Kötü amaçlı yazılım analizi, genellikle derinlemesine teorik bilgi ve gelişmiş beceriler gerektirdiğinden zorlu olabilir. Etkileşimli bir sanal alan gibi araçlar, karmaşık kötü amaçlı yazılım davranışının, genç güvenlik profesyonelleri için bile açığa çıkarılmasını ve anlaşılmasını kolaylaştırarak bunu basitleştirmeye yardımcı olur. İşte etkileşimli kötü amaçlı yazılım sanal alanlarının analistlerin çözmesine yardımcı olduğu zorluklardan bazıları.
Kötü Amaçlı Yazılım Analizi için Etkileşimli Sandbox Nedir?
Etkileşimli kötü amaçlı yazılım sanal alanı, kötü amaçlı yazılımları ve kimlik avı tehditlerini izole bir ortamda güvenli bir şekilde incelemenize ve açığa çıkarmanıza olanak tanıyan bir bulut hizmetidir.
Otomatikleştirilmiş sanal alanların aksine, kullanıcıların analiz edilen dosyalarla, URL’lerle ve sistemle gerçek zamanlı etkileşim kurmasına olanak tanır.
1. Görev: Dosyalar ve URL’lerle Doğrudan Etkileşimler
Tehditleri araştırırken, analistler genellikle tehdidin yanıtını tetiklemek için belirli eylemleri manuel olarak yürütme veya gerekli kullanıcı davranışını simüle etme ihtiyacıyla karşı karşıya kalırlar. Bu eylemler bir düğmeye tıklamayı veya formlara veri girmeyi içerebilir.
Etkileşimli bir sanal alan gibi HERHANGİ BİR KOŞU kullanıcıların dosyalar ve URL’lerle gerçek zamanlı etkileşim kurmasına izin vererek bu sorunu çözer. Kullanıcılar kimlik avı e-postalarının eklerini manuel olarak indirebilir, sanal ortamdan metin kopyalayıp yapıştırabilir ve hatta sistemi yeniden başlatabilir.
Bu düzeydeki etkileşim daha kapsamlı bir analiz sağlar ve aksi takdirde fark edilmeyebilecek tehditlerin ortaya çıkarılmasına yardımcı olur.
Örnek: Bir Kimlik Avı Eki İndirme ve Açma
Bunu düşün şüpheli bir e-postanın analizi kum havuzunda.
Saldırganlar, kurbandan ödeme fişi gibi görünen bir ZIP dosyasını e-postaya ekleyerek indirmesini istedi.
Sandbox, eki güvenli bir sanal ortamda hızlı bir şekilde indirip açmamıza olanak tanır.
ZIP’teki en dikkat çekici dosya, çalıştırılabilir “usd 47180″dir. Herhangi bir risk oluşturup oluşturmadığını görmek için, onu sadece sandbox’ta başlatırız.
Servis, saniyeler içinde bunu Formbook kötü amaçlı yazılımı olarak tanımlıyor ve virüslü makineden bilgi çalıp saldırganlara gönderiyor.
Sandbox, bize tehdidin varlığını bildirir ve bir detaylı rapor Bunlara, eyleme dönüştürülebilir uzlaşma göstergeleri (UÖG) de dahildir.
14 günlük Ücretsiz Deneme Sürümünü Alın tüm ekibinizin ANY.RUN sanal alanının tüm özelliklerini test etmesi için
2. Zorluk: Tehdit Aktivitesinin Gerçek Zamanlı İzlenmesi
Çoğu otomatikleştirilmiş sanal alan yalnızca analiz sonrası raporlar sağlar ve kullanıcıların kötü amaçlı yazılımın etkinliklerine ilişkin gerçek zamanlı bir görünüme sahip olmasını engeller. Bu, analistlerin sonuçları inceleyebilmeleri için analizin tamamlanmasını beklemeleri gerektiği anlamına gelir.
Böyle bir gecikme, özellikle olay müdahalesi gibi zamana duyarlı durumlarda sorunlu olabilir. Etkileşimli bir sanal alan gibi HERHANGİ BİR KOŞU tehdit aktivitesinin canlı izlenmesini sağlayarak bu sınırlamayı ortadan kaldırır.
Kullanıcılar ağ trafiğini, kayıt defterini ve dosya sistemi değişikliklerini ve ayrıca işlemleri gerçekleştikleri anda gözlemleyebilirler.
Anında görünürlük, kullanıcıların tehditlerin davranışlarına anında tepki vermesini, daha doğru ve eksiksiz analiz için gerekli eylemleri gerçekleştirmesini de sağlar.
Örnek: C2 İletişiminin Takibi
Bunda etkileşimli analiz oturumu AgentTesla kötü amaçlı yazılım örneğinin yürütülmesini gözlemleyebiliriz.
Tehditler bölümüne baktığımızda Suricata IDS kurallarıyla tespit edilen şüpheli ve kötü niyetli ağ aktivitelerini tespit edebiliriz.
Listedeki aktivitelerden biri de zararlı yazılımın Telegram aracılığıyla makinede toplanan verileri sızdırmaya çalışması.
Tehditin ilgili penceresini açarak bağlantıya ilişkin ek ayrıntılara erişebiliriz.
3. Zorluk: Kalite Tehdit Bilgileri
Örneğin tehdit seviyesi hakkında basit bir karar almak yeterli değildir. Gelecekteki kötü amaçlı yazılım enfeksiyonlarını önlemek için analistlerin, tehlikeye ilişkin kalite göstergelerini toplamaları gerekir. Bunlara kontrol sunucusu adresleri, şifreleme anahtarları ve kötü amaçlı yazılımın çalışmak için kullandığı diğer altyapılar dahildir.
ANY.RUN gibi etkileşimli bir sanal alanla, kötü amaçlı yazılımların tersine mühendislik uygulanmış örneklerinden doğrudan çıkarılan göstergelere erişebilirsiniz. Analiz sırasında toplanan IOC’lere ek olarak, hizmet 79’dan fazla kötü amaçlı yazılım ailesinin yapılandırma verilerine erişim sağlar.
Örnek: Kötü Amaçlı Yazılımın Yapılandırmasından Etki Alanlarını Toplama
Bunda etkileşimli oturumRemcos zararlı yazılımının yürütme sürecini görebiliyoruz.
Config raporunu açarak, sandbox örneğin yapılandırmasından IOC’lerin tam listesini verir. Bunlar kötü amaçlı yazılım veya güncelleme algılama sistemlerinin daha fazla araştırılmasını zenginleştirmek için kullanılabilir.
4. Görev: Kurulum Esnekliği ve Özelleştirme
Belirli tehdit türlerinin patlamaları için belirli sayıda koşulun karşılanması gerekir. Örneğin, kötü amaçlı yazılımlar Windows’un belirli sürümlerini hedef alacak şekilde tasarlanmış olabilir veya belirli yazılımların mevcut olması gerekebilir.
Etkileşimli sanal alanlar, kullanıcıların analiz ortamını özelleştirmesine izin vererek bu engeli ortadan kaldırır. Kullanıcılar, hedef ortama daha iyi uyum sağlamak için doğru işletim sistemini veya ağ ayarlarını seçmek üzere VM’lerini hızla ayarlayabilir.
Örnek: Kötü Amaçlı Yazılımların C2 İletişimini Ortaya Çıkarmak İçin FakeNet Kullanımı
ANY.RUN’da kullanıcılar, C2’si artık yanıt vermeyen kötü amaçlı yazılımlar için ağ simülasyonunu etkinleştirebilir.
Bunu kontrol et etkileşimli oturum. Sandbox, analiz edilen kötü amaçlı yazılımın türü hakkında herhangi bir bilgi sunmuyor gibi görünüyor çünkü tehdit, C2 sunucusuna veri göndermiyor.
Ancak FakeNet özelliğini açarak bunu zorlayabiliriz.
İçinde sonraki oturumFakeNet, saldırgan sunucunun etkinliğini taklit ederek kötü amaçlı yazılımın, toplanan sistem bilgileriyle birlikte isteğini sunucuya göndermesini zorlar.
Bu, sanal alanın söz konusu kötü amaçlı yazılımı SmokeLoader olarak tanımlamasını sağlar.
5. Görev: İşbirlikçi Analiz ve Bilgi Paylaşımı
Etkili kötü amaçlı yazılım analizi ve tehdit avcılığı için ekip çalışması ve bilgi paylaşımı esastır. Kullanıcıların birlikte soruşturmalar üzerinde çalışmasına yardımcı olmak için, etkileşimli bir sanal alan aynı analiz oturumuna paylaşılan ekip erişimi sağlar.
Merkezi veri depolama, tüm ekip üyelerinin konumlarından bağımsız olarak aynı verilere ve analiz sonuçlarına erişebilmesini sağlar.
Bir analist, bir örneklemden gelen şüpheli bir ağ bağlantısını tespit ederse, bu bilgiyi derhal meslektaşlarıyla paylaşabilir ve meslektaşları da dosyayı daha ayrıntılı inceleyebilir.
Örnek: Bir Meslektaşla Analiz Oturumunu Paylaşma
ANY.RUN sanal alanında, hassas verilerinizin ifşa olma riski olmadan meslektaşlarınızla analiz oturumları paylaşabilirsiniz.
Analizin yalnızca ekibinize veya bağlantıya sahip olanlara açık olmasını seçerek bulgularınızı tamamen gizlilik içinde paylaşabilirsiniz.
14 günlük En İyi Etkileşimli Analiz Özellikleri
Ekibinizin etkileşimli kötü amaçlı yazılım analizinden nasıl faydalanabileceğini görmek için ANY.RUN sanal alanının tüm yeteneklerini test edin.
- 40 saniyeden kısa bir sürede bir dosya veya URL hakkında kesin kararı alın.
- 3 adımda analizi tamamlayın: örnek yükleyin, kötü amaçlı davranışı gözlemleyin, raporu indirin.
- Manuel etkileşimleri gerçekleştirmek için devreye girin: CAPTCHA’yı çözün, ekleri indirin ve açın veya yeniden başlatın.
- Ağ etkinliğini, işlem ayrıntılarını, kayıt defterini ve dosya sistemi değişikliklerini gerçek zamanlı olarak inceleyin. 79’dan fazla kötü amaçlı yazılım ailesinin yapılandırmaları dahil olmak üzere IOC’leri toplayın.
SOC/DFIR ekiplerinden misiniz? – Ekibiniz için ANY.RUN’ın 14 günlük ücretsiz deneme sürümünü edinin.