“Cryptomine” adlı dosyasız bir fidye yazılımı çeşidi olan analiz edilen kötü amaçlı yazılım, Microsoft Exchange sunucularındaki güvenlik açıklarından yararlanarak sistemlere sızıyor.
İçeri girdikten sonra kötü amaçlı kod yürütmek, hassas verileri şifrelemek ve fidye talep etmek için PowerShell’den yararlanıyor.
Cryptomine, kötü amaçlı yazılımın bağımlılıkları PowerShell, Windows Server 2019 ve belirli ağ bağlantılarını içerdiğinden, gizleme teknikleri kullanarak ve kalıcı arka kapılar oluşturarak tespit edilmekten kaçınır.
Cryptomine ile ilişkili Tehlike Göstergeleri (IOC’ler), olağandışı PowerShell etkinliğini, belirli bir uzantıya sahip şifrelenmiş dosyaları ve komuta ve kontrol sunucularına giden ağ trafiğini içerir.
HERHANGİ BİR ÇALIŞMA Kötü amaçlı yazılım analizi raporlamasını kolaylaştırarak kullanıcıların tek bir tıklamayla önemli ayrıntıları yakalamasına, kapsamlı metin raporlarını, ağ trafiğini (PCAP) ve şifreleme anahtarlarını (SSL) indirmesine, istek/yanıt verilerini analiz etmesine, bellek dökümlerinden kötü amaçlı yazılım yapılandırmasını çıkarmasına olanak tanır ve Bir süreç grafiği kullanarak süreç akışını görselleştirin.
Raporlar ayrıca standart bir görünüm için saldırgan taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) MITRE ATT&CK çerçevesiyle eşleştirir. RedLine kötü amaçlı yazılım örnek raporu.
HTML raporu, kötü amaçlı yazılım örneklerini analiz etmek için kapsamlı ve özelleştirilebilir bir çözüm sunar; bu çözüm; süreçler, kayıt defteri etkinliği, ağ trafiği, güvenlik ihlali göstergeleri (IOC’ler), ekran görüntüleri ve süreç davranışı grafikleri hakkında bilgiler dahil olmak üzere otomatik olarak ayrıntılı raporlar oluşturur.
Kullanıcılar raporu yalnızca ilgili bölümleri içerecek şekilde kolayca özelleştirebilir ve doğrudan paylaşabilir veya yazdırabilir ve diğer sistemlere veya iş akışlarına entegrasyon için rapora API aracılığıyla erişilebilir.
JSON raporu, ayrıntılı analiz için yapılandırılmış ve makine tarafından okunabilen bir format sunarak görevle ilgili tüm bilgilere kapsamlı bir genel bakış sağlar.
Kullanıcılar bu dosyayı ayrıştırarak, görev kimlikleri, yürütme süreleri, komut satırları ve ilgili süreçler gibi önemli veri noktalarını çıkarabilir; bu, kötü amaçlı yazılım ayak izlerinin kesin olarak tanımlanmasına ve analiz edilmesine olanak tanır, kötü amaçlı etkinliklerin kapsamlı bir şekilde araştırılmasını ve kapsamlı bir şekilde raporlanmasını kolaylaştırır.
HERHANGİ BİR ÇALIŞMA Güvenlik Bilgileri ve Olay Yönetimi (SIEM) sistemleriyle kusursuz entegrasyon için tehdit analizi verilerinin standart STIX formatında dışa aktarılmasına olanak tanır.
Bu STIX raporu, güvenlik analistlerinin ve olay müdahale ekiplerinin tehdit verilerini çeşitli platformlarda paylaşmasına olanak tanıyan sanal alan oturumu bağlantıları, dosya karmaları, ağ trafiği analizi, dosya sistemi değişiklikleri ve tehdit tarafından kullanılan Taktikler, Teknikler ve Prosedürler (TTP’ler) gibi ayrıntıları içerir. Daha hızlı ve daha verimli algılama ve yanıt için.
Ayrıca, şifre çözme için SSL anahtarlarının yanı sıra yakalanan ağ trafiğini PCAP formatında sağlayarak şüpheli dosyaların derinlemesine analizine olanak tanır ve kötü amaçlı iletişim kalıplarını tanımlamak için başlıklar ve veri akışları dahil istek/yanıt içeriğinin incelenmesine olanak tanır.
Analyze unlimited malware by signing up for free on ANY.RUN!
Kötü amaçlı yazılımın bellek dökümünden yapılandırma verilerini çıkararak, şifrelenmiş dizeleri, C2 sunucu ayrıntılarını (IP adresleri, bağlantı noktaları), aile adını, sürümü ve kalıcılık için kullanılan muteksleri ortaya çıkarır; çünkü bu ağ yakalama ve bellek analizi kombinasyonu, araştırmacıların konuyu tam olarak anlamalarını sağlar. kötü amaçlı yazılımın davranışı ve iletişim kanalları.
Güvenlik analistleri, program etkinliklerini ve bunların ilişkilerini görsel olarak haritalandıran, potansiyel tehditlerin etkili bir şekilde tanımlanmasına ve programın genel kötü niyetli niyetinin tam olarak belirlenmesine olanak tanıyan süreç grafikleri aracılığıyla kötü amaçlı yazılım davranışını hızlı bir şekilde anlayabilir.
Örneklem taktikleri ve teknikleri araştırılarak daha ileri analizler yapılabilir. GÖNYE ATT&CK matrisi, halka açık kötü amaçlı yazılım depoları ise HERHANGİ BİR ÇALIŞMA karşılaştırma için geniş bir veri tabanına erişim sunarak daha derinlemesine bir araştırmaya olanak tanır.
Son olarak yapay zeka raporları, kötü amaçlı yazılımın yürütülmesi sırasında gözlemlenen şüpheli etkinliklere ilişkin ayrıntılı, insanlar tarafından okunabilir açıklamalar sağlayarak tehdit değerlendirmesi için değerli bilgiler sunar.
ANY.RUN’a bugün katılın Kapsamlı kötü amaçlı yazılım analizine hızlı, kolay ve sınırsız erişim için!