A análise dinâmica de malware é uma parte basic de qualquer investigação de ameaças. Envolve a execução de uma amostra de um programa malicioso no ambiente isolado de uma sandbox de malware para monitorar seu comportamento e coletar indicadores acionáveis. A análise eficaz deve ser rápida, profunda e precisa. Essas cinco ferramentas o ajudarão a conseguir isso com facilidade.
1. Interatividade
Ter a capacidade de interagir com o malware e o sistema em tempo actual é uma grande vantagem quando se trata de análise dinâmica. Dessa forma, você pode não apenas observar sua execução, mas também ver como ele responde às suas entradas e desencadeia comportamentos específicos.
Além disso, economiza tempo, permitindo que você baixe amostras hospedadas em websites de compartilhamento de arquivos ou abra aquelas compactadas em um arquivo, que é uma forma comum de entregar cargas úteis às vítimas.
 |
| O e-mail de phishing inicial contendo o PDF malicioso e a senha do arquivo |
Confira esta sessão de sandbox no sandbox ANY.RUN que mostra como a interatividade é usada para analisar toda a cadeia de ataque, começando por um e-mail de phishing que contém um anexo em PDF. O hyperlink dentro do .pdf leva a um web site de compartilhamento de arquivos onde um .zip protegido por senha está hospedado.
 |
| O web site que hospeda o arquivo .zip |
A sandbox nos permite não apenas baixar o arquivo, mas também inserir a senha (que pode ser encontrada no e-mail) e extrair seu conteúdo para executar a carga maliciosa.
 |
| Você pode inserir manualmente uma senha para abrir arquivos protegidos em ANY.RUN |
Depois de iniciar o arquivo executável encontrado dentro do arquivo, a sandbox detecta instantaneamente que o sistema foi infectado pelo AsyncRAT, uma família de malware well-liked usada por invasores para controlar remotamente as máquinas das vítimas e roubar dados confidenciais.
 |
| ANY.RUN fornece um veredicto conclusivo sobre cada amostra |
Ele adiciona tags correspondentes à interface e gera um relatório sobre a ameaça.
Analise arquivos e URLs em um ambiente privado e em tempo actual da sandbox ANY.RUN.
Faça uma avaliação gratuita de 14 dias do sandbox para testar seus recursos.
2. Extração de IOCs
A recolha de indicadores de compromisso relevantes (IOC) é um dos principais objectivos da análise dinâmica. A detonação de malware em um ambiente ativo força-o a expor seus endereços de servidor C2, chaves de criptografia e outras configurações que garantem sua funcionalidade e comunicação com os invasores.
Embora esses dados sejam frequentemente protegidos e ofuscados por desenvolvedores de malware, algumas soluções de sandbox são equipadas com recursos avançados de coleta de IOC, facilitando a identificação da infraestrutura maliciosa.
 |
| Como parte de cada sessão de análise no ANY.RUN, você obtém um relatório IOC abrangente |
No ANY.RUN, você pode coletar rapidamente uma variedade de indicadores, incluindo hashes de arquivos, URLs maliciosos, conexões C2, solicitações de DNS e muito mais.
 |
| Configuração de amostra AsyncRAT extraída pela sandbox ANY.RUN |
A sandbox ANY.RUN vai um passo além, não apenas apresentando uma lista de indicadores relevantes coletados durante a sessão de análise, mas também extraindo configurações para dezenas de famílias de malware populares. Veja um exemplo de configuração de malware na sessão de sandbox a seguir.
Essas configurações são a fonte mais confiável de IOCs acionáveis que você pode utilizar sem hesitação para aprimorar seus sistemas de detecção e melhorar a eficácia de suas medidas gerais de segurança.
3. Mapeamento MITRE ATT&CK
Prevenir possíveis ataques à sua infraestrutura não envolve apenas encontrar proativamente os IOCs usados pelos invasores. Um método mais duradouro é compreender as táticas, técnicas e procedimentos (TTPs) empregados em malwares atualmente direcionados ao seu setor.
A estrutura MITRE ATT&CK ajuda a mapear esses TTPs para permitir que você veja o que o malware está fazendo e como ele se encaixa no quadro geral da ameaça. Ao compreender os TTPs, você pode construir defesas mais fortes e personalizadas para sua organização e impedir invasores na porta.
 |
| TTPs de uma amostra de malware AgentTesla analisada na sandbox ANY.RUN |
Veja a seguinte análise do AgentTesla. O serviço registra todos os principais TTPs utilizados no ataque e apresenta descrições detalhadas de cada um deles.
Tudo o que resta fazer é levar em consideração essa importante inteligência sobre ameaças e usá-la para fortalecer seus mecanismos de segurança.
4. Análise de tráfego de rede
A análise dinâmica de malware também requer um exame minucioso do tráfego de rede gerado pelo malware.
A análise de solicitações HTTP, conexões e solicitações DNS pode fornecer insights sobre a comunicação do malware com servidores externos, o tipo de dados trocados e quaisquer atividades maliciosas.
 |
| Análise de tráfego de rede na sandbox ANY.RUN |
A sandbox ANY.RUN captura todo o tráfego de rede e permite visualizar pacotes recebidos e enviados nos formatos HEX e de texto.
 |
| Regra Suricata que detecta a atividade de exfiltração de dados do AgentTesla |
Além de simplesmente registrar o tráfego, é very important que o sandbox detecte automaticamente ações prejudiciais. Para tanto, ANY.RUN usa regras Suricata IDS que verificam a atividade da rede e fornecem notificações sobre ameaças.
Você também pode exportar dados no formato PCAP para análise detalhada usando ferramentas como o Wireshark.
Experimente a análise avançada de tráfego de rede do ANY.RUN com um teste gratuito de 14 dias.
5. Análise Avançada de Processo
Para entender o fluxo de execução do malware e seu impacto no sistema, você precisa ter acesso a informações detalhadas sobre os processos gerados por ele. Para ajudá-lo nisso, o sandbox de sua escolha deve fornecer análise avançada de processo que cubra diversas áreas.
 |
| Gráfico visible na sandbox ANY.RUN mostrando a execução do malware AsynRAT |
Por exemplo, a visualização da árvore de processos na sandbox ANY.RUN facilita o rastreamento da sequência de criação e encerramento do processo e identifica os principais processos que são críticos para a operação do malware.
 |
| O sandbox ANY.RUN notifica você sobre arquivos com certificados não confiáveis |
Você também precisa ser capaz de verificar a autenticidade do processo observando os detalhes do certificado, incluindo o emissor, o standing e a validade.
 |
| Despejo de processo do malware XWorm disponível para obtain em ANY.RUN |
Outro recurso útil são os dumps de processos, que podem conter informações vitais, como chaves de criptografia usadas pelo malware. Uma sandbox eficaz permitirá que você baixe facilmente esses dumps para realizar análises forenses adicionais.
 |
| ANY.RUN exibe análises detalhadas de scripts PowerShell, JavaScript e VBScript |
Uma das tendências recentes em ataques cibernéticos é o uso de malware sem arquivo, que é executado apenas na memória. Para detectá-lo, você precisa ter acesso aos scripts e comandos executados durante o processo de infecção.
 |
| Arquivos criptografados pelo ransomware LockBit durante a análise na sandbox ANY.RUN |
Rastrear eventos de criação, modificação e exclusão de arquivos é outra parte essencial de qualquer investigação sobre atividades de malware. Ele pode ajudá-lo a revelar se um processo está tentando descartar ou modificar arquivos em áreas confidenciais, como diretórios do sistema ou pastas de inicialização.
 |
| Exemplo de XWorm usando a chave de registro Run para obter persistência |
Monitorar as alterações no registro feitas pelo processo é essential para compreender os mecanismos de persistência do malware. O Registro do Home windows é um alvo comum para persistência em busca de malware, pois pode ser usado para executar código malicioso na inicialização ou alterar o comportamento do sistema.
Analise ameaças de malware e phishing no ANY.RUN Sandbox
ANY.RUN fornece uma sandbox na nuvem para análise de malware e phishing que fornece resultados rápidos e precisos para agilizar suas investigações. Graças à interatividade, você pode interagir livremente com os arquivos e URLs enviados, bem como com o sistema, para explorar a ameaça em profundidade.
Você pode integrar o sandbox avançado do ANY.RUN com recursos como VMs Home windows e Linux, modo privado e trabalho em equipe em sua organização.
Deixe sua solicitação de teste para testar o sandbox ANY.RUN.