Gelişmiş bir kimlik avı saldırısı genellikle, genellikle belirli hedeflere göre uyarlanmış ilgi çekici e-posta ve web sitesi kopyaları gibi karmaşık taktikleri içerir.
Bu saldırılar, kurbanları hassas bilgileri açığa çıkarmaya ve kötü amaçlı yazılım yüklemeye yönlendirmek için sosyal mühendislik tekniklerini kullanabilir.
ANY.RUN’daki siber güvenlik araştırmacıları yakın zamanda uygun bir rehber gelişmiş bir kimlik avı saldırısını analiz etmek için Tehdit İstihbaratı Araması.
ANY.RUN Tehdit İstihbaratı Araması çevrimiçi ve API aracılığıyla bağlamsal arama sağlar. 300.000’den fazla akademisyen ve 300 kuruluştan oluşan topluluğumuzun gerçekleştirdiği milyonlarca halka açık etkileşimli analitik oturumdan veya “görevden” elde edilen verileri indeksliyor ve analiz ediyoruz. ANY.RUN sanal alanı.
Teknik Analiz
Tehdit istihbaratını en üst düzeye çıkarmaya yardımcı olan bu yeni aracın yardımıyla çok sayıda fırsatın kilidi açılabilir. Bu yeni aracın arama yetenekleri, arama yeteneklerini geliştirir ve güvenlik olaylarına kesin yanıtlar sağlar.
ANY.RUN’un API erişimine sahip çevrimiçi Tehdit Intel Arama hizmeti, yalıtılmış göstergeleri güvenlik ekibiniz için belirli tehditlere bağlayan milyonlarca topluluk görevini tarar.
Threat Intel Lookup’ın yardımıyla bile günlüklerdeki yeni IP’yi de kontrol edebilirsiniz. Bunun yanı sıra, genellikle kötü amaçlı yazılım ailelerini adlandırarak ve bağlantı noktaları, URL’ler ve karmalar gibi ilgili verileri sağlayarak korumalı alan eşleşmelerini hızlı bir şekilde bulmamızı sağlar.
Tehdit İstihbaratı Arama, ANY.RUN’un kapsamlı etkileşimli kötü amaçlı yazılım analiz oturumları veritabanından çıkarılan milyonlarca IOC’nin merkezi deposu. ANY.RUN Tehdit İstihbaratı: 30’dan fazla alanı kullanarak bağlantılı IOC’leri arayın.
Ücretsiz Demo Talep Edin
Garip Bir Komut Satırı Nasıl Açıklanır
Bir olayda çalışan, Makroları etkinleştiren şüpheli bir Office ekini açan ve alarmı tetikleyen bir kimlik avı girişimi konusunda güvenliği uyardı.
Siber güvenlik analistleri, IDR günlüklerini incelerken $codigo ile vurgulanan PowerShell sürecini keşfetti. Tehdit İstihbaratı Araması olmayan analistler çevrimiçi arama yaparak zaman kaybedebilir.
‘ImagePath:powershell’ VE ‘CommandLine:$codigo’ araması, $codigo ile ilgili birden fazla komut satırını ortaya çıkarır. Etkinlikler sekmesi, olası bir siber saldırıyı öneren ‘stegocampaign’ etiketlerini gösterir.
Dahası, siber güvenlik araştırmacıları agresif bir şekilde ilerleme kaydettiklerini ancak araştırmalarında hala daha fazla ayrıntıya ihtiyaçları olduğunu doğruladılar.
IDR günlükleri, ağlarında nadir görülen, 2404 numaralı bağlantı noktasında şüpheli bir bağlantı olduğuna işaret ediyor.
Güncellenen arama, çoğunlukla PowerShell kullanan kötü şöhretli bir Uzaktan Erişim Truva Atı olan Remcos kötü amaçlı yazılımına bağlı olan daha az görevi ortaya çıkarıyor.
Kötü Amaçlı Yazılım Ailesini Bulma
Araştırmacılar ilerleme kaydediyor ancak yine de araştırmalarında ince ayar yapmaları gerekiyor. IDR günlüklerindeki bilgilere göre, virüs bulaşma potansiyeli olan bir makinenin 2404 numaralı bağlantı noktasına bağlı olduğu görülüyor. Bu bağlantı noktası ağ altyapımızda yaygın olarak kullanılmıyor.
Tehdit İstihbaratı Araması, kötü amaçlı yazılım davranışlarının daha ayrıntılı araştırılmasına yardımcı olan görevlerle bağlantılı kötü amaçlı IP’leri ortaya çıkarır.
Ağ kuralı adını IP ile birleştirerek Remcos’un varlığını doğrulayın (KuralAdı: remcos AND DestinationIp: 107.172.31.178). ANY.RUN’un Tehdit İstihbaratı Araması siber güvenlik analistlerine emanet edilir.
Remcos’u Araştırmak İçin IP Adresini Kullanmak
Bir ağ kuralı adını 2404 numaralı bağlantı noktasıyla ilişkili IP adresiyle birleştiren bir sorgu yazın. Ayrıca araştırmacılar, aramayı geçen haftaya ait görevleri görüntüleyecek şekilde daraltıyor. Şu şekilde görünecektir: Kural adı: “remcos” ve hedef IP: “107.172.31.178”
Yukarıdaki örnek, ANY.RUN’un Tehdit İstihbaratı Aramasının siber güvenlik uzmanları için çok faydalı olabileceğinin bir yolunu göstermektedir.
Şu anda mevcut Searcher planları veya üzeri müşteriler için 20 arama sorgusu içeren bir deneme sunuyor. Ancak ANY.RUN’a ulaşabilirsiniz. müşteri planları ve abonelikler.