VietNetwork.Vn

Phân tích phần mềm độc hại động là một phần quan trọng của bất kỳ cuộc điều tra mối đe dọa nào. Nó bao gồm việc thực thi một mẫu chương trình độc hại trong môi trường biệt lập của hộp cát phần mềm độc hại để theo dõi hành vi của nó và thu thập các chỉ số có thể hành động. Phân tích hiệu quả phải nhanh chóng, chuyên sâu và chính xác. Năm công cụ này sẽ giúp bạn thực hiện điều đó một cách dễ dàng.

1. Tính tương tác

Khả năng tương tác với phần mềm độc hại và hệ thống theo thời gian thực là một lợi thế lớn khi nói đến phân tích động. Theo cách này, bạn không chỉ có thể quan sát quá trình thực hiện mà còn xem cách nó phản hồi với các đầu vào của bạn và kích hoạt các hành vi cụ thể.

Ngoài ra, nó còn tiết kiệm thời gian bằng cách cho phép bạn tải xuống các mẫu được lưu trữ trên các trang web chia sẻ tệp hoặc mở các mẫu được đóng gói bên trong một kho lưu trữ, đây là cách phổ biến để truyền dữ liệu đến nạn nhân.


Hãy xem phiên sandbox này trong sandbox   Đăng nhập để xem liên kết cho thấy cách tương tác được sử dụng để phân tích toàn bộ chuỗi tấn công, bắt đầu từ email lừa đảo có tệp đính kèm PDF. Liên kết bên trong.pdf dẫn đến trang web chia sẻ tệp lưu trữ   Đăng nhập để xem liên kết được bảo vệ bằng mật khẩu.


Sandbox không chỉ cho phép chúng ta tải xuống tệp lưu trữ mà còn cho phép nhập mật khẩu (có thể tìm thấy trong email) và trích xuất nội dung của tệp lưu trữ để chạy phần mềm độc hại.


Sau khi khởi chạy tệp thực thi được tìm thấy bên trong kho lưu trữ, hộp cát sẽ ngay lập tức phát hiện hệ thống đã bị nhiễm AsyncRAT, một họ phần mềm độc hại phổ biến được kẻ tấn công sử dụng để điều khiển máy tính của nạn nhân từ xa và đánh cắp dữ liệu nhạy cảm.


Nó thêm các thẻ tương ứng vào giao diện và tạo báo cáo về mối đe dọa.

2. Trích xuất IOC

Thu thập các chỉ số thỏa hiệp (IOC) có liên quan là một trong những mục tiêu chính của phân tích động. Việc kích nổ phần mềm độc hại trong môi trường trực tiếp buộc nó phải tiết lộ địa chỉ máy chủ C2, khóa mã hóa và các thiết lập khác đảm bảo chức năng và khả năng giao tiếp với kẻ tấn công.

Mặc dù dữ liệu như vậy thường được các nhà phát triển phần mềm độc hại bảo vệ và che giấu, một số giải pháp hộp cát được trang bị khả năng thu thập IOC tiên tiến, giúp dễ dàng xác định cơ sở hạ tầng độc hại.


Trong   Đăng nhập để xem liên kết, bạn có thể nhanh chóng thu thập nhiều chỉ số khác nhau, bao gồm hàm băm tệp, URL độc hại, kết nối C2, yêu cầu DNS, v.v.


Hộp cát   Đăng nhập để xem liên kết tiến thêm một bước nữa bằng cách không chỉ trình bày danh sách các chỉ số liên quan được thu thập trong phiên phân tích mà còn trích xuất cấu hình cho hàng chục họ phần mềm độc hại phổ biến. Xem ví dụ về cấu hình phần mềm độc hại trong phiên hộp cát sau.

Các cấu hình như vậy là nguồn IOC đáng tin cậy nhất mà bạn có thể sử dụng mà không cần do dự để nâng cao hệ thống phát hiện và cải thiện hiệu quả của các biện pháp bảo mật tổng thể.

3. Bản đồ MITRE ATT&CK

Ngăn chặn các cuộc tấn công tiềm ẩn vào cơ sở hạ tầng của bạn không chỉ là chủ động tìm kiếm IOC được kẻ tấn công sử dụng. Một phương pháp lâu dài hơn là hiểu các chiến thuật, kỹ thuật và quy trình (TTP) được sử dụng trong phần mềm độc hại hiện đang nhắm vào ngành của bạn.

Khung MITRE ATT&CK giúp bạn lập bản đồ các TTP này để bạn có thể thấy phần mềm độc hại đang làm gì và nó phù hợp với bức tranh mối đe dọa lớn hơn như thế nào. Bằng cách hiểu các TTP, bạn có thể xây dựng các biện pháp phòng thủ mạnh mẽ hơn phù hợp với tổ chức của mình và ngăn chặn kẻ tấn công ngay tại ngưỡng cửa.


Xem phân tích sau đây của AgentTesla. Dịch vụ này ghi lại tất cả các TTP chính được sử dụng trong cuộc tấn công và trình bày mô tả chi tiết cho từng TTP.

Tất cả những gì còn lại cần làm là xem xét thông tin tình báo quan trọng về mối đe dọa này và sử dụng nó để tăng cường cơ chế bảo mật của bạn.

4. Phân tích lưu lượng mạng

Phân tích phần mềm độc hại động cũng đòi hỏi phải kiểm tra kỹ lưỡng lưu lượng mạng do phần mềm độc hại tạo ra.

Phân tích các yêu cầu HTTP, kết nối và yêu cầu DNS có thể cung cấp thông tin chi tiết về cách phần mềm độc hại giao tiếp với máy chủ bên ngoài, loại dữ liệu được trao đổi và bất kỳ hoạt động độc hại nào.


Hộp cát   Đăng nhập để xem liên kết ghi lại toàn bộ lưu lượng mạng và cho phép bạn xem cả các gói tin đã nhận và đã gửi ở định dạng HEX và văn bản.


Ngoài việc chỉ ghi lại lưu lượng truy cập, điều quan trọng là sandbox phải tự động phát hiện các hành động có hại. Để đạt được mục đích này,   Đăng nhập để xem liên kết sử dụng các quy tắc Suricata IDS quét hoạt động mạng và cung cấp thông báo về các mối đe dọa.

Bạn cũng có thể xuất dữ liệu theo định dạng PCAP để phân tích chi tiết bằng các công cụ như Wireshark.

Hãy dùng thử tính năng phân tích lưu lượng mạng nâng cao của   Đăng nhập để xem liên kết với bản dùng thử miễn phí 14 ngày.

5. Phân tích quy trình nâng cao

Để hiểu được luồng thực thi của phần mềm độc hại và tác động của nó lên hệ thống, bạn cần có quyền truy cập vào thông tin chi tiết về các quy trình do phần mềm độc hại tạo ra. Để hỗ trợ bạn trong việc này, hộp cát bạn chọn phải cung cấp phân tích quy trình nâng cao bao gồm nhiều lĩnh vực.


Ví dụ, việc trực quan hóa cây quy trình trong hộp cát   Đăng nhập để xem liên kết giúp theo dõi dễ dàng hơn trình tự tạo và kết thúc quy trình, đồng thời xác định các quy trình chính có vai trò quan trọng đối với hoạt động của phần mềm độc hại.


Bạn cũng cần có khả năng xác minh tính xác thực của quy trình bằng cách xem xét thông tin chi tiết về chứng chỉ, bao gồm đơn vị phát hành, trạng thái và thời hạn hiệu lực.


Một tính năng hữu ích khác là dump quy trình, có thể chứa thông tin quan trọng, chẳng hạn như khóa mã hóa được phần mềm độc hại sử dụng. Một hộp cát hiệu quả sẽ cho phép bạn dễ dàng tải xuống các dump này để tiến hành phân tích pháp y sâu hơn.


Một trong những xu hướng gần đây trong các cuộc tấn công mạng là sử dụng phần mềm độc hại không có tệp chỉ thực thi trong bộ nhớ. Để bắt được nó, bạn cần có quyền truy cập vào các tập lệnh và lệnh đang chạy trong quá trình lây nhiễm.


Theo dõi các sự kiện tạo, sửa đổi và xóa tệp là một phần thiết yếu khác của bất kỳ cuộc điều tra nào về hoạt động của phần mềm độc hại. Nó có thể giúp bạn phát hiện xem một quy trình có đang cố gắng xóa hoặc sửa đổi tệp trong các khu vực nhạy cảm hay không, chẳng hạn như thư mục hệ thống hoặc thư mục khởi động.


Việc theo dõi các thay đổi trong sổ đăng ký do quy trình thực hiện là rất quan trọng để hiểu được cơ chế tồn tại dai dẳng của phần mềm độc hại. Windows Registry là mục tiêu phổ biến cho sự tồn tại dai dẳng tìm kiếm phần mềm độc hại, vì nó có thể được sử dụng để chạy mã độc khi khởi động hoặc thay đổi hành vi của hệ thống.

6. Phân tích phần mềm độc hại và mối đe dọa lừa đảo trong   Đăng nhập để xem liên kết Sandbox

  Đăng nhập để xem liên kết cung cấp một hộp cát đám mây để phân tích phần mềm độc hại và lừa đảo, mang lại kết quả nhanh chóng và chính xác để hợp lý hóa các cuộc điều tra của bạn. Nhờ tính tương tác, bạn có thể tự do tương tác với các tệp và URL bạn gửi, cũng như hệ thống để khám phá mối đe dọa một cách sâu sắc.

Bạn có thể tích hợp hộp cát nâng cao của   Đăng nhập để xem liên kết với các tính năng như máy ảo Windows và Linux, chế độ riêng tư và làm việc nhóm trong tổ chức của bạn.

Hãy gửi yêu cầu dùng thử để kiểm tra hộp cát   Đăng nhập để xem liên kết.