u ÜCRETSİZ deneyin

ANY.RUN'un IOC'lerinin kökenleri

HERHANGİ BİR ÇALIŞMA herkese açık sanal alan gönderimleri yoluyla uzlaşma göstergelerini (IOC'ler) toplamak için küresel bir analist topluluğundan yararlanır.

Her gün, genellikle Güvenlik Bilgileri ve Olay Yönetimi (SIEM) günlükleri veya e-posta araştırmaları tarafından tespit edilen şüpheli etkinliklerden kaynaklanan yaklaşık 14.000 örnek yükleniyor.

Analistler, gerçek dünya koşullarını taklit eden bir korumalı alan ortamı yapılandırır ve örneği çalıştırır; 1200 saniyelik etkileşimli analiz sırasında korumalı alan, süreç etkinliğini ve ağ olaylarını yakalar ve dosya karmaları, etki alanları, IP adresleri ve URL'ler gibi IOC'leri çıkarır.

Küresel gönderimlerden kapsamlı veri toplanması, ANY.RUN'un tehdit istihbaratı veritabanının şu anda gelişen kötü amaçlı yazılım tehditleri hakkında 24 TB'lık devasa bir bilgiyi depolamasını sağlıyor.

ANY.RUN Tehdit İstihbaratı ile Güvenliği Artırma

Çözüm, bir tehdit istihbaratı (TI) beslemesi ve bir arama portalı sunarak, topluluk ve kurum içi analistler tarafından yapılan 1,5 milyondan fazla araştırmadan elde edilen verilerden yararlanan, sürekli güncellenen kötü amaçlı yazılım bilgileri veritabanına erişim sağlar.

• Topluluk tarafından bildirilen ve analistlerin keşfettiği en son kötü amaçlı yazılım verilerine erişin.
• Son 6 ayda gerçekleştirilen 1,5 milyon soruşturmanın çeşitli yönlerini (alanlarını) arayın.
• Riskleri tanımlamak, komut satırlarını, kayıt defteri değişikliklerini, bellek dökümlerini, şifrelenmiş ve şifrelenmemiş ağ trafiğini ve daha fazlasını analiz etmek.

Tehdit istihbaratını iki biçimde sunar:

• Tehdit İstihbaratı Araması – 30 kriteri kullanarak ilgili etkinlikleri portalımızda arayın. Joker karakterler kullan
• veya alt dizeleri aramak için geniş çapta. Hızlı arama ile 5 saniyede sonuç alırsınız. Ekli IOC'ler ve etkinlik alanları, kayıtlı sanal alan araştırma oturumlarına bağlantılar içerir. Tehdit İstihbaratı Akışları

– Akışlarımızdan STIX verilerini doğrudan TIP ve SIEM sistemlerinize alın. Mevcut tehditlere karşı güvenlik duvarları kurun. Yeni veriler her iki saatte bir bağlam için göstergeler ve olay alanları sağlar.

TI Arama, Uzlaşma Göstergeleri (IOC'ler) ve ilgili olaylardan oluşan devasa bir veritabanını çok sayıda parametrede inceler. Joker karakterler geniş veya belirli aramalara izin verir ve bağlantılı araştırma oturumları da dahil olmak üzere sonuçlar saniyeler içinde sağlanır.

SIEM sistemleri, TI Feeds'in STIX formatındaki sürekli tehdit verilerini kullanabilir ve her iki saatte bir, tehdit analizi için IOC'ler ve olay ayrıntıları eklenir.

ANY.RUN nedir? HERHANGİ BİR ÇALIŞMA

güvenlik ekiplerinin işlerinin çoğunu yapan bulut tabanlı bir kötü amaçlı yazılım laboratuvarıdır. 400.000 profesyonel, Linux ve Windows bulut sanal makinelerinde olayları incelemek ve tehdit araştırmalarını hızlandırmak için her gün ANY.RUN platformunu kullanıyor. ANY.RUN'un Avantajları

• Gerçek Zamanlı Algılama:
• ANY.RUN, bir dosya gönderildikten sonra yaklaşık 40 saniye içinde YARA ve Suricata kurallarını kullanarak kötü amaçlı yazılım bulabilir ve birçok kötü amaçlı yazılım ailesini anında tanımlayabilir. İnteraktif Kötü Amaçlı Yazılım Analizi:
• ANY.RUN, tarayıcınızdan sanal makineye bağlanmanıza izin vermesi nedeniyle birçok otomatik seçenekten farklıdır. Bu canlı özellik, sıfır gün güvenlik açıklarının ve imza tabanlı korumayı geçebilecek gelişmiş kötü amaçlı yazılımların durdurulmasına yardımcı olur. Paranın değeri:
• ANY.RUN'un bulut tabanlı yapısı, DevOps ekibinizin herhangi bir kurulum veya destek işi yapması gerekmediğinden onu işletmeler için uygun maliyetli bir seçenek haline getirir.Yeni güvenlik ekibi üyelerini işe almak için en iyisi

: HERHANGİ. RUN'un kullanımı kolay arayüzü, yeni SOC araştırmacılarının bile kötü amaçlı yazılımları incelemeyi ve güvenlik ihlali işaretlerini (IOC'ler) tanımlamayı hızlı bir şekilde öğrenmesine olanak tanır.