Tehlike Göstergeleri (IOC’ler), güvenlik ihlallerini tespit etmek için kullanılan temel adli veri noktalarıdır. Bunlara dosya karmaları, şüpheli IP adresleri, etki alanı adları, URL’ler, belirli e-posta adresleri, alışılmadık dosya adları, kayıt defteri değişiklikleri, beklenmeyen işlemler ve anormal ağ trafiği kalıpları dahildir. Bu öğeler kötü amaçlı etkinliği belirlemeye yardımcı olur ve siber güvenlik tehditlerine zamanında tespit ve yanıt vermek için çok önemlidir.
HERHANGİ BİR KOŞU Tehdit İstihbaratı (TI) arama hizmeti, güvenlik uzmanlarından oluşan bir topluluk tarafından örneklerin kamuya açık bir veritabanına gönderilmesiyle sürekli olarak güncellenen milyonlarca kötü amaçlı yazılım ve kimlik avı örnek analizinden elde edilen tehdit verilerini sunar.
Güvenlik analistleri, belirli tehditleri bulmak için 40’tan fazla parametre ve joker karakter kullanarak bu geniş veritabanını (2 TB) arayabilir. Hizmet, her biri ilgili bir sanal alan analiz oturumuna bağlı olan hızlı sonuçlar sağlar ve derinlemesine incelemeye olanak tanır.
API aracılığıyla YARA kurallarının güvenlik sistemleriyle oluşturulmasını ve entegre edilmesini destekleyerek, güvenlik uzmanlarının mevcut tehditleri belirlemesini, hassas Tehlike Göstergeleri (IOC’ler) üretmesini ve gelecekteki saldırıları tahmin edip önlemesini sağlar.
OF Arama Artık analist ekibi tarafından kötü amaçlı yazılım yapılandırmalarından çıkarılan, tersine mühendislik uygulanmış kötü amaçlı yazılım örneklerinden türetilen ve 79 kötü amaçlı yazılım ailesini kapsayan uzlaşma göstergeleri (IOC’ler) sunuyoruz.
TI Lookup, C2 alanlarıyla ilişkili potansiyel alanları etkili bir şekilde belirler. Remcos kötü amaçlı yazılım “malconf” etiketinden yararlanarak. “threatName:’remcos’” ve “domainName:”” birleştiren bir sorgu, Remcos içeren sandbox ortamlarında bulunan 250’den fazla etki alanı verir.
“Malconf” etiketiyle sonuçlara öncelik verilmesi, doğrudan kötü amaçlı yazılım yapılandırmalarından çıkarılan etki alanlarını vurgulayarak, Remcos saldırıları tarafından kullanılan etkin komuta ve kontrol altyapısının ortaya çıkarılma olasılığını önemli ölçüde artırır.
Bir araştırmacı, bir soruşturmadan elde edilen uzlaşma göstergelerini (IOC’ler) kullanabilir. korumalı AsyncRAT örneği daha fazla kötü niyetli aktiviteyi keşfetmek için.
Sandbox raporu AsyncRAT yapılandırması dahilinde bir IP adresi ortaya çıkarırsa, analistler araştırma için TI Lookup’ı kullanabilirler.
HERHANGİ BİR ÇALIŞMAYA GÖRE teknik yazıHedef IP alanı çıkarılan IP’ye ayarlanarak bir arama sorgusu gönderilerek (örneğin, “hedefIP: 37(.)120.233.226”), TI Lookup IP’nin potansiyel kötü niyetliliği hakkında değerli bilgiler sağlayabilir.
Kötü amaçlı yazılım örneklerindeki geçmiş gözlemler, bilinen kötü niyetli aktörlere bağlantılar ve ilişkili alan adları gibi bilgiler, araştırmacıların IP’nin AsyncRAT kampanyasındaki rolünü belirlemesine ve daha geniş tehditleri tanımlamasına olanak tanır.
TI Lookup, kötü amaçlı IP ile ilişkili 55 analiz oturumu tespit etti. Bu oturumları inceleyerek, kötü amaçlı yazılımla ilgili karma toplamlarını ve diğer tehlike göstergelerini çıkarabilirler.
Göstergeye bağlı ilgili olaylar, dosyalar, hedef portlar ve deneme oturumlarıyla ilişkilendirme yoluyla kötü amaçlı yazılım ailesinin tanımlanmasını ve saldırganlar tarafından kullanılan ek tehditlerin potansiyel olarak ortaya çıkarılmasını sağlayacaktır.
ANY.RUN sandbox ortamında TI Lookup kullanarak bir Vidar URL’sinin nasıl araştırılacağını gösterir. Bir sandbox analiz oturumunda Vidar yapılandırmasından bir URL çıkarılarak, “url:” arama operatörü kullanılarak bir TI Lookup sorgusu oluşturulabilir.
Örnekte, “url:” sorgusu[https(:)//t.me/ armad2a](https (:)//t.me/ armad2a)”” verilen URL ile ilişkili göstergeleri aramak için kullanılır.
TI Lookup’tan elde edilen sonuçlar, benzer göstergeler içeren ek örnekleri ortaya çıkarabilir ve potansiyel olarak daha geniş tehdit ortamına ilişkin içgörüler sağlayabilir.
Soruşturma tarafından HERHANGİ BİR KOŞU Ayrıca Vidar ile PrivateLoader arasında bir bağlantı olduğunu tespit ederek Vidar’ın bu özel indirme aracı aracılığıyla sıklıkla dağıtılabileceğini düşündürmektedir.
ANY.RUN’da Şüpheli Dosyaları ve URL’leri Analiz Edin
ANY.RUN sandbox, kötü amaçlı yazılım analizine etkileşimli bir yaklaşım sunar. Güvenli bir sanal ortamda dosyalar ve bağlantılarla etkileşime girebilir ve her bir tehdidin gerçek kapsamını araştırmak için gerekli tüm eylemleri gerçekleştirebilirsiniz.
Servis, ağ trafiği, kayıt defteri, dosya sistemi ve süreçler genelindeki tüm etkinlikleri otomatik olarak algılar, listeler ve tehlikeye ilişkin göstergeleri çıkarır.
Explore all features of ANY.RUN, including the private mode and extra VM settings, by Requesting a 14-day Free Trial!