Analisis malware dinamis adalah bagian penting dari penyelidikan ancaman apa pun. Ini melibatkan eksekusi sampel program jahat di lingkungan terisolasi dari kotak pasir malware untuk memantau perilakunya dan mengumpulkan indikator yang dapat ditindaklanjuti. Analisis yang efektif harus cepat, mendalam, dan tepat. Kelima alat ini akan membantu Anda mencapainya dengan mudah.
1. Interaktivitas
Memiliki kemampuan untuk berinteraksi dengan malware dan sistem secara real-time merupakan keuntungan besar dalam analisis dinamis. Dengan cara ini, Anda tidak hanya dapat mengamati pelaksanaannya tetapi juga melihat bagaimana ia merespons masukan Anda dan memicu perilaku tertentu.
Selain itu, ini menghemat waktu dengan memungkinkan Anda mengunduh sampel yang dihosting di situs berbagi file atau membuka sampel yang dikemas dalam arsip, yang merupakan cara umum untuk mengirimkan muatan ke korban.
Email phishing awal yang berisi pdf berbahaya dan kata sandi untuk arsip |
Lihat sesi sandbox di sandbox ANY.RUN yang menunjukkan bagaimana interaktivitas digunakan untuk menganalisis seluruh rantai serangan, dimulai dari email phishing yang berisi lampiran PDF. Tautan di dalam .pdf mengarah ke situs web berbagi file tempat .zip yang dilindungi kata sandi dihosting.
Situs web yang menghosting file .zip |
Sandbox memungkinkan kita tidak hanya mengunduh arsip tetapi juga memasukkan kata sandi (yang dapat ditemukan di email) dan mengekstrak isinya untuk menjalankan muatan berbahaya.
Anda dapat memasukkan kata sandi secara manual untuk membuka arsip yang dilindungi di ANY.RUN |
Setelah meluncurkan file executable yang ditemukan di dalam arsip, sandbox langsung mendeteksi bahwa sistem telah terinfeksi AsyncRAT, keluarga malware populer yang digunakan oleh penyerang untuk mengontrol mesin korban dari jarak jauh dan mencuri data sensitif.
ANY.RUN memberikan keputusan konklusif pada setiap sampel |
Ia menambahkan tag yang sesuai ke antarmuka dan menghasilkan laporan tentang ancaman tersebut.
Analisis file dan URL dalam lingkungan pribadi dan real-time di kotak pasir ANY.RUN.
Dapatkan uji coba sandbox gratis selama 14 hari untuk menguji kemampuannya.
2. Ekstraksi IOC
Mengumpulkan indikator kompromi (IOC) yang relevan adalah salah satu tujuan utama analisis dinamis. Meledakkan malware di lingkungan langsung memaksanya untuk mengekspos alamat server C2, kunci enkripsi, dan pengaturan lain yang memastikan fungsionalitas dan komunikasinya dengan penyerang.
Meskipun data tersebut sering kali dilindungi dan dikaburkan oleh pengembang malware, beberapa solusi sandbox dilengkapi dengan kemampuan pengumpulan IOC tingkat lanjut, sehingga memudahkan untuk mengidentifikasi infrastruktur berbahaya.
Sebagai bagian dari setiap sesi analisis di ANY.RUN, Anda mendapatkan laporan IOC yang komprehensif |
Di ANY.RUN, Anda dapat dengan cepat mengumpulkan berbagai indikator, termasuk hash file, URL berbahaya, koneksi C2, permintaan DNS, dan banyak lagi.
Konfigurasi sampel AsyncRAT diekstraksi oleh sandbox ANY.RUN |
Sandbox ANY.RUN melangkah lebih jauh dengan tidak hanya menyajikan daftar indikator relevan yang dikumpulkan selama sesi analisis tetapi juga mengekstraksi konfigurasi untuk lusinan keluarga malware populer. Lihat contoh konfigurasi malware pada sesi sandbox berikut.
Konfigurasi tersebut adalah sumber IOC yang dapat ditindaklanjuti yang paling andal dan dapat Anda manfaatkan tanpa ragu untuk meningkatkan sistem deteksi Anda dan meningkatkan efektivitas tindakan keamanan Anda secara keseluruhan.
3. Pemetaan MITRE ATT&CK
Mencegah potensi serangan terhadap infrastruktur Anda bukan hanya tentang secara proaktif menemukan IOC yang digunakan oleh penyerang. Metode yang lebih bertahan lama adalah dengan memahami taktik, teknik, dan prosedur (TTP) yang digunakan dalam malware yang saat ini menargetkan industri Anda.
Kerangka kerja MITRE ATT&CK membantu Anda memetakan TTP ini agar Anda dapat melihat apa yang dilakukan malware dan bagaimana malware tersebut cocok dengan gambaran ancaman yang lebih besar. Dengan memahami TTP, Anda dapat membangun pertahanan yang lebih kuat yang disesuaikan dengan organisasi Anda dan menghentikan penyerang di depan pintu.
TTP sampel malware AgentTesla dianalisis di kotak pasir ANY.RUN |
Lihat analisa AgentTesla berikut ini. Layanan ini mendaftarkan semua TTP utama yang digunakan dalam serangan dan menyajikan deskripsi rinci untuk masing-masing TTP.
Yang perlu dilakukan hanyalah mempertimbangkan intelijen ancaman penting ini dan menggunakannya untuk memperkuat mekanisme keamanan Anda.
4. Analisis Lalu Lintas Jaringan
Analisis malware dinamis juga memerlukan pemeriksaan menyeluruh terhadap lalu lintas jaringan yang dihasilkan oleh malware tersebut.
Analisis permintaan HTTP, koneksi, dan permintaan DNS dapat memberikan wawasan tentang komunikasi malware dengan server eksternal, jenis data yang dipertukarkan, dan aktivitas berbahaya apa pun.
Analisis lalu lintas jaringan di kotak pasir ANY.RUN |
Kotak pasir ANY.RUN menangkap semua lalu lintas jaringan dan memungkinkan Anda melihat paket yang diterima dan dikirim dalam format HEX dan teks.
Aturan Suricata yang mendeteksi aktivitas eksfiltrasi data AgenTesla |
Selain sekadar mencatat lalu lintas, sandbox juga harus otomatis mendeteksi tindakan berbahaya. Untuk tujuan ini, ANY.RUN menggunakan aturan Suricata IDS yang memindai aktivitas jaringan dan memberikan pemberitahuan tentang ancaman.
Anda juga dapat mengekspor data dalam format PCAP untuk analisis mendetail menggunakan alat seperti Wireshark.
Coba analisis lalu lintas jaringan tingkat lanjut ANY.RUN dengan uji coba gratis 14 hari.
5. Analisis Proses Lanjutan
Untuk memahami alur eksekusi malware dan dampaknya terhadap sistem, Anda perlu memiliki akses ke informasi mendetail tentang proses yang ditimbulkannya. Untuk membantu Anda dalam hal ini, sandbox pilihan Anda harus menyediakan analisis proses lanjutan yang mencakup beberapa area.
Grafik visual di kotak pasir ANY.RUN menunjukkan eksekusi malware AsynRAT |
Misalnya, memvisualisasikan pohon proses di sandbox ANY.RUN memudahkan pelacakan urutan pembuatan dan penghentian proses serta mengidentifikasi proses utama yang penting untuk pengoperasian malware.
Kotak pasir ANY.RUN memberi tahu Anda tentang file dengan sertifikat yang tidak tepercaya |
Anda juga harus dapat memverifikasi keaslian proses dengan melihat rincian sertifikatnya, termasuk penerbit, status, dan validitas.
Proses dump malware XWorm tersedia untuk diunduh di ANY.RUN |
Fitur berguna lainnya adalah proses dump, yang mungkin berisi informasi penting, seperti kunci enkripsi yang digunakan oleh malware. Sandbox yang efektif akan memudahkan Anda mengunduh dump ini untuk melakukan analisis forensik lebih lanjut.
ANY.RUN menampilkan rincian rincian skrip PowerShell, JavaScript, dan VBScript |
Salah satu tren serangan siber terkini adalah penggunaan malware tanpa file yang hanya dijalankan di memori. Untuk menangkapnya, Anda harus memiliki akses ke skrip dan perintah yang dijalankan selama proses infeksi.
File dienkripsi oleh ransomware LockBit selama analisis di kotak pasir ANY.RUN |
Melacak peristiwa pembuatan, modifikasi, dan penghapusan file adalah bagian penting lainnya dari penyelidikan apa pun terhadap aktivitas malware. Ini dapat membantu Anda mengetahui apakah suatu proses mencoba menjatuhkan atau memodifikasi file di area sensitif, seperti direktori sistem atau folder startup.
Contoh XWorm yang menggunakan kunci registri Jalankan untuk mencapai persistensi |
Memantau perubahan registri yang dilakukan oleh proses ini sangat penting untuk memahami mekanisme persistensi malware. Registri Windows adalah target umum bagi persistensi pencarian malware, karena dapat digunakan untuk menjalankan kode berbahaya saat startup atau mengubah perilaku sistem.
Analisis Malware dan Ancaman Phishing di ANY.RUN Sandbox
ANY.RUN menyediakan cloud sandbox untuk analisis malware dan phishing yang memberikan hasil cepat dan akurat untuk menyederhanakan penyelidikan Anda. Berkat interaktivitas, Anda dapat dengan bebas berinteraksi dengan file dan URL yang Anda kirimkan, serta sistem untuk mengeksplorasi ancaman secara mendalam.
Anda dapat mengintegrasikan sandbox canggih ANY.RUN dengan fitur seperti VM Windows dan Linux, mode privat, dan kerja tim di organisasi Anda.
Tinggalkan permintaan uji coba Anda untuk menguji sandbox ANY.RUN.