Yeni bir kimlik avı kampanyası, “ödeme bilgilerini doğrulama” düğmesini içeren e-postalarla kullanıcıları hedefliyor. Düğmeye tıklamak, iki ek JAR indirmek için PowerShell komutundan yararlanan kötü amaçlı bir JAR dosyasının (fatura kılığında) indirilmesini tetikler.
JAR'lar STRRAT ve VCURMS RAT'ları dağıtarak saldırganlara uzaktan erişim ve keylogging yetenekleri ile tarayıcılardan, uygulamalardan, Discord'dan, Steam'den vb. kimlik bilgileri hırsızlığı sağlar. Buna karşılık VCURMS, bilgi çalma işlevini genişletmek için başka modüller de indirebilir.
Saldırganlar, kötü amaçlı yazılımı depolamak, ilk JAR dosyasını gizlemek ve algılamayı atlamak için ticari koruma sağlamak için AWS veya Github'ı kullanıyor.
ANY.RUN'un Tehdit İstihbaratı Aramasında saldırıyı bulma
Tehdit İstihbaratı Araması ANY.RUN'un özelliği şüpheli kampanyaları araştırmanıza olanak tanır.
Analistler, belirli kural adlarını ve etki alanı adlarını (örneğin, “KuralAdı:”strrat” VE Etki AlanıAdı:”github.com”) birleştiren bir sorgu oluşturarak, şüpheli davranışın (STRRAT) bir ağ ile etkileşimde bulunduğu gözlemlenen ilgili sanal alan oturumlarını belirleyebilir. belirli bir alan adı (github.com).
Arama iki önemli sonuç sunar: güvenli bir ortamda kötü amaçlı yazılım davranışını incelemek için kullanılabilecek etkileşimli analiz oturumlarını içeren bir tablo (sol taraf) ve daha fazla analiz için veya olası tehlikelere karşı günlükleri kontrol etmek için indirilebilen kötü amaçlı yürütülebilir dosyaların bir listesi (sağ taraf). .
Güvenlik ekibiniz için Tehdit İstihbaratı Arama demosunu edinin. .
Arama planlama
Örneklemin alışkanlıkları hakkında daha fazla bilgi edinmek ve daha fazla IOC çıkarmak için çevrimiçi bir araştırma oturumunun kaydını oynatalım. Bu araştırma oturumuna ayak uydurmak için ona göz atmanız yeterli.
ANY.RUN'un Sandbox'ındaki saldırıyı analiz etmek
HERHANGİ BİR.RUN şüpheli dosyaları analiz etmek için bulut tabanlı bir sanal alan ortamıdır. Kötü amaçlı yazılımları yüklemeden sonraki 40 saniye içinde tespit etmek için YARA ve Suricata kurallarını kullanır.
Analistler daha sonra kötü amaçlı yazılım davranışını gözlemlemek ve güvenlik ihlali göstergelerini (IOC'ler) toplamak için korumalı alanla doğrudan etkileşime girebilir, bu da güvenlik ekiplerinin tehditleri işbirliği içinde araştırmasına ve ortaya çıkan ve kalıcı saldırılara verimli bir şekilde yanıt vermesine olanak tanır.
Analiz, etiketlerin incelenmesiyle başlar. ANY.RUN sanal alanı, bu da STRRAT kötü amaçlı yazılımının varlığını ortaya çıkardı.
Bağlantılar sekmesi, javaw.exe'den GitHub'a, örneği daha kapsamlı bir kampanyaya bağlama potansiyeli taşıyan bağlantıyı tanımlamak için kullanılır.
IOC'leri toplamak için kullanıcı, içindeki özel IOC düğmesini kullanır. HERHANGİ BİR ÇALIŞMAgüvenlik ekiplerine sistemlerini güncellemeleri ve araştırmalarına devam etmeleri için değerli bilgiler sağlar.
Oturumda, ANY.RUN'un kötü amaçlı yazılım yapılandırmasını ayıklama, yerleşik dizelerin şifresini otomatik olarak çözme ve kalıcılık mekanizmaları ile Komuta ve Kontrol (C2) sunucu konumları gibi ayrıntıları ortaya çıkarma yeteneğinin, analistlere manuel tersine mühendislikle karşılaştırıldığında önemli ölçüde zaman ve emek tasarrufu sağladığı vurgulanıyor.
Ekibinizin, kuruluşunuzun güvenliğine nasıl fayda sağlayabileceğini ve katkıda bulunabileceğini görmesi için kişiselleştirilmiş bir ANY.RUN demosu edinin. Sbugün bir arama planla.