Tehlike Göstergeleri (IOC’ler), siber güvenlik savunmalarımıza güç veren ve onları etkili tutan yakıttır. Bu göstergelerin en çok aranan kaynağı kötü amaçlı yazılım yapılandırmalarıdır.
Bunlara erişmek, saldırganın taktik kitabını açığa çıkarmakla eşdeğerdir. Bu nedenle binlerce analist bunları ortaya çıkarmak için onlarca saat harcıyor. Peki bu yapılandırmalar tam olarak nedir ve bunları nasıl daha hızlı elde edebiliriz? Hadi keşfedelim.
Kötü Amaçlı Yazılım Korumalı Alan Lideri ANY.RUN, kimlik avı saldırılarının ağır yükünü üstleniyor ve SOC ve DFIR ekipleri için kötü amaçlı yazılım analizi Ayrıca 300.000 profesyonelin olayları araştırmak ve tehdit analizini kolaylaştırmak için platformu kullanmasına yardımcı oluyor.
Kötü Amaçlı Yazılım Yapılandırması nedir?
Kötü amaçlı yazılım yapılandırmaları esas olarak saldırganın kötü amaçlı yazılıma sağladığı talimatlardır. Bunlar genellikle Komuta ve Kontrol (C&C) sunucusunu, şifreleme anahtarlarını, hedeflenen işletim sistemini ve kötü amaçlı yazılım tarafından gerçekleştirilen işlevleri bağlamak için kullanılan URL’leri içerir.
O nasıl çalışır?
Bireysel kötü amaçlı yazılımların davranışı, ilk geliştirme sırasında tanımlanan yapılandırma ayarlarından kaynaklanır. Bütün bunları konfigürasyon parametreleri belirler.
Örneğin, kötü amaçlı bir program e-posta yoluyla veri iletebilir, sunucularla doğrudan iletişim kurabilir, Telegram gibi mesajlaşma uygulamalarından yararlanabilir veya bunların birleşimini gerçekleştirebilir.
Neden Kötü Amaçlı Yazılım Yapılandırmasına İhtiyacınız Var?
Yapılandırmaların analiz edilmesi, kötü amaçlı yazılımın operasyonel yeteneklerine ve hedef sistemle nasıl etkileşime girdiğine ilişkin bilgiler sağlar. Sundukları bilgiler, normalde fark edilmeyecek kritik ayrıntıların ortaya çıkarılmasına yardımcı olur.
Örneğin, birden fazla C&C sunucusuna sahip kötü amaçlı yazılımlar genellikle ilk IP adresiyle iletişim kurar ve geri kalanını ağ trafiğinin izlenmesinden gizlenir.
Yapılandırma çıkarıcılar, bu gibi durumlarda paha biçilmez değerdedir ve kötü amaçlı yazılımla aktif olarak etkileşime girmeden bu gizli ayrıntıları ortaya çıkarır.
İşte işin zor kısmı geliyor. Kötü amaçlı yazılım yapılandırmaları almak, oldukça karmaşık kod satırlarını kırmayı, kötü amaçlı yazılım örneklerinin bellek dökümlerini derinlemesine incelemeyi, tersine mühendislik ve hata ayıklamayı içeren zahmetli bir iştir.
Modüler mimariyi kullanan modern kötü amaçlı yazılımlarda bu zorluk daha da büyüktür. Konfigürasyonların çıkarılması Bu modüllerin her biri prosedüre karmaşıklık katar.
Bu, ilk kötü amaçlı yazılım yapısına keylogger’lar ve madenciler gibi yeni bileşenlerin eklenmesine, işlevselliğinin genişletilmesine ve davranışının değiştirilmesine olanak tanır.
Neyse ki, çoğu durumda, profesyonel analistler yapılandırmaları elde etmek için saatlerce stresli ve sıkı bir çalışma harcamıştır. Bunları elde etmek için bir düğmeye tıklamanız yeterlidir.
300.000’den fazla analist ANY.RUN’u kullanıyor, dünya çapında bir kötü amaçlı yazılım analiz sanal alanıdır. En önemli tehditlere ilişkin derinlemesine araştırmalar yürütmek ve davranışlarına ilişkin ayrıntılı raporlar toplamak için topluluğa katılın.
Ücretsiz Demo Talep Edin
Kötü Amaçlı Yazılım Koruma Alanları Kötü Amaçlı Yazılım Yapılandırmalarını Çıkarmamıza Nasıl Yardımcı Olur?
Korumalı alanlar Kötü amaçlı yazılım analizi için, farklı tehditlerin kötü amaçlı yazılım yapılandırmalarına kolayca erişmenizi sağlayan araçlardan biridir. İlgili bilgilerin anında alınmasını sağlayarak üretkenliğinizi önemli ölçüde artırırlar.
ANY.RUN böyle bir hizmetin en iyi örneğidir. Korumalı alanın veritabanı, 50’den fazla yaygın kötü amaçlı yazılım ailesi için kötü amaçlı yazılım yapılandırmaları içerir. Remco’lar, Kırmızı cizgiVe Form defteriBuna yalnızca “MalConf” düğmesine tıklayarak erişilebilir.
ANY.RUN, aynı aileden birden fazla yapı mevcut olsa bile tüm varyantlar dahil olmak üzere örnek içindeki tüm kötü amaçlı yazılım ailelerini etkili bir şekilde tanımlar.
Arayüz, kötü amaçlı yazılımın kısa bir tanımını sağlar ve daha fazla ayrıntı ve en son IOC’ler için Kötü Amaçlı Yazılım İzleyiciyi ziyaret etme seçeneği sunar.
Uzmanlar, daha fazla analiz için çıkarılan verileri JSON formatında dışa aktarabilir. Daha fazla bilgi için soru işareti simgesine tıklanarak erişilebilen bir araç ipucu kılavuzu mevcuttur.
300.000’den fazla analist ANY.RUN’u kullanıyor, dünya çapında bir kötü amaçlı yazılım analiz sanal alanıdır. Etkileşimli Windows VM’lerinde kötü amaçlı yazılımları analiz edin ve yapılandırmalarını saniyeler içinde alın. ..
Ücretsiz Kayıt Ol
ANY.RUN’un kötü amaçlı yazılım yapılandırmalarını almanıza nasıl izin verdiğine dair örnek
Yürütmesini geciktirmek için uzun matematiksel hesaplamalar kullanan, oyalama taktikleriyle bilinen bir kötü amaçlı yazılım olan Trickbot’u düşünün.
Trickbot, bir C&C sunucusuna bağlanmak gibi ağ etkinliklerini yalnızca 300 saniyelik bir gecikmeden sonra başlatabilirken, ANY.RUN gibi araçlar, yapılandırmalarını yalnızca 100 saniye içinde hızlı bir şekilde algılayıp çıkarabilir. Görüş bu etkileşimli oturum Kendiniz görmek için ANY.RUN’da.
ANY.RUN’u ücretsiz deneyin
ANY.RUN tarafından sunulan tüm özellikleri bir talepte bulunarak test edin 14 günlük ücretsiz deneme. Tıpkı kendi bilgisayarınızdaki gibi etkileşimli bulut sanal makinelerinde (VM’ler) kötü amaçlı yazılımları analiz edin. Soruşturmalarınızı kolaylaştırmak için IOC’leri toplayın, yapılandırmaları çıkarın ve saniyeler içinde kapsamlı tehdit raporları oluşturun.