ANY.RUN’lar Süreç Ağacı, bir dosya veya URL kendi sanal alanında çalıştırıldığında başlayan tüm süreçleri hiyerarşik ilişkileriyle birlikte gösterir. Bu, örnek tarafından başlatılan ilk süreç ve onun ürettiği diğer süreçler yakalanarak gerçekleştirilir. Bu, numunenin davranışının ve sistemle etkileşimlerinin kapsamlı bir şekilde anlaşılmasını sağlar.
Ana-alt süreç ilişkilerinin hızlı bir şekilde tanımlanmasına, potansiyel kötü amaçlı etkinliğin kaynağına kadar izlenmesine ve numunenin işlevselliğinin bir bakışta genel olarak anlaşılmasına olanak tanır.
ANY.RUN’a göre detaylı Süreç ağacı, süreç ilişkilerini görselleştirir ve analiz için araçlar sağlar; simgeler ise şüpheli etkinlikleri ve süreç imzalarını gösterir. Simgelere tıklamak PE ayrıntıları, bellek dökümleri ve yapılandırma dosyaları gibi statik bilgileri ortaya çıkarır.
Etiketler kötü amaçlı yazılım ailelerini ve tehditleri tanımlar; süreç olaylarına göre bir puan hesaplanır. Vurgulama, ağaçtaki ilgili işlemi görmek için diğer sekmelerdeki PID’lerin üzerine gelmenizi sağlarken, üçgen simgeler grupları daraltmanıza olanak tanır.
Bir işleme tıklamak, olay açıklamalarını, sınıflandırmaları (Tehlikeler, Uyarılar, Diğerleri), MITRE ATT&CK eşlemelerini ve kritikliğe göre olay kategorizasyonunu içeren bir sekme açar; bu aynı zamanda kötü amaçlı puanı da etkiler.
SOC analistleri Başlangıçta bir dosyanın meşruiyetini belirlemek için süreç ağacı analizini kullanabilir. Zararsız görünen bir dosya (görüntü gibi) sanal makinede yürütmeyi tetiklediğinde, ortaya çıkan süreç ağacı, dosyanın gerçek doğasını ortaya çıkarır.
İmza tabanlı algılama başarısız olsa bile analist, ortaya çıkan süreçlere dayalı olarak kötü niyetli niyeti tanımlayabilir, bu da hızlı raporlamaya ve tehdidin ortadan kaldırılmasına olanak tanır.
Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN’u Şirketinize Entegre Edin
SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:
- Gerçek Zamanlı Tespit
- İnteraktif Kötü Amaçlı Yazılım Analizi
- Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
- Maksimum veriyle ayrıntılı raporlar alın
- Linux’ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
- Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN’u ÜCRETSİZ deneyin
Süreç Ağacından Öğrenme
HERHANGİ BİR ÇALIŞMABir tehdit analizi platformu olan , yüklenen yürütülebilir dosyayı analiz etmek için süreçlerin nasıl oluşturulduğunu ve birbiriyle ilişkili olduğunu gösteren bir süreç ağacı görüntüler. Bu örnekte, “PRE ALERT NOTICE.exe”nin süreç ağacı birçok ilgili hususu ortaya koymaktadır.
İlk olarak, “agenttesla” etiketli bir işlem (PID 2996) bulunur; bu, “PRE ALERT NOTICE.exe”nin (PID’ler 1864 ve 3600) iki örneğine odaklanan kötü amaçlı etkinliğe güçlü bir şekilde işaret eder ve bu işlem, sistem içinde bağımsız olarak çalışıyor gibi görünmektedir. sistem.
İşlem kimliği 1864’ün analizi, kendisini kopyalayan ve ek işlemler üreten “PRE ALERT NOTICE.exe” adlı potansiyel olarak kötü amaçlı bir programı ortaya çıkarır. Bir alt süreç, “Updates\eKoCjhdl” adlı zamanlanmış bir görev oluşturmak için “shtasks.exe”yi kullanır.
Görev muhtemelen sistemde kalıcılık oluşturmaya veya kötü amaçlı verileri yüklemeye çalışır ve rastgele oluşturulan görev adı ve görev tanım dosyası (tmp40B2.tmp) için geçici dizinin (AppData\Local\Temp) kullanılması, kötü niyetli niyetin güçlü göstergeleridir. .
Kötü amaçlı işlem (PID 3600), daha fazla kötü amaçlı yazılım indirmek için kullanılabilecek powershell.exe örneklerini üreterek kendisini gizlemek için aldatıcı svchost.com işlemleri oluşturur.
PID 3600, birincil kötü amaçlı yazılım yürütülebilir dosyasının başka bir örneğini oluşturarak kendisini çoğaltır. Analiz amacıyla, Süreç Grafiği görünümü, çok sayıda süreçle uğraşırken bile süreçler arasındaki ilişkilerin görselleştirilmesi ve kötü niyetli olanların belirlenmesi açısından faydalıdır.
ANY.RUN nedir?
HERHANGİ BİR ÇALIŞMA güvenlik ekiplerinin işlerinin çoğunu yapan bulut tabanlı bir kötü amaçlı yazılım laboratuvarıdır. 400.000 profesyonel, Linux ve Windows bulut sanal makinelerinde olayları incelemek ve tehdit araştırmalarını hızlandırmak için her gün ANY.RUN platformunu kullanıyor.
ANY.RUN’un Avantajları
- Gerçek Zamanlı Algılama: ANY.RUN, bir dosya gönderildikten sonra yaklaşık 40 saniye içinde YARA ve Suricata kurallarını kullanarak kötü amaçlı yazılım bulabilir ve birçok kötü amaçlı yazılım ailesini anında tanımlayabilir.
- İnteraktif Kötü Amaçlı Yazılım Analizi: ANY.RUN, tarayıcınızdan sanal makineye bağlanmanıza izin vermesi nedeniyle birçok otomatik seçenekten farklıdır. Bu canlı özellik, sıfır gün güvenlik açıklarının ve imza tabanlı korumayı geçebilecek gelişmiş kötü amaçlı yazılımların durdurulmasına yardımcı olur.
- Paranın karşılığı: ANY.RUN’un bulut tabanlı yapısı, DevOps ekibinizin herhangi bir kurulum veya destek işi yapması gerekmediğinden onu işletmeler için uygun maliyetli bir seçenek haline getirir.
- Yeni güvenlik ekibi üyelerini işe almak için en iyisi: HERHANGİ. RUN’un kullanımı kolay arayüzü, yeni SOC araştırmacılarının bile kötü amaçlı yazılımları incelemeyi ve güvenlik ihlali işaretlerini (IOC’ler) tanımlamayı hızlı bir şekilde öğrenmesine olanak tanır.