0
0
Ataques de malware são comuns hoje em dia, sendo executados em minutos e causando danos por semanas ou meses. A detecção rápida e a resposta rápida e eficaz a incidentes são essenciais nessa situação.
Hoje discutiremos cinco casos de uso de como uma sandbox de malware pode ajudar, para que você possa evitar ameaças e descobrir a verdade por trás de arquivos insidiosos.
O que é uma sandbox de malware?
O sistema de segurança de qualquer empresa envolve várias camadas de proteção. Uma sandbox é uma das etapas, e o sistema de segurança moderno estaria incompleto sem ela. A ferramenta ajuda a resolver tarefas forenses digitais e de resposta a incidentes.
Uma sandbox de malware é uma ferramenta para execução de programas suspeitos no ambiente virtual, segura para o seu computador. E um serviço interativo permite qualquer manipulação com a amostra analisada e o SO dentro da máquina virtual. Você pode trabalhar com uma amostra suspeita diretamente como se a tivesse aberto em seu computador pessoal: clique, abra, reinicie.
Existem situações em que arquivos maliciosos ou um link permanecerão inativos ou não mostrarão sua verdadeira natureza. E usar outras ferramentas de segurança será insuficiente ou demorado.
Por exemplo, algumas amostras de malware só serão executadas se certas condições forem atendidas.
- Os trojans bancários podem ser ativados se um usuário visitar um determinado site de banco online. E graças à interatividade, os analistas podem reunir mais indicadores de comprometimento.
- Alguns malwares possuem arquivos com nomes distintos ou chaves de registro. Os especialistas em segurança cibernética podem adicioná-los em uma caixa de proteção para obter mais IOCs: verifique o idioma do maldoc, altere a localidade do sistema e reinicie as tarefas.
- Trabalhar diretamente com uma amostra permite testar várias variantes de execução. Ao fazer isso, os analistas podem obter dados rapidamente.
Vamos descobrir como a ferramenta funciona com arquivos e links maliciosos usando a caixa de proteção de malware online ANY.RUN .
Caso de uso 1. Seguir um link e arquivos maliciosos em tempo real
O primeiro passo quando você recebe um e-mail com um link ou anexo é parar e não fazer nada. Em seguida, dê uma olhada nítida: erros de ortografia, o nome do remetente, saudações, o nome do arquivo. Depois de decidir que pode ser uma farsa, vá direto para um sandbox.
Você pode abrir arquivos e seguir links aqui em um ambiente totalmente seguro. E verifique com segurança para onde ele leva e quais arquivos são baixados em tempo real.
Se você inserir seu login e senha, será direcionado ao site original da tarefa com conteúdo questionável. Mas todos os dados já foram roubados. A sandbox fornece detalhes sobre para onde o tráfego foi e qual URL foi aberta. ANY.RUN intercepta pacotes com os dados que o malware roubou e transmitiu, incluindo credenciais.
Caso de uso 2. Análise de fluxo de rede de arquivos e links maliciosos
Imagine que você tenha um arquivo PDF com uma imagem ou isca de texto. Você clica em um link e recebe um convite para baixar um arquivo com um nome longo ou sublinhados extras.
Depois que o arquivo é aberto, você instalou um malware que pode roubar informações confidenciais ou pode fazer parte de um ataque mais significativo, por exemplo, ransomware.
O exemplo de fluxo de rede demonstra como o Mass Logger envia as informações de autorização em texto simples. Copie e cole o nome de domínio, login, senha e colete informações sobre os sistemas infectados.
Caso de uso 3. Análise de mudança de localidade
Vários programas de malware param de funcionar se o sistema não possui um determinado idioma, hora ou moeda.
Por exemplo, na amostra Raccoon Stealer , todos os processos foram encerrados se você selecionou a localidade Belarus (be-BY).
Vamos reiniciar a tarefa e mudar a localidade para os Estados Unidos (en-US). Imediatamente após a detecção, as atividades aumentam: o malware Raccoon troca informações pela rede e altera as configurações do certificado.
Uma simples mudança de localidade trouxe bons resultados: em um caso, o malware não roda, e no outro, mostra suas propriedades maliciosas.
Caso de uso 4. Suporte de reinicialização
Várias famílias de malware entram na fase ativa somente após a reinicialização do sistema para evitar a detecção. Ao reiniciar o sistema operacional com ANY.RUN, os analistas podem identificar uma ameaça cibernética, observar o comportamento do malware e coletar indicadores adicionais de comprometimento.
O arquivo executável baixado no exemplo da Nanocore se adiciona à pasta de inicialização e interrompe a execução do sistema operacional. Esse truque simples é amplamente explorado para contornar a detecção de antivírus.
Depois que o processo y6s2gl.exe foi adicionado a uma inicialização, todas as atividades dos processos foram interrompidas. Mas se reiniciarmos o sistema, o arquivo malicioso será executado com sucesso e detectado como Nanocore.
Caso de uso 5. Acesso instantâneo à análise e resultados rápidos
Os especialistas em segurança de TI devem reagir o mais rápido possível se ocorrer um incidente. Tempo é essencial. E o primeiro passo para melhorar a segurança são os resultados rápidos da análise de malware.
O arquivo da amostra Agent Tesla contém um programa malicioso. ANY.RUN fornece acesso instantâneo à análise e a máquina virtual começa a funcionar imediatamente, permitindo que você altere o vetor de análise na sessão atual.
Um especialista acompanha o processo que está sendo criado e coleta todas as informações em tempo real.
E aqui está uma análise rápida: 10 segundos são suficientes para identificar o Agente Tesla e extrair seus dados de configuração do despejo de memória.
Esses casos de uso ajudam a revelar até mesmo malware avançado e garantem que seus dados estejam seguros – use o código promocional e execute todos os arquivos e links na caixa de proteção de malware online ANY.RUN .
Escreva o código promocional “HELPNET” em support@any.run usando seu endereço de e-mail comercial e ganhe 14 dias de assinatura premium ANY.RUN grátis!
Os hackers empregam várias estratégias e marcas para ataques. Para identificar a fraude rapidamente, você precisa verificar o conteúdo suspeito. Não caia em truques de malware e não confie em nenhum arquivo e link. Use uma caixa de areia e fique seguro.
FONTE: HELPNET SECURITY