פירוק התקפות רב-שכבתיות עם OPSWAT MetaDefender Sandbox 

ה MetaDefender Sandbox מנוע ה-SEO עומד בחזית גילוי האיומים, ומשלב בצורה חלקה טכניקות ניתוח סטטיות ודינמיות כדי לסכל אפילו את ההתקפות המתוחכמות ביותר.

• ניתוח מבנה עמוק: הערכה סטטית ראשונית של קבצים המספקת יכולות זיהוי מוקדם עבור יותר מ-50 סוגי קבצים נתמכים, ומחלצת תוכן פעיל מוטמע לצורך ניתוח נוסף.
• ניתוח תוכן דינמי: בודק ומנתח תוכן והקשר מהודעות דוא"ל, דפי אינטרנט ומסמכים כדי לחשוף פעילויות זדוניות נסתרות, כולל כתובות URL חשודות. זהו אמצעי הגנה שימושי במיוחד מפני התקפות פישינג.
• ניתוח איומים אדפטיבי: ניתוח דינמי מבוסס אמולציה ששומר על שליטה על זרימת הביצוע של תוכנות זדוניות, גם כאשר הן מיועדות למקד סביבה ספציפית. הוא תומך בקבצי Office, קבצי הפעלה ניידים ורוב הסקריפטים הנפוצים.

הדגימה המנותחת היא קובץ נייד (PE) שהורכב באמצעות Pyinstaller שמוריד בסתר קובץ PE של Cobalt Strike stager ממארח ​​זדוני. לאחר מכן, ה-PE של stager מפענח את משואת ה-CS המוטמעת ומזריק אותה לזיכרון, מה שמתחיל תקשורת עם C2. 

PyInstaller מקבץ יישום Python וכל התלויות שלו לחבילה אחת, ומאפשר למשתמש להריץ את האפליקציה מבלי להתקין מפרש Python או מודולים אחרים, וזוהי הצעה אטרקטיבית עבור יוצרי תוכנות זדוניות.  

ניתוח סטטי של קובץ זה יניב רק הרבה רעש חסר תועלת במקום להתמקד בהתנהגות הזדונית שלו. MetaDefender Sandbox פורק ומחלץ את קבצי קוד הבייט (pyc) שעברו קומפילציה ואת הארטיפקטים המוטמעים ששימשו את קוד הפייתון המקורי. לאחר מכן, הוא מבצע דה-קומפילציה של קבצי ה-pyc כדי לקבל את קוד הפייתון המקורי, מה שמאפשר לנו לזהות אינדיקטורים לאיום ולחלץ IOCs בעלי ערך גבוה. 

Pyinstaller זקוק לתהליך פריקה ספציפי שאינו נתמך אפילו על ידי תוכנות ארכיון הקבצים הנפוצות ביותר. MetaDefender Sandbox כולל כעת תכונת פירוק מובנית של פייתון, התומכת גם במהדרים נפוצים אחרים של פייתון כמו Nuitka ו-Py2exe. 

תכונה חדשה זו עוזרת לנו לעקוף את שכבת האריזה הראשונה הזו ולהמשיך בניתוח הקבצים שלא נפרקו. 

פירוק קבצי הפייתון מראה לנו שהתוכנה הזדונית מורידה קובץ PE (CS stager) מכתובת URL זדונית. לאחר מכן, היא מפעילה את ה-CS stager ומסירה אותו מהדיסק כדי לחסל IOCs פוטנציאליים. בנוסף, מופיעה הודעת Windows מזויפת כדי להטעות את המשתמש ולגרום לו להאמין שאירעה שגיאה. 

MetaDefender Sandbox מחלץ את כתובת ה-URL הזדונית ומוריד את ה-stager לניתוח נוסף. 

קובץ ה-PE שהורד (cs.exe) הוא stager שמפענח קובץ PE שני, אשר מפענח את משואת ה-CS ומזריק אותה לזיכרון. ישנן טכניקות רבות בהן משתמשת CS כדי להסתיר את המשואה ולהקשות על גילויה. MetaDefender Sandbox מסוגל לעקוב סטטית אחר זרימת הביצוע שלו עד שהוא מגיע למשואת CS ומחלץ את התצורה שלו. 

קובץ ה-CS stager מסתיר קובץ PE מוצפן ב-XOR במקטע ה-.data שלו. קובץ ה-PE השני הזה מתאים לקובץ DLL, שניתן לזהותו באמצעות כותרת ה-DLL הידועה (MZARUH) שהיא תחילתו של קובץ ה-stub של ה-reflector loader עבור משואת ה-CS. משמעות הדבר היא שה-PE הראשוני יהיה אחראי על הקצאה והעתקה של קובץ ה-DLL של ה-reflector loader בזיכרון, ניתוח ופתרון כתובות פונקציית ייבוא ​​וביצוע נקודת הכניסה של ה-DLL. לבסוף, ה-reflector loader יפענח ויפעיל את משואת ה-CS בזיכרון. 

ניתוח טכני זה של CS מדגיש את המורכבות והעומק של איומי הסייבר הנוכחיים ומדגים MetaDefender Sandbox מנוע האיומים המתקדם והחזק של מנתח ביעילות התקפות רב-שכבתיות במהירות יוצאת דופן.  

תכונת הפעולה והדה-קומפילציה של פייתון מאפשרת ניתוח מעמיק יותר, חיוני לחשיפת טבעה האמיתי של התוכנית הזדונית. ראינו כיצד הפעולה הפעילה פעולות נוספות שהובילו לזיהוי וחילוץ של תצורת CS. 

חילוץ תצורת תוכנות זדוניות תמיד חושף IOCs חשובים ומאפשר זיהוי מדויק של תוכנות זדוניות. צוות אנליסטים ייעודי שלנו של תוכנות זדוניות מרחיב ללא הרף את מגוון משפחות התוכנות הזדוניות הנתמכות , ומבטיח כיסוי מקיף ומאפשר זיהוי מהיר של איומים מתעוררים.