מסמכי תוכנות זדוניות המשתמשים בגיאוגרפיה הפכו לאיום משמעותי על אבטחת הסייבר. קבצים זדוניים אלה משתמשים לעתים קרובות בטריגרים מבוססי מיקום, מה שהופך את הזיהוי והטיפול בהם למשימה מאתגרת. Adaptive ניתוח איומים בולט מגישות מסורתיות בכך שהוא מציע את היכולת לחקות ולזייף במדויק את ערכי המיקום הגיאוגרפי הצפויים, ובכך לנטרל ביעילות את הטקטיקות בהן משתמשת תוכנה זדונית, ובכך לשפר את יכולתנו להגן מפני איומים כאלה.

בדוגמה המוצגת להלן, אנו יכולים לראות תוכנה זדונית של גיאו-פינצ'ינג שמנסה לפעול אך ורק בתוך מדינה ספציפית. עם זאת, הפתרון החדשני שלנו עוקף בהצלחה מגבלה זו, כפי שצוין קודם לכן, על ידי אמולציה של ערכי המיקום הגיאוגרפי הרצויים, ובכך מדגים את יכולתנו המעולה להתמודד עם איומים מבוססי גיאו-פינצ'ינג כאלה.

• זיהוי מותגים: על ידי עיבוד אתרים חשודים וחשיפתם למנוע למידת מכונה מתקדם שלנו, אנו מסוגלים לזהות כמעט 300 מותגים. בדוגמה המוצגת למטה, אתם יכולים לחזות באתר אינטרנט שמתחזה לחברת סטרימינג המכונה נטפליקס. הפתרון שלנו מצטיין בהשוואת תוכן האתר לכתובת האתר המקורית, ובזיהוי מהיר של ניסיונות הונאה כאלה להגן על הנכסים הדיגיטליים והמידע האישי שלכם. למידע נוסף .
• ניתוח מבוסס בינה מלאכותית: יש לנו פתרון מבוסס בינה מלאכותית המנתח את תעבורת הרשת, התוכן המבני והטקסטואלי של הדף המעובד. ניתן לראות את פסק הדין של תוצאת המודל המשותף לאחר 'מודל איום אינטרנט של ML'.

מודל למידת מכונה (ML) של גלאי כתובות URL לא מקוונות מספק שכבת הגנה חדשה על ידי זיהוי יעיל של כתובות URL חשודות, ומציע אמצעי חזק לזיהוי וטיפול באיומים שמציבים קישורים זדוניים. הוא ממנף מערך נתונים המכיל מאות אלפי כתובות URL, שסומנו בקפידה כלא איום או כזדוניות על ידי ספקים בעלי מוניטין, כדי להעריך את היתכנות הזיהוי המדויק של כתובות URL חשודות באמצעות טכניקות למידת מכונה.

חשוב לציין שתכונה זו שימושית במיוחד בסביבות עם פערי תקשורת (airgap) שבהן חיפושי מוניטין מקוונים אינם זמינים.

הדוגמה שלהלן חושפת תוכנה זדונית שנארזה באמצעות טכניקת האריזה UPX. למרות ניסיונה להתחמק מגילוי והגנות, הניתוח שלנו פתח בהצלחה את המטען, וחשף את זהותו האמיתית כטרויאני Dridex. הצלחנו לחשוף את תצורת התוכנה הזדונית, לשפוך אור על הכוונה הזדונית שמאחורי איום זה, ולחלץ IOCs יקרי ערך.

באמצעות פונקציונליות חיפוש סימני הדמיון, sandbox זיהה קובץ הדומה באופן ניכר לתוכנה זדונית ידועה. ראוי לציין כי קובץ זה סומן בעבר כלא זדוני, מה שחשף את הפוטנציאל לשליליות שגויות בהערכות האבטחה שלנו. גילוי זה מאפשר לנו למקד ולתקן באופן ספציפי את האיומים הללו, אשר התעלמו מהם.

חשוב להדגיש כי חיפוש סימניות (Similarity Search) בעל ערך רב למחקר וחיפוש איומים, מכיוון שהוא יכול לסייע בחשיפת דגימות מאותה משפחת תוכנות זדוניות או קמפיין, ולספק IOCs נוספים או מידע רלוונטי על פעילויות איום ספציפיות.

Our disassembling engine revealed intriguing findings within the target sample. Surprisingly, this sample monitors the system time using the uncommon <rdtsc> instruction and accesses an internal, undocumented structure in Windows, commonly used for different malicious tricks. These unusual actions raise questions about its purpose and underscore the need for further investigation to assess potential risks to the system.

הדוגמה הנבדקת נבנתה באמצעות .NET framework. בעוד שאנו נמנעים מהצגת ה-CIL האמיתי, תהליך הפענוח שלנו מחלץ ומציג מידע ראוי לציון, כולל מחרוזות, פריטים ברישום, ו... API שיחות.

בנוסף לכך, אנו מנתחים את המטא-דאטה של ​​.NET כדי לזהות פונקציות ומשאבים ספציפיים ל-.NET. תהליך זה מאפשר לחלץ מידע מפורט על האסמבלי, כגון מתודות, מחלקות ומשאבים מוטמעים, דבר קריטי לניתוח ההתנהגות והמבנה של יישומי .NET.

פרצות יישומים רבות מביאות את המטען הסופי שלהן בפורמט בינארי גולמי (shellcode), דבר שעשוי להוות מכשול בעת ניתוח המטען. בעזרת אמולציית ה-shellcode שלנו אנו מסוגלים לגלות ולנתח את התנהגות המטען הסופי, בדוגמה זו עבור פגיעות Office מנוצלת באופן נרחב בעורך המשוואות. בכך אנו פותחים את הדלת לאיסוף ה-IOC הרלוונטיים.

פקודות מאקרו של VBA מעורפלות מציבות אתגר משמעותי במתן זמן תגובה סביר לאיומים פעילים. קוד לא ברור זה הופך את הניתוח וההבנה של איומים למשימה מורכבת ביותר הדורשת זמן ומאמץ רבים. טכנולוגיית הדמיית VBA המתקדמת שלנו מסוגלת להתגבר על אתגרים אלה ומספקת ניתוח מקיף של פקודות מאקרו של VBA מעורפלות יחד עם תובנות ברורות לגבי הפונקציונליות שלהן תוך שניות.

הדוגמה המנותחת היא מסמך אקסל עם קוד VBA מעורפל מאוד, אשר משחרר ומפעיל קובץ .NET DLL, יחד עם קובץ LNK האחראי על המשך שרשרת ביצוע התוכנות הזדוניות. לאחר אמולציית VBA, MetaDefender Sandbox מזהה תהליכים שהופעלו ואת פונקציית הסרת הערפול העיקרית, מחלץ אוטומטית מחרוזות מעורפלות ושומר קבצים שנמחקו (בעבר היו מקודדים ומוצפנים בקוד VBA). זה מראה במהירות את המטרה העיקרית של התוכנה הזדונית ונותן לנו אפשרות לניתוח נוסף של איום זה.

שימוש במתזמן המשימות של Windows כדי להפעיל מטענים זדוניים במועד מאוחר יותר הוא טכניקה חשאית להתחמק מסביבות ארגז חול כפי שנראה באיומים אחרונים. היא מנצלת את העיכוב בביצוע כדי לעקוף ביעילות את חלון הניתוח הקצר האופייני לארגזי חול.

הדוגמה הבאה היא VBScript מעורפל שמוריד את המטען הזדוני ויוצר משימה מתוזמנת להפעלתו 67 דקות לאחר מכן. ארגזי חול מסורתיים שומרים על הביצוע למשך מספר דקות בלבד וההתנהגות הזדונית לעולם לא תיחשף. מצד שני, אמולטור ה-VBScript שלנו מסוגל לזהות ולהתגבר על טכניקת התחמקות זו (T1497), להתאים את סביבת הביצוע להמשך ניתוח נוסף ולקבל את הדוח המלא תוך 12 שניות.

NET Reflection היא תכונה רבת עוצמה המסופקת על ידי מסגרת .NET המאפשרת לתוכניות לבדוק ולתפעל מבנה והתנהגות של קובץ .NET בזמן ריצה. היא מאפשרת בחינה של אסמבלי, מודולים וסוגים, כמו גם את היכולת ליצור באופן דינמי מופעים של סוגים, להפעיל מתודות ולגשת לשדות ומאפיינים.

תוכנות זדוניות יכולות להשתמש בהשתקפות כדי לטעון ולבצע באופן דינמי קוד מאסמבלים שאין אליהם הפניה בזמן הקומפילציה, מה שמאפשר להביא מטענים נוספים משרתים מרוחקים (או מוסתרים בקובץ הנוכחי) ולהפעיל אותם מבלי לכתוב אותם לדיסק, מה שמפחית את הסיכון לגילוי.

במקרה זה, נוכל לראות כיצד ה-VBScript המנותח טוען ומפעיל אסמבלי .NET לתוך הזיכרון ישירות מבייטים המאוחסנים באוגר של Windows.

תכונה זו מאפשרת לחשוף ממצאים נסתרים המוצפנים בתוך משאבי PE. ממצאים זדוניים מוצפנים לעתים קרובות כדי להתחמק מגילוי ולטשטש את הכוונה האמיתית של הדגימה. גילוי ממצאים אלה חיוני, מכיוון שהם בדרך כלל מכילים נתונים קריטיים (כמידע C2) או מטענים. על ידי חילוצם, ארגז החול יכול לספק סריקה מעמיקה יותר, עם סיכוי גבוה יותר לזהות את ה-IOCs החשובים ביותר.

דוגמה זו מאחסנת את הפריטים המוצפנים באמצעות אלגוריתם XOR, פשוט אך יעיל כדי להתחמק מגילוי. על ידי ניתוח דפוסים בנתונים המוצפנים, ניתן לנחש את מפתח ההצפנה, מה שמאפשר לפענח את הפריטים המוסתרים.

תוקפים משתמשים בשרשור ארכיונים כדי להסתיר תוכנות זדוניות על ידי צירוף ארכיונים מרובים לקובץ יחיד, תוך ניצול האופן שבו כלים שונים מעבדים אותם. טכניקה זו יוצרת מספר ספריות מרכזיות - אלמנטים מבניים מרכזיים המשמשים מנהלי ארכיונים - הגורמים לפערים במהלך החילוץ ומאפשרים עקיפת זיהוי של תוכן זדוני המוסתר בחלקים שהוזנחו בארכיון.

רופא Sandbox מזהה ומחלץ תוכן מכל הארכיונים המשורשרים, תוך הבטחה שאף קובץ לא יוחמצץ ומנטרלת ביעילות את הטכניקה החמקמקה הזו.

גורמי איום ממלאים במכוון קבצי הרצה בנתוני זבל כדי להתחמק מגילוי על ידי ניצול מגבלות משאבים ואילוצי זמן ניתוח בארגזי חול. טכניקת התחמקות זו נועדה להציף כלים או לעקוף סריקות על ידי חריגה ממגבלות הזמן.

ארגז חול של MD מזהה קבצי הרצה נפוחים מוקדם, מסיר נתוני זבל ומעבד קובץ קטן יותר לניתוח יעיל. תהליך הסרת נתוני זבל זה מכוון לשיטות שונות, כולל זבל בשכבות-על, מקטעי PE ואישורים, ומבטיח זיהוי מדויק תוך שימור משאבים מקוריים.

מסמך אופיס זה מכוון לתשתיות קריטיות באיראן (עם תוכן בפרסית) כדי לגנוב מידע רגיש, כגון אישורים ומסמכים, ומצלם מעת לעת צילומי מסך, פוטנציאלית למטרות ריגול.

לאחר קביעת עמידות, היא מבצעת בדיקת קישוריות אינטרנט ראשונית חשאית (מול דומיין מהימן כמו google.com) כדי להבטיח חיבור אמין, תוך עיכוב פעולות נוספות עד שתנאי הרשת יאפשרו את המשך ההתקפה. זוהי טקטיקה שנצפית בדרך כלל בהתקפות על תשתיות קריטיות, סביבות בהן הגישה לאינטרנט עשויה להיות לסירוגין או מוגבלת.

חוקרים גילו מסמכי OOXML פגומים במכוון (מסמכי אופיס מודרניים). על ידי שינוי התוכן הבינארי ליד כותרות הקבצים הפנימיות, הקבצים הפגומים במכוון עלולים להתגלות בטעות כקבצי ZIP על ידי סריקות אוטומטיות שינסו לחלץ קבצים דחוסים.

צופי מסמכים יתקנו את המסמך באופן אוטומטי עם פתיחתו. בשלב זה, למרות שהמסמך מכיל תוכן פישינג, ייתכן שהוא עקף למעשה את ההגנות. ניתוח אוטומטי לא יוכל לקרוא את תוכנו ולכן יפספס את האינדיקטורים הרלוונטיים.

מנגנוני אימות דוא"ל כמו SPF, DKIM ו-DMARC חיוניים, אך תוקפים מתוחכמים יכולים לפעמים לעקוף אותם. דוגמה זו מציגה תרחיש שבו דוא"ל, למרות שנחתם באופן אותנטי על ידי גוגל ועבר בדיקות סטנדרטיות, זוהה כזדוני על ידי MetaDefender Sandbox .

MetaDefender Sandbox זוהו מספר אנומליות יחד עם אינדיקטורים נוספים:

• הפרת גבולות DKIM: תוכן מזוהה שנוסף מעבר להיקף חתימת DKIM.
• טכניקות ערפול: זוהו רווח לבן מוגזם המשמש להסתרת כוונה זדונית.
• דפוסי פישינג: קריאות לפעולה דחופות מזוהות המאפיינות ניסיונות פישינג.
• ניתוח כותרות: אנומליות שסומנו בכותרות דוא"ל הקשורות לשימוש לרעה באפליקציית OAuth.

ClickFix הוא איום אינטרנטי מתפתח הממנף הנדסה חברתית כדי להערים בשקט על משתמשים ולגרום להם לבצע פקודות זדוניות. בניגוד לפישינג מסורתי, ClickFix פועל באמצעות אלמנטים מטעים של חוויית משתמש ומניפולציה של לוח הגזירים במקום הורדות קבצים או גניבת אישורים.

אתר האינטרנט של ClickFix מציג מסך reCAPTCHA מזויף או "הגנה על בוט" כדי להיראות לגיטימי. לאחר מכן, המשתמש מתבקש לאמת את עצמו - לעתים קרובות באמצעות אינטראקציה שנראית לא מזיקה - בעוד שברקע, קוד JavaScript מטושטש פועל בשקט. סקריפט זה מפענח באופן דינמי פקודה זדונית ומעתיק אותה ישירות ללוח המערכת. לאחר מכן, מוצגות למשתמש הוראות מטעות ומדריך להפעלת התוכנה הזדונית, מבלי להיות מודע לסכנה.

ClickFix מדגישה כיצד טכניקות אינטרנט פשוטות, בשילוב עם הטעיית משתמשים, יכולות לעקוף ביעילות שכבות אבטחה מסורתיות - מה שהופך את ניתוח ארגז החול (sandbox) לקריטי לחשיפת התקפות חשאיות ובעלות טביעת רגל נמוכה כמו זו.

MetaDefender Sandbox מנתח את האיום הזה מקצה לקצה. ארגז החול מתחיל ברינדור כתובת ה-URL הזדונית ויישום מודלים של זיהוי פישינג כדי לזהות תוכן חשוד. לאחר מכן הוא מחלץ ומדמה את קוד ה-JavaScript, תוך הדמיה של פעולות המשתמש עד לרגע הקריטי שבו הלוח משתנה. לאחר לכידת הפקודה המוסתרת, היא עוברת חיקוי, מה שמאפשר לארגז החול לעקוב באופן מלא אחר זרימת הביצוע הזדוני. זה לא רק חושף את הטקטיקה המבוססת על הלוח אלא גם חושף את התנהגות המטען ואת שרשרת ההדבקה.

מתקפת שרשרת האספקה ​​של SolarWinds מדגימה כיצד שינויים מינימליים בקוד בתוכנה מהימנה יכולים לאפשר פרצות מסיביות תוך עקיפת הגנות אבטחה מסורתיות. גורמי איום הזריקו דלת אחורית חשאית לקובץ DLL לגיטימי, תוך הטמעת לוגיקה זדונית תוך שמירה על פונקציונליות מקורית. המטען רץ בשקט בשרשרת מקבילה המחקה רכיבים לגיטימיים. עם חתימה דיגיטלית תקפה והתנהגות חלקה, קובץ ה-DLL התחמק מגילוי וסיפק גישה חשאית לאלפי קורבנות בעלי פרופיל גבוה. הפגיעה בצינור הבנייה הפכה עדכונים מהימנים לכלי לפריצה עולמית.

בעוד שדלת אחורית בת 4,000 שורות עשויה להיראות משמעותית, בהקשר של קוד מקור של ארגון גדול, היא מתעלמת בקלות. כאן MetaDefender Sandbox מצטיין: הוא לא רק בודק את הקוד, הוא צופה במה שהתוכנה עושה. הוא מסמן סטיות מהתנהגות רגילה, ומכוון אנליסטים למה שחשוב באמת - חותך את הרעש כדי להדגיש איומים שסקירות מסורתיות כנראה היו מפספסות.