.NET Kötü Amaçlı Yazılım Nasıl Analiz Edilir?


Davranış, ağ ve süreç incelemesi için korumalı alan analizinin kullanılması, .NET kötü amaçlı yazılımlarına tersine mühendislik yapılması için bir temel sağlar.

Yazıda, kötü amaçlı yazılım yaratıcılarının analistlerin kafasını karıştırmak için çeşitli taktikler kullandığı göz önüne alındığında, ne beklenmesi ve neye odaklanılması gerektiğini vurgulayarak tersine mühendisliğe hazırlıkta sandbox analizinin önemi özetleniyor.

Ayrıca, izlenecek yolun analizi basitleştirmek için kötü amaçlı yazılımların değiştirilmesini kapsayacağından da bahsediliyor.

Kazanılan ilk anlayış korumalı alan analizi analistlerin yapısöküm aşamasında araştırma alanlarına öncelik vermelerine olanak tanır. Kötü amaçlı yazılımların sıklıkla analizi engellemek için gizleme teknikleri kullanması nedeniyle bu özellikle kullanışlıdır.

Yazarın VirtualBox, Windows 11, Flare-VM, dnSpy ve ile oluşturulmuş izole bir ortamda derleyiciler ve hata ayıklayıcılarla statik ve dinamik analiz kullanmayı planladığı, anti-analiz tekniklerine sahip bir NET bilgi hırsızı olan Snake Keylogger'ın tersine mühendisliğine hazırlık. .NET Reaktör Avcısı.

Belge

Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN'u Şirketinize Entegre Edin

SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:

  • Gerçek Zamanlı Tespit
  • İnteraktif Kötü Amaçlı Yazılım Analizi
  • Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
  • Maksimum veriyle ayrıntılı raporlar alın
  • Linux'ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
  • Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun

Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:

Güvenliği sağlamak için ağ bağdaştırıcıları devre dışı bırakılacak ve konuk ile ana makine arasındaki kaynak paylaşımı en aza indirilecektir.

Modifiye edilmiş Snake Keylogger

Kötü Amaçlı Yazılım Analizinin Aşamaları:

Analiz, “pago 4094.exe”nin uçak simülatörü kılığına girmiş bir .NET keylogger olduğunu belirledi. Statik analiz, InitializeComponent işlevinde şüpheli şifre çözme kodunu ortaya çıkardı ve kodun devre dışı bırakılması, bunun kötü amaçlı etkinlikteki rolünü doğruladı.

Ana işlevi içeren giriş noktası

Dinamik analiz, kodun “Grab” adlı bir kaynaktan veri aldığını ve geçerli bir DOS başlığı, DOS saplaması ve PE başlığı içeren bu verinin şifresini çözdüğünü gösterdi; bu da bunun yeni bir çalıştırılabilir yük olduğunu gösteriyordu.

Assembly.Load kullanılarak bellek içi derleme olarak yüklenen yükün “Aads.dll” olarak tanımlandığı ve kötü amaçlı yazılımın 2. aşaması olduğu belirlendi.

ANY.RUN Sandbox'taki “Uçakla Seyahat” uygulaması

Analist şu adreste: HERHANGİ BİR ÇALIŞMA statik ve dinamik analiz kullanarak bir.NET derleme DLL'si olan “Aads.dll”yi araştırdı; burada dnSpy'daki statik analiz, sıralama/arama işlevlerini ortaya çıkardı ancak kötü amaçlı kod göstermedi.

DIE'deki “Aads.dll” Kitaplığı ve Bağlayıcıyı gösterir

Kesme noktalarına sahip dinamik analiz, potansiyel olarak steganografik bir görüntü içeren “ivmsL” kaynağındaki görüntü verilerini kullanan “Aads.dll” dosyasını gösterdi.

Görüntü verileri, sıralama algoritmaları yoluyla işlendi ve bellekte incelendi; bir DOS başlığı (“MZ”) ve PE başlığı ortaya çıkarıldı; bu, paketlenmiş bir yürütülebilir dosyayı gösterirken, “Tyrone.dll” adlı çıkarılan yürütülebilir dosya, programın 3. aşaması olarak tanımlandı. kötü amaçlı yazılım.

“Tyrone.dll” modülü Modüller Sekmesi altında görülebilir.

“Tyrone.dll”,.NET Reactor tarafından gizlenen VB.NET kodlu bir.NET DLL dosyası olarak bulundu. Gizlemesi kaldırılmış kodun statik analizi, “pandemi simülasyonu” ile ilgili işlevlerin gereksiz olduğunu gösterdi ancak GetObject()'in varlığı bir sonraki adımı önerdi.

“Tyrone.dll” dosyasının gizliliğini kaldırma

Dinamik analiz, kesme noktaları belirleyerek ve belleği inceleyerek bu şüpheyi doğrularken, “wHzyWQnRZ” kaynağından alınan verilerin, kötü amaçlı yazılımın 4. aşaması olan DOS başlığı, DOS saplaması ve PE başlığını içeren yeni bir yürütülebilir dosya olduğu belirlendi.

Belge

SOC ve DFIR Ekiplerinden misiniz?

Kaydolun ve etkileşimli kötü amaçlı yazılım sanal alanını ücretsiz olarak kullanmaya başlayın. .

Analistler araştırıldı Bir keylogger olarak işaretlenen “lfwhUWZlmFnGhDYPudAJ.exe” adlı bir.NET derlemesi, dosyanın açıklayıcı olmayan adlarla kodu gizlediği ve onu VB.NET derlenmiş PE32 yürütülebilir dosyası olarak tanımladıktan sonra onu bir sandbox ortamında patlatarak keylogging'i doğruladılar işlevsellik.

ANY.RUN sanal alanındaki “lfwhUWZlmFnGhDYPudAJ.exe” dosyasına genel bakış

Sonunda, işlevlerin yeniden adlandırılmasıyla (örneğin, “lena_”) kod gizlemenin kaldırılması, daha ileri analizler için kodun okunabilirliğini iyileştirdi.

Sabit kodlanmış bir anahtarla şifrelenen kötü amaçlı yazılım yapılandırması, sızma için SMTP bilgilerini açığa çıkarıyor ve kod, SQLite veritabanlarına veya LevelDB dosyalarına erişerek tarayıcılardan (Chrome, Edge vb.) ve uygulamalardan (Discord) oturum açma verilerini çalıyor.

Snake Keylogger Yapılandırması Şifre Çözme Python Kodu

Analiz edilen örnek sabit kodlanmış kimlik bilgileriyle SMTP kullandığından ve verileri bir e-posta eki olarak gönderdiğinden, verileri FTP, SMTP veya Telegram aracılığıyla sızdırır.

İnternet bağlantısı kontrolü, kendi kendini silme ve kendi kendine hareket işlevlerini devre dışı bırakarak daha kolay analiz için Snake Keylogger kötü amaçlı yazılımının değiştirilmesini açıklar.

Python kodundan elde edilen şifrelenmiş SMTP bilgileri

SMTP kimlik bilgilerini MD5 karmasından türetilen bir anahtarla şifrelemek ve e-posta şifrelemesini atlamak için bunları kötü amaçlı yazılım yapılandırmasında depolamak için bir Python betiği yazılmıştır.

Belge

SOC ve DFIR Ekiplerinden misiniz?

ANY.RUN Kötü Amaçlı Yazılım Sandbox'ını iş yerinize entegre edin. .

Kötü amaçlı yazılım, simge değiştirilerek ve duvar kağıdını değiştirecek ve çalınan kimlik bilgilerini masaüstündeki metin dosyalarına kaydedecek işlevler eklenerek özelleştirilmiştir. Değişikliklerin etkinliği, modlanmış kötü amaçlı yazılımın korumalı alan ortamında çalıştırılmasıyla doğrulandı.

ANY.RUN Tehdit İstihbaratı ile Güvenliği Artırma

Çözüm, bir tehdit istihbaratı (TI) beslemesi ve bir arama portalı sunarak, topluluk ve kurum içi analistler tarafından gerçekleştirilen 1,5 milyondan fazla araştırmadan elde edilen verilerden yararlanan, sürekli güncellenen kötü amaçlı yazılım bilgileri veritabanına erişim sağlar.

  • Topluluk tarafından bildirilen ve analistlerin keşfettiği en son kötü amaçlı yazılım verilerine erişin.
  • Son 6 ayda gerçekleştirilen 1,5 milyon soruşturmanın çeşitli yönlerini (alanlarını) arayın.
  • Riskleri tanımlamak, komut satırlarını, kayıt defteri değişikliklerini, bellek dökümlerini, şifrelenmiş ve şifrelenmemiş ağ trafiğini ve daha fazlasını analiz etmek.

Tehdit istihbaratını iki biçimde sunar:

  • Tehdit İstihbaratı Araması – 30 kriteri kullanarak ilgili etkinlikleri portalımızda arayın. Joker karakterler kullan
  • veya alt dizeleri aramak için geniş çapta. Hızlı arama ile 5 saniyede sonuç alırsınız. Ekli IOC'ler ve etkinlik alanları, kayıtlı sanal alan araştırma oturumlarına bağlantılar içerir. Tehdit İstihbaratı Akışları

– Akışlarımızdan STIX verilerini doğrudan TIP ve SIEM sistemlerinize alın. Mevcut tehditlere karşı güvenlik duvarları kurun. Yeni veriler her iki saatte bir bağlam için göstergeler ve olay alanları sağlar.

TI Arama, Uzlaşma Göstergeleri (IOC'ler) ve ilgili olaylardan oluşan devasa bir veritabanını çok sayıda parametrede inceler. Joker karakterler geniş veya belirli aramalara izin verir ve bağlantılı araştırma oturumları da dahil olmak üzere sonuçlar saniyeler içinde sağlanır.

SIEM sistemleri, TI Feeds'in STIX formatındaki sürekli tehdit verilerini kullanabilir ve her iki saatte bir, tehdit analizi için IOC'ler ve olay ayrıntıları eklenir.

ANY.RUN nedir? HERHANGİ BİR ÇALIŞMA

güvenlik ekiplerinin işlerinin çoğunu yapan bulut tabanlı bir kötü amaçlı yazılım laboratuvarıdır. 400.000 profesyonel, Linux ve Windows bulut sanal makinelerinde olayları incelemek ve tehdit araştırmalarını hızlandırmak için her gün ANY.RUN platformunu kullanıyor. ANY.RUN'un Avantajları

  • Gerçek Zamanlı Algılama:
  • ANY.RUN, bir dosya gönderildikten sonra yaklaşık 40 saniye içinde YARA ve Suricata kurallarını kullanarak kötü amaçlı yazılım bulabilir ve birçok kötü amaçlı yazılım ailesini anında tanımlayabilir. İnteraktif Kötü Amaçlı Yazılım Analizi:
  • ANY.RUN, tarayıcınızdan sanal makineye bağlanmanıza izin vermesi nedeniyle birçok otomatik seçenekten farklıdır. Bu canlı özellik, sıfır gün güvenlik açıklarının ve imza tabanlı korumayı geçebilecek gelişmiş kötü amaçlı yazılımların durdurulmasına yardımcı olur. Paranın karşılığı:
  • ANY.RUN'un bulut tabanlı yapısı, DevOps ekibinizin herhangi bir kurulum veya destek işi yapması gerekmediğinden onu işletmeler için uygun maliyetli bir seçenek haline getirir.Yeni güvenlik ekibi üyelerini işe almak için en iyisi

: HERHANGİ. RUN'un kullanımı kolay arayüzü, yeni SOC araştırmacılarının bile kötü amaçlı yazılımları incelemeyi ve güvenlik ihlali işaretlerini (IOC'ler) tanımlamayı hızlı bir şekilde öğrenmesine olanak tanır.

SOC ve DFIR Ekiplerinden misiniz? – Kötü Amaçlı Yazılım Olaylarını analiz edin ve ANY.RUN ile canlı Erişim elde edin -> Şimdi Ücretsiz Başlayın.



Source link