Antivirüsler, kötü amaçlı yürütülebilir dosyaları hızlı bir şekilde tespit edebilir, ancak saldırganlar, kodu sıkıştırmak ve gizlemek için paketleyicileri kullanarak antivirüs yazılımının analiz etmesini zorlaştırarak bunu atlayabilir.
Paketleyiciler, ZIP ve RAR gibi sıkıştırma araçlarına benzer, ancak UPX gibi bazı paketleyiciler özellikle yürütülebilir dosyaları hedefler.
Meşru olanlar (VMprotect, ASpack) ve ZIP, SFX ve UPX gibi saldırganlar tarafından özel olarak hazırlanan paketleyiciler de dahil olmak üzere paketleyiciler, sıkıştırılmış arşivler aracılığıyla kötü amaçlı yazılım dağıtır.
ZIP arşivleri dosyaları sıkıştırır ve meşru dosyalar veya parola korumalı arşivler içindeki kötü amaçlı programları gizlemek için kullanılabilir.
Bunun aksine, SFX arşivleri kendi kendine açılır ve ayrı çıkarma araçlarını atlayarak yürütme sonrasında kurulumu tetikleyen bir paket açma modülü içerir.
UPX paketleyicileri yürütülebilir kodu sıkıştırıp şifreleyerek analiz etmeyi zorlaştırır ve potansiyel olarak paketin açılmasını tamamen engeller.
Bu teknikler, kötü amaçlı yazılım yüklerini sıkıştırır, potansiyel olarak e-posta güvenlik önlemlerini atlar ve kötü amaçlı yükleme işlemlerini gizleyebilir.
Bilgisayar korsanları, analizi engellemek için UPX dolu arşivlere müdahale edebilir ve iki ana yöntem vardır: arşivi paketlemek için UPX'in yayınlanmamış bir sürümünü kullanmak veya arşivin içindeki l_info ve p_info yapılarını değiştirmek.
Her iki teknik de aynı sonuca ulaşır: Paketlenmiş arşiv, standart UPX paket açıcıları ve imza tabanlı güvenlik sistemleri tarafından tespit edilemez hale gelir.
Arşiv içeriğini analiz etmek için paket açma araçlarına güvenen araştırmacılar ve arşivin içeriğini analiz etmek için imza kullanan güvenlik yazılımları için bu durum sorunlu olabilir. kötü amaçlı kodu tanımla.
Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN'u Şirketinize Entegre Edin
SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:
- Gerçek Zamanlı Tespit
- İnteraktif Kötü Amaçlı Yazılım Analizi
- Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
- Maksimum veriyle ayrıntılı raporlar alın
- Linux'ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
- Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN'u ÜCRETSİZ deneyin
Temel olarak, arşivin iç yapısına müdahale edilmesi, onu standart UPX araçları tarafından okunamaz hale getirirken, paketlenmiş kötü amaçlı yük tamamen işlevsel kalır.
Özellikle SFX ve UPX gibi daha az yaygın olan formatlar için, ilgilendiğiniz arşiv türünü belirlemek için Unix'teki “file” komutu gibi dosya tanımlama araçlarını kullanın. Aynı zamanda TrID, hem Windows hem de Linux için ayrıntılı dosya bilgileri sağlayan bir yardımcı programdır.
Xxd ve hexdump gibi hex düzenleyicileri, dosyanın sihirli baytlarını görüntüleyerek manuel incelemeye olanak tanır.
ANY.RUN'da bir SFX arşivi ve UPX dosyasını tanımlama
HERHANGİ BİR ÇALIŞMA için kullanılabilir Kötü amaçlı yazılım örnekleri için paketleme yöntemlerini belirlemeve Statik Keşif penceresi dosya bilgilerini görüntüler. SFX arşivleri söz konusu olduğunda, açıklama sıkıştırma türünü gösterecektir (örneğin, “Win32 Kabin Kendi Kendine Çıkarıcı”).
UPX paketlenmiş dosyalar Static Discovery'deki Hex Düzenleyici sekmesi incelenerek belirlenebilir. HERHANGİ BİR ÇALIŞMA onaltılık verileri metne dönüştürerek “UPX0”, “UPX1” veya “UPX!” gibi dizelerin aranmasına olanak tanır. UPX paketlemeyi onaylamak için dosyanın başında.
ZIP ve SFX arşivleri, kötü amaçlı yürütülebilir dosyaları zararsız dosyalarla bir araya getirerek e-posta güvenliğinden kaçar. UPX ise yürütülebilir dosyayı şifreler ve yürütme sırasında bellekteki şifresini çözer. Paketleyici imzaları için dosya başlıklarını (ZIP dışında) incelemek, paketlenmiş kötü amaçlı yazılımları ortaya çıkarabilir.
ANY.RUN nedir?
HERHANGİ BİR ÇALIŞMA güvenlik ekiplerinin işlerinin çoğunu yapan bulut tabanlı bir kötü amaçlı yazılım laboratuvarıdır. 400.000 profesyonel, Linux ve Windows bulut sanal makinelerinde olayları incelemek ve tehdit araştırmalarını hızlandırmak için her gün ANY.RUN platformunu kullanıyor.
ANY.RUN'un Avantajları
- Gerçek Zamanlı Algılama: ANY.RUN, bir dosya gönderildikten sonra yaklaşık 40 saniye içinde YARA ve Suricata kurallarını kullanarak kötü amaçlı yazılım bulabilir ve birçok kötü amaçlı yazılım ailesini anında tanımlayabilir.
- İnteraktif Kötü Amaçlı Yazılım Analizi: ANY.RUN, tarayıcınızdan sanal makineye bağlanmanıza izin vermesi nedeniyle birçok otomatik seçenekten farklıdır. Bu canlı özellik, sıfır gün güvenlik açıklarının ve imza tabanlı korumayı geçebilecek gelişmiş kötü amaçlı yazılımların durdurulmasına yardımcı olur.
- Paranın karşılığı: ANY.RUN'un bulut tabanlı yapısı, DevOps ekibinizin herhangi bir kurulum veya destek işi yapması gerekmediğinden onu işletmeler için uygun maliyetli bir seçenek haline getirir.
- Yeni güvenlik ekibi üyelerini işe almak için en iyisi: HERHANGİ. RUN'un kullanımı kolay arayüzü, yeni SOC araştırmacılarının bile kötü amaçlı yazılımları incelemeyi ve güvenlik ihlali işaretlerini (IOC'ler) tanımlamayı hızlı bir şekilde öğrenmesine olanak tanır.
SOC ve DFIR Ekiplerinden misiniz? – Kötü Amaçlı Yazılım Olaylarını analiz edin ve ANY.RUN ile canlı Erişim elde edin -> Şimdi Ücretsiz Başlayın