Sandbox’lar Analistlerin Komut Dosyası Tabanlı Saldırıları Ortaya Çıkarmasına Nasıl Yardımcı Olur?


Siber suçlular uç noktalara sızmak için çok sayıda taktik kullanır ve komut dosyaları en yıkıcı olanlar arasındadır.

Görünüşte zararsız bir belgeye tıklayarak bir enfeksiyon zincirini tetikleyebilir ve potansiyel olarak tüm ağınızı tehlikeye atabilirsiniz.

Bunu önlemek için, şüpheli dosyaların kötü amaçlı yazılım analizi sanal alanlarında analiz edilmesi çok önemlidir. İşte bunların paha biçilmez olduğunu kanıtlayan bazı örnekler.

VBE Dosyalarının Kodunu Çözme

Bir VBE dosyasının içeriği

VBE dosyaları, aslında fikri mülkiyeti korumak için başlangıçta tasarlanmış olan kodlanmış VBS komut dosyalarıdır. Sonuç olarak, kaynak kodlarını ekstra araçlar olmadan görüntülemek imkansızdır, bu da analizi engeller ve tespitten kaçmaya izin verir.

Komut Dosyası Tabanlı Saldırılar
Kodu çözülmüş bir VBE dosyası

Ancak yükleme bir VBE dosyası uygun bir sandbox hizmetine dönüştürülmesi, kodu çözülmüş VBS betiğini anında ortaya çıkarır. İstenilen işlevler, aktarılan veriler ve komutlar dahil olmak üzere komut dosyası yürütme sürecinin tam görünümünü sunar.

Komut İadelerini Görüntüleme

Komut Dosyası Tabanlı Saldırılar
Dir komutu

Korumalı alan aynı zamanda komut dosyaları içinde yürütülen komutların sonuçlarını da ortaya çıkarabilir. İçinde bu örnekcmd işlem komut satırı “dir” komutunu içeriyor ancak ne döndürdüğü bilinmiyor.

Komutun iadesi ve ek bilgiler

Sandbox’ın yardımıyla kullanıcılar komutun çıktısını görebilir ve daha fazla analiz için indirebilir. Bu, analistlerin saldırganın eylemlerini ve neden olduğu potansiyel zararı tam olarak anlamalarını sağlar.

Belge

Herhangi Bir Etkileşimli Korumalı Alanı Çalıştır

Herhangi bir şüpheli eki veya URL’yi ANY.RUN gibi ücretsiz etkileşimli kötü amaçlı yazılım sanal alanında analiz etmek, size anında kesin bir karara varmanızı sağlayabilir.

Yürütülebilir Dosyaların Komut Dosyası Kullanımını Gözlemleme

Bir sanal alanın komut dosyasıyla yürütülebilir etkileşimleri izleme yeteneği, işlevleri açısından yürütülebilir dosyalara bağımlı olan kötü amaçlı komut dosyalarının belirlenmesinde çok önemlidir. Bu içgörü, analistlerin yürütülebilir dosyaları kötü amaçlı etkinlikleri için bir başlatma paneli olarak kullanarak komut dosyası tabanlı kötü amaçlı yazılımları tespit etmelerine ve etkisiz hale getirmelerine yardımcı olur.

Yürütülebilir dosyalar tarafından başlatılan komut dosyaları

İçinde sağlanan örnekkötü amaçlı bir yürütülebilir dosya, bir VBScript dosyasını yüklemek ve yürütmek için Windows Yönetim Araçları Komutu (WMIC) aracını kullanır. Bu yaklaşım, kötü amaçlı yazılımın gerçek doğasını gizlemesine ve şüphe uyandırmadan sistemi manipüle etmesine olanak tanır.

VBS ve JS Tabanlı Kötü Amaçlı Yazılımları Analiz Etme

WSHRAT’ın “winmgmts:\\\localhost\root\SecurityCenter2” sorgusu

Korumalı alan, VBS tabanlı kötü amaçlı yazılımların araştırılmasını kolaylaştırabilir ve kapsamlı tersine mühendislik veya hata ayıklama işlemlerinden büyük ölçüde zaman tasarrufu sağlayabilir. Bu örnek WSHRAT kötü amaçlı yazılımının, cihazda yüklü tüm antivirüs çözümlerini kontrol etme olasılığı yüksek bir WMI sorgusu yaptığını gösterir.

14 günlük ücretsiz deneme talebinde bulunarak ANY.RUN’un tüm yeteneklerini tamamen ücretsiz olarak deneyebilirsiniz.



Source link