Versteckte Bedrohungen in Sekundenschnelle aufdecken mit Malware-Analyse der nächsten Generation

Malware-Dokumente, die Geofencing verwenden, sind zu einer erheblichen Bedrohung für die Cybersicherheit geworden. Diese bösartigen Dateien verwenden häufig standortbezogene Auslöser, was die Erkennung und Eindämmung zu einer schwierigen Aufgabe macht. Die Adaptive Bedrohungsanalyse hebt sich jedoch von herkömmlichen Ansätzen ab, da sie die erwarteten Geolokalisierungswerte genau emulieren und fälschen kann, wodurch die von der Malware angewandten Taktiken effektiv neutralisiert werden, was unsere Möglichkeiten zum Schutz vor solchen Bedrohungen verbessert.

In dem nachstehenden Beispiel ist eine Geofencing-Malware zu sehen, die versucht, ausschließlich in einem bestimmten Land ausgeführt zu werden. Unsere innovative Lösung umgeht jedoch, wie bereits erwähnt, diese Einschränkung erfolgreich, indem sie die gewünschten Geolokalisierungswerte emuliert, was unsere überlegenen Fähigkeiten bei der Abwehr solcher Geofencing-basierten Bedrohungen unter Beweis stellt.

• Erkennung von Marken: Indem wir verdächtige Websites rendern und sie unserem fortschrittlichen maschinellen Lernsystem unterziehen, sind wir in der Lage, fast 300 Marken zu identifizieren. Im folgenden Beispiel sehen Sie eine Website, die sich als Streaming-Anbieter Netflix ausgibt. Unsere Lösung ist in der Lage, den Inhalt der Website mit der echten URL zu vergleichen und solche betrügerischen Versuche schnell zu erkennen, um Ihre digitalen Werte und persönlichen Daten zu schützen. Erfahren Sie mehr.
• KI-gesteuerte Analyse: Wir verfügen über eine KI-gesteuerte Lösung, die den Netzwerkverkehr sowie den strukturellen und textlichen Inhalt der gerenderten Seite analysiert. Das Ergebnis des gemeinsamen Modells kann nach dem "ML Web Threat Model" eingesehen werden.

Das ML-Modell des Offline-URL-Detektors bietet eine neue Verteidigungsebene, indem es verdächtige URLs effektiv erkennt und ein robustes Mittel zur Identifizierung und Entschärfung von Bedrohungen durch bösartige Links bietet. Es nutzt einen Datensatz mit Hunderttausenden von URLs, die von seriösen Anbietern sorgfältig als unbedenklich oder bösartig eingestuft wurden, um die Machbarkeit der genauen Erkennung verdächtiger URLs durch maschinelle Lernverfahren zu bewerten.

Diese Funktion ist vor allem in Umgebungen mit Luftüberwachung nützlich, in denen keine Online-Reputationsabfragen möglich sind.

Das folgende Beispiel zeigt eine Malware, die mit der UPX-Packtechnik gepackt wurde. Trotz des Versuchs, sich der Erkennung und Abwehr zu entziehen, gelang es unserer Analyse, die Nutzlast zu entpacken und ihre wahre Identität als Dridex-Trojaner zu entlarven. Wir konnten die Malware-Konfiguration aufdecken und die böswilligen Absichten hinter dieser Bedrohung aufdecken, indem wir wertvolle IOCs extrahierten.

Mithilfe der Ähnlichkeitssuche hat die Sandbox eine Datei entdeckt, die einer bekannten Malware sehr ähnlich ist. Bemerkenswerterweise war diese Datei zuvor als nicht bösartig eingestuft worden, was das Potenzial für falsch negative Ergebnisse bei unseren Sicherheitsbewertungen aufzeigt. Diese Entdeckung ermöglicht es uns, diese übersehenen Bedrohungen gezielt anzugehen und zu beseitigen.

Es ist wichtig zu betonen, dass die Ähnlichkeitssuche für die Bedrohungsforschung und -jagd sehr wertvoll ist, da sie dabei helfen kann, Proben aus derselben Malware-Familie oder -Kampagne zu entdecken, die zusätzliche IOCs oder relevante Informationen über spezifische Bedrohungsaktivitäten liefern.

Our disassembling engine revealed intriguing findings within the target sample. Surprisingly, this sample monitors the system time using the uncommon <rdtsc> instruction and accesses an internal, undocumented structure in Windows, commonly used for different malicious tricks. These unusual actions raise questions about its purpose and underscore the need for further investigation to assess potential risks to the system.

Das untersuchte Beispiel wurde mit dem .NET-Framework erstellt. Wir verzichten zwar darauf, die eigentliche CIL anzuzeigen, aber unser Dekompilierungsprozess extrahiert und präsentiert bemerkenswerte Informationen, einschließlich Strings, Registry-Artefakte und API Aufrufe.

Darüber hinaus analysieren wir die .NET-Metadaten, um .NET-spezifische Funktionen und Ressourcen zu identifizieren. Dieser Prozess ermöglicht es, detaillierte Informationen über die Assembly zu extrahieren, z. B. Methoden, Klassen und eingebettete Ressourcen, die für die Analyse des Verhaltens und der Struktur von .NET-Anwendungen entscheidend sind.

Viele Anwendungsexploits bringen ihre endgültige Nutzlast im Roh-Binärformat (Shellcode) mit, was beim Parsen der Nutzlast ein Hindernis darstellen kann. Mit unserer Shellcode-Emulation sind wir in der Lage, das Verhalten der endgültigen Nutzlast zu entdecken und zu analysieren, in diesem Beispiel für eine weit verbreitete Office-Schwachstelle im Gleichungseditor. Damit öffnen wir die Tür zum Sammeln der relevanten IOCs.

Verschleierte VBA-Makros stellen eine große Herausforderung dar, um eine angemessene Reaktionszeit für aktive Bedrohungen zu erreichen. Dieser unklare Code macht die Analyse und das Verständnis von Bedrohungen zu einer hochkomplexen Aufgabe, die viel Zeit und Mühe erfordert. Unsere hochmoderne VBA-Emulationstechnologie ist in der Lage, diese Herausforderungen zu überwinden und bietet eine umfassende Analyse von verschleierten VBA-Makros zusammen mit klaren Einblicken in deren Funktionalität innerhalb von Sekunden.

Bei dem analysierten Beispiel handelt es sich um ein Excel-Dokument mit stark verschleiertem VBA-Code, der eine .NET-DLL-Datei ablegt und ausführt, zusammen mit einer LNK-Datei, die für die Fortsetzung der Malware-Ausführungskette zuständig ist. Nach der VBA-Emulation identifiziert MetaDefender Sandbox die gestarteten Prozesse und die Hauptfunktion zur Entschleierung, extrahiert automatisch verschleierte Zeichenfolgen und speichert die abgelegten Dateien (die zuvor im VBA-Code fest kodiert und verschlüsselt waren). Dies zeigt schnell den Hauptzweck der Malware und gibt uns die Möglichkeit einer weiteren Analyse dieser Bedrohung.

Die Verwendung des Windows-Task-Planers zur Ausführung bösartiger Nutzdaten zu einem späteren Zeitpunkt ist eine heimliche Technik zur Umgehung von Sandbox-Umgebungen, die in jüngsten Bedrohungen zu beobachten ist. Sie nutzt die Verzögerung bei der Ausführung aus, um das kurze Analysefenster von Sandboxen zu umgehen.

Das folgende Beispiel ist ein verschleiertes VBScript, das die bösartige Nutzlast herunterlädt und eine geplante Aufgabe erstellt, um sie 67 Minuten später auszuführen. Herkömmliche Sandboxen halten die Ausführung nur wenige Minuten aufrecht, und das bösartige Verhalten würde nie aufgedeckt. Unser VBScript-Emulator hingegen ist in der Lage, diese Umgehungstechnik (T1497) zu erkennen und zu überwinden, indem er die Ausführungsumgebung anpasst, um mit der weiteren Analyse fortzufahren, und den vollständigen Bericht in 12 Sekunden zu erhalten.

NET Reflection ist eine leistungsstarke Funktion des .NET-Frameworks, die es Programmen ermöglicht, die Struktur und das Verhalten von .NET-Dateien während der Laufzeit zu untersuchen und zu manipulieren. Sie ermöglicht die Untersuchung von Baugruppen, Modulen und Typen sowie die Möglichkeit, dynamisch Instanzen von Typen zu erstellen, Methoden aufzurufen und auf Felder und Eigenschaften zuzugreifen.

Malware kann Reflection verwenden, um dynamisch Code aus Baugruppen zu laden und auszuführen, auf die zum Zeitpunkt der Kompilierung nicht verwiesen wird. So können zusätzliche Nutzdaten von entfernten Servern (oder versteckt in der aktuellen Datei) abgerufen und ausgeführt werden, ohne dass sie auf die Festplatte geschrieben werden, wodurch das Risiko einer Entdeckung verringert wird.

In diesem Fall können wir sehen, wie das analysierte VBScript eine .NET-Assembly direkt aus Bytes, die in einem Windows-Register gespeichert sind, in den Speicher lädt und ausführt.

Mit dieser Funktion lassen sich versteckte Artefakte aufdecken, die in PE-Ressourcen verschlüsselt sind. Bösartige Artefakte werden oft verschlüsselt, um der Entdeckung zu entgehen und die wahren Absichten der Probe zu verschleiern. Die Aufdeckung dieser Artefakte ist von entscheidender Bedeutung, da sie in der Regel kritische Daten (wie C2-Informationen) oder Nutzlasten enthalten. Durch das Extrahieren dieser Artefakte kann die Sandbox einen tieferen Scan durchführen, der die Wahrscheinlichkeit erhöht, die wertvollsten IOCs zu identifizieren.

Dieses Beispiel speichert die verschlüsselten Artefakte mit dem XOR-Algorithmus, der einfach, aber effizient ist, um der Entdeckung zu entgehen. Durch die Analyse von Mustern in den verschlüsselten Daten kann der Verschlüsselungsschlüssel erraten werden, so dass die versteckten Daten entschlüsselt werden können.

Angreifer nutzen die Archivverkettung, um Malware zu verstecken, indem sie mehrere Archive an eine einzige Datei anhängen und dabei ausnutzen, wie verschiedene Tools sie verarbeiten. Durch diese Technik werden mehrere zentrale Verzeichnisse - wichtige Strukturelemente, die von Archivmanagern verwendet werden - erstellt, was zu Diskrepanzen bei der Extraktion führt und die Umgehung der Erkennung bösartiger Inhalte ermöglicht, die in übersehenen Teilen des Archivs versteckt sind.

MD Sandbox erkennt und extrahiert den Inhalt aller verketteten Archive, um sicherzustellen, dass keine Datei übersehen wird, und um diese Umgehungstechnik effektiv zu neutralisieren.

Bedrohungsakteure blähen absichtlich ausführbare Dateien mit Junk-Daten auf, um die Erkennung zu umgehen, indem sie Ressourcenbeschränkungen und Zeitbeschränkungen für die Analyse in Sandboxen ausnutzen. Mit dieser Umgehungstechnik wird versucht, Tools zu überwältigen oder Scans zu umgehen, indem Zeitlimits überschritten werden.

Die MD-Sandbox erkennt aufgeblähte ausführbare Dateien frühzeitig, entfernt Junk-Daten und verarbeitet eine kleinere Datei für eine effiziente Analyse. Dieser Debloating-Prozess zielt auf verschiedene Methoden ab, einschließlich Junk in Overlays, PE-Abschnitten und Zertifikaten, und gewährleistet eine genaue Erkennung bei gleichzeitiger Schonung der ursprünglichen Ressourcen.

Dieses Office-Dokument zielt auf kritische Infrastrukturen im Iran ab (mit Inhalten in persischer Sprache), um sensible Informationen wie Anmeldedaten und Dokumente zu stehlen, und macht regelmäßig Screenshots, möglicherweise zu Spionagezwecken.

Nach dem Aufbau der Persistenz führt er eine heimliche erste Prüfung der Internetverbindung durch (mit einer vertrauenswürdigen Domäne wie google.com), um eine zuverlässige Verbindung zu gewährleisten und weitere Aktionen zu verzögern, bis die Netzwerkbedingungen die Fortsetzung des Angriffs erlauben. Diese Taktik wird häufig bei Angriffen auf kritische Infrastrukturen beobachtet, in Umgebungen, in denen der Internetzugang unterbrochen oder eingeschränkt sein kann.

Forscher entdeckten absichtlich beschädigte OOXML-Dokumente (moderne Office-Dokumente). Durch die Änderung des binären Inhalts in der Nähe der internen Dateikopfzeilen können die absichtlich beschädigten Dateien von automatischen Scans, die versuchen, komprimierte Dateien zu extrahieren, fälschlicherweise als ZIP-Dateien erkannt werden.

Dokumentbetrachter reparieren das Dokument beim Öffnen automatisch. Obwohl das Dokument Phishing-Inhalte enthält, hat es zu diesem Zeitpunkt möglicherweise die Schutzmaßnahmen bereits umgangen. Eine automatisierte Analyse kann den Inhalt nicht lesen und daher die relevanten Indikatoren nicht erkennen.

E-Mail-Authentifizierungsmechanismen wie SPF, DKIM und DMARC sind unverzichtbar, aber raffinierte Angreifer können sie manchmal aushebeln. Dieses Beispiel zeigt ein Szenario, in dem eine E-Mail, obwohl sie authentisch von Google signiert wurde und die Standardprüfungen bestanden hat, von MetaDefender Sandbox als bösartig identifiziert wurde.

MetaDefender Sandbox entdeckte mehrere Anomalien zusammen mit anderen Indikatoren:

• DKIM-Grenzverletzungen: Identifizierte Inhalte, die außerhalb des Geltungsbereichs der DKIM-Signatur hinzugefügt wurden.
• Verschleierungstechniken: Erkennung von übermäßigem Leerraum, um böswillige Absichten zu verbergen.
• Phishing-Muster: Erkannte dringende Handlungsaufforderungen, die für Phishing-Versuche charakteristisch sind.
• Header-Analyse: Markiert Anomalien in E-Mail-Kopfzeilen, die mit dem Missbrauch von OAuth-Anwendungen in Verbindung stehen.

ClickFix ist eine aufkommende webbasierte Bedrohung, die Social Engineering einsetzt, um Benutzer unbemerkt zur Ausführung bösartiger Befehle zu verleiten. Im Gegensatz zu herkömmlichem Phishing arbeitet ClickFix mit täuschenden UX-Elementen und der Manipulation der Zwischenablage, anstatt Dateien herunterzuladen oder Anmeldedaten zu stehlen.

Die ClickFix-Website präsentiert ein gefälschtes reCAPTCHA oder einen "Bot-Schutz"-Bildschirm, um legitim zu erscheinen. Der Benutzer wird dann aufgefordert, sich zu verifizieren - oft durch eine harmlos aussehende Interaktion - während im Hintergrund ein verschleierter JavaScript-Code unbemerkt ausgeführt wird. Dieses Skript entschlüsselt dynamisch einen bösartigen Befehl und kopiert ihn direkt in die Zwischenablage des Systems. Anschließend wird der Benutzer mit irreführenden Anweisungen dazu angehalten, die Malware auszuführen, ohne sich der Gefahr bewusst zu sein.

ClickFix verdeutlicht, wie einfache Webtechniken in Kombination mit der Täuschung von Benutzern herkömmliche Sicherheitsschichten effektiv umgehen können - eine Sandbox-Analyse ist daher von entscheidender Bedeutung, um heimliche Angriffe wie diesen aufzudecken.

MetaDefender Sandbox analysiert diese Bedrohung von Anfang bis Ende. Die Sandbox beginnt mit dem Rendern der bösartigen URL und der Anwendung von Phishing-Erkennungsmodellen, um verdächtige Inhalte zu identifizieren. Dann extrahiert und emuliert sie das JavaScript und simuliert Benutzeraktionen, um den kritischen Moment zu erreichen, in dem die Zwischenablage verändert wird. Sobald der versteckte Befehl erfasst ist, wird er emuliert, so dass die Sandbox den bösartigen Ausführungsfluss vollständig nachvollziehen kann. Dadurch wird nicht nur die auf der Zwischenablage basierende Taktik aufgedeckt, sondern auch das Verhalten der Nutzlast und die Infektionskette offengelegt.

Der Angriff auf die Lieferkette von SolarWinds ist ein Beispiel dafür, wie minimale Code-Änderungen in vertrauenswürdiger Software massive Einbrüche ermöglichen und gleichzeitig herkömmliche Sicherheitsvorkehrungen umgehen können. Die Bedrohungsakteure fügten eine heimliche Hintertür in eine legitime DLL ein, in die sie bösartige Logik einbetteten, während die ursprüngliche Funktionalität erhalten blieb. Die Nutzlast wurde unbemerkt in einem parallelen Thread ausgeführt, der legitime Komponenten imitierte. Mit einer gültigen digitalen Signatur und nahtlosem Verhalten umging die DLL die Entdeckung und gewährte Tausenden von hochrangigen Opfern heimlichen Zugang. Die Kompromittierung der Build-Pipeline verwandelte vertrauenswürdige Updates in ein Vehikel für ein globales Eindringen.

Während eine 4.000 Zeilen lange Hintertür bedeutsam erscheinen mag, kann sie im Kontext eines großen Unternehmens-Quellcodes leicht übersehen werden. Hier zeichnet sich die MetaDefender Sandbox aus: Sie inspiziert nicht nur den Code, sondern beobachtet, was die Software tut. Sie weist auf Abweichungen vom normalen Verhalten hin und führt die Analysten zu dem, was wirklich wichtig ist - sie durchdringt das Rauschen und hebt Bedrohungen hervor, die bei herkömmlichen Prüfungen wahrscheinlich übersehen würden.