تاکتیک ها، تکنیک ها و رویه ها (TTPs) اساس استراتژی های دفاعی مدرن را تشکیل می دهند. برخلاف شاخصهای سازش (IOC)، TTPها پایدارتر هستند و آنها را راهی مطمئن برای شناسایی تهدیدات سایبری خاص میسازد. در اینجا برخی از متداولترین تکنیکهای مورد استفاده، با توجه به گزارش روند ترندهای بدافزار سهماهه سال 2024 ANY.RUN، همراه با نمونههای واقعی آورده شده است.
غیرفعال کردن گزارش رویداد ویندوز (T1562.002)
غیرفعال کردن ثبت رویداد در ویندوز به مهاجمان کمک می کند تا از ثبت اطلاعات مهم در مورد اقدامات مخرب خود توسط سیستم جلوگیری کنند.
بدون گزارش رویداد، جزئیات مهم مانند تلاش برای ورود به سیستم، اصلاحات فایل و تغییرات سیستم ثبت نمیشوند و راهحلهای امنیتی و تحلیلگران را با دادههای ناقص یا مفقود باقی میگذارند.
ثبت رویدادهای ویندوز را می توان به روش های مختلفی دستکاری کرد، از جمله با تغییر کلیدهای رجیستری یا استفاده از دستوراتی مانند “net stop eventslog”. تغییر سیاست های گروه یکی دیگر از روش های رایج است.
از آنجایی که بسیاری از مکانیسمهای تشخیص برای شناسایی فعالیتهای مشکوک به تجزیه و تحلیل گزارشها متکی هستند، بدافزار ممکن است برای مدتهای طولانیتری بدون شناسایی کار کند.
مثال: XWorm گزارشهای سرویس دسترسی از راه دور را غیرفعال میکند
برای شناسایی، نظارت و تجزیه و تحلیل انواع مختلف TTP های مخرب در یک محیط امن، می توانیم از جعبه ایمنی تعاملی ANY.RUN استفاده کنیم. این سرویس ماشینهای مجازی ویندوز و لینوکس بسیار قابل تنظیم را ارائه میدهد که به شما امکان میدهد نه تنها بدافزار را منفجر کنید و اجرای آن را در زمان واقعی مشاهده کنید، بلکه مانند یک رایانه استاندارد با آن تعامل کنید.
به لطف ردیابی تمام فعالیت های سیستم و شبکه، ANY.RUN به شما اجازه می دهد تا به راحتی و به سرعت اقدامات مخرب مانند غیرفعال کردن گزارش رویدادهای ویندوز را شناسایی کنید.
جلسه سندباکس ANY.RUN نتایج یک انفجار XWorm را نمایش می دهد |
این جلسه تجزیه و تحلیل را بررسی کنید که در آن XWorm، یک تروجان دسترسی از راه دور گسترده (RAT)، از T1562.002 استفاده می کند.
Sandbox جزئیات مربوط به فرآیند مخرب و اصلاح رجیستری آن را به اشتراک می گذارد |
به طور خاص، رجیستری را برای غیرفعال کردن گزارشهای ردیابی برای RASAPI32، که مسئول مدیریت اتصالات دسترسی از راه دور در سیستم است، تغییر میدهد.
این بدافزار با تغییر نام بسیاری از رجیستری ها، رجیستری ها را غیرفعال می کند |
با تنظیم ENABLEAUTOFILETRACING و سایر نامهای رجیستری مرتبط با RASAPI32 روی 0، مهاجم اطمینان حاصل میکند که گزارشها ایجاد نمیشوند. این امر تشخیص حادثه را برای نرم افزارهای امنیتی مانند نرم افزار آنتی ویروس دشوار می کند.
بدافزار و تهدیدات فیشینگ را در جعبه شنی ابری ANY.RUN به صورت رایگان تجزیه و تحلیل کنید.
از تمام ویژگیهای PRO با یک دوره آزمایشی 14 روزه استفاده کنید
PowerShell Exploit (T1059.001)
PowerShell یک زبان برنامه نویسی و رابط خط فرمان است که در ویندوز تعبیه شده است. مهاجمان معمولاً از آن برای انجام انواع مختلفی از وظایف مخرب، از جمله دستکاری تنظیمات سیستم، استخراج داده ها و ایجاد دسترسی دائمی به سیستم های در معرض خطر سوء استفاده می کنند.
هنگام استفاده از قابلیتهای گسترده PowerShell، عوامل تهدید میتوانند از تکنیکهای مبهمسازی، مانند دستورات رمزگذاری یا تکنیکهای پیشرفته برنامهنویسی برای دور زدن مکانیسمهای تشخیص استفاده کنند.
مثال: BlanGrabber از PowerShell برای غیرفعال کردن کشف استفاده می کند
این تجزیه و تحلیل نمونه ای از BlankGrabber را در نظر بگیرید، خانواده ای از بدافزارها که برای سرقت داده های حساس از سیستم های آلوده استفاده می شود. پس از اجرا، بدافزار چندین فرآیند از جمله PowerShell را برای تغییر تنظیمات سیستم برای جلوگیری از شناسایی راه اندازی می کند.
جعبه شنی تمام عملیات انجام شده توسط BlankGrabber از طریق PowerShell را نمایش می دهد |
ANY.RUN فوراً تمام فعالیت های بدافزار را شناسایی می کند و آنها را با جزئیات نمایش می دهد. از جمله موارد دیگر، BlankGrabber از PowerShell برای غیرفعال کردن سیستم پیشگیری از نفوذ (IPS)، محافظت OAV و خدمات نظارت بر زمان واقعی ویندوز استفاده می کند. جعبه شنی همچنین محتویات خط فرمان را نمایش می دهد و دستورات واقعی استفاده شده توسط بدافزار را نمایش می دهد.
Windows Command Shell Abuse (T1059.003)
مهاجمان همچنین از Windows Command Shell (cmd.exe)، ابزار همه کاره دیگری که برای کارهای اداری قانونی، مانند مدیریت فایل ها و اجرای اسکریپت ها استفاده می شود، سوء استفاده می کنند. استفاده گسترده آن را به گزینه ای جذاب برای پنهان کردن اعمال مخرب تبدیل می کند.
با استفاده از رابط فرمان، مهاجمان می توانند انواع مختلفی از دستورات مخرب را اجرا کنند، از دانلود محموله ها از سرورهای راه دور گرفته تا اجرای بدافزار. پوسته همچنین می تواند برای اجرای اسکریپت های PowerShell برای فعالیت های مخرب بیشتر استفاده شود.
از آنجایی که cmd.exe یک ابزار قابل اعتماد و پرکاربرد است، دستورات مخرب میتوانند با فعالیتهای قانونی ترکیب شوند و تشخیص و پاسخگویی به تهدیدات را در زمان واقعی برای سیستمهای امنیتی دشوار کنند. مهاجمان همچنین می توانند از تکنیک های مبهم سازی در دستورات خود برای جلوگیری بیشتر از شناسایی استفاده کنند.
مثال: Lumma CMD برای پیاده سازی بار استفاده می شود
به تجزیه و تحلیل زیر از Lumma نگاهی بیندازید، ابزار سرقت اطلاعات پرکاربرد که از سال 2022 فعال بوده است.
Sandbox امتیاز 100 را به فرآیند cmd.exe اختصاص می دهد و آن را مخرب می کند |
ANY.RUN به ما نگاهی عمیق به فرآیندهایی که بدافزار از طریق cmd انجام می دهد، می دهد. این شامل شروع یک برنامه با پسوند غیر معمول و ایجاد تغییرات در محتوای اجرایی است که نشان دهنده سوء استفاده مهاجمان از فرآیند است.
اصلاح کلیدهای عملیاتی رجیستری (T1547.001)
برای اطمینان از اینکه بدافزار به طور خودکار هنگام بوت شدن سیستم اجرا می شود، مهاجمان ورودی هایی را به کلیدهای رجیستری خاصی که برای اجرای برنامه ها در هنگام راه اندازی طراحی شده اند اضافه می کنند.
فایل های مخرب را نیز می توان در پوشه Startup قرار داد، دایرکتوری ویژه ای که در آن ویندوز به طور خودکار برنامه ها را هنگام ورود کاربر اسکن و اجرا می کند.
با استفاده از کلیدهای میانبر رجیستری و پوشه راهاندازی، مهاجمان میتوانند ماندگاری طولانیمدت خود را حفظ کنند و به آنها اجازه میدهد به فعالیتهای مخرب خود مانند استخراج دادهها، حرکت جانبی در داخل شبکه یا بهرهبرداری بیشتر از سیستم ادامه دهند.
مثال: Remcos ماندگاری را از طریق کلید RUN به دست می آورد
در زیر نمونه ای از این فناوری را مشاهده می کنید که توسط Remcos انجام شده است. در این مورد، کلید رجیستری که در حال تغییر است HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN است.
سندباکس TTP های مربوطه را به اقدامات مخرب مختلف اختصاص می دهد |
با افزودن یک ورودی به کلید RUN در رجیستری، درب پشتی Remcos اطمینان حاصل می کند که در هر ورود جدید به طور خودکار شروع می شود. این به بدافزار اجازه می دهد تا پایداری خود را در سیستم آلوده حفظ کند.
فرار مبتنی بر زمان (T1497.003)
فرار مبتنی بر زمان تکنیکی است که توسط بدافزارها برای جلوگیری از شناسایی توسط راهحلهای امنیتی مبتنی بر sandbox استفاده میشود. بسیاری از ماسهبازیها دورههای نظارت محدودی دارند، اغلب فقط چند دقیقه. با به تأخیر انداختن اجرای کدهای مخرب، بدافزار می تواند از شناسایی در طول این پنجره جلوگیری کند.
یکی دیگر از اهداف متداول TTP این است که بدافزار را در طول تجزیه و تحلیل اولیه خوش خیم جلوه دهد و احتمال علامت گذاری آن را به عنوان مشکوک کاهش دهد. تأخیر در اجرا ممکن است برای ابزارهای تجزیه و تحلیل رفتار، ارتباط رفتار خوش خیم اولیه با فعالیت های مضر بعدی را دشوارتر کند.
بدافزار اغلب برای انجام فرآیند آلودگی به چندین مؤلفه یا فایل متکی است. این تاخیر می تواند به همگام سازی اجرای قطعات مختلف بدافزار کمک کند. برای مثال، اگر بدافزار نیاز به دانلود مؤلفههای اضافی از یک سرور راه دور داشته باشد، ممکن است تأخیر اطمینان حاصل کند که این مؤلفهها قبل از اجرای بار اصلی به طور کامل دانلود و آماده هستند.
برخی از فعالیت های مخرب ممکن است به انجام موفقیت آمیز سایر وظایف بستگی داشته باشد. معرفی تاخیرها می تواند به مدیریت این وابستگی ها کمک کند و اطمینان حاصل کند که هر مرحله از فرآیند عفونت به ترتیب صحیح تکمیل شده است.
مثال: DCRAT اجرا را در طول حمله به تاخیر می اندازد
Dark Crystal RAT یکی از خانوادههای بدافزاری است که برای ماندن در زیر رادار یک سیستم آلوده به تکنیکهای فرار مبتنی بر زمان متکی هستند.
ANY.RUN یک ماتریس داخلی MITER ATT&CK برای ردیابی TTPهای شناسایی شده در طول تجزیه و تحلیل ارائه می دهد. |
در دوره بعدی جلسه sandbox، میتوانیم مشاهده کنیم که چگونه DCRAT قبل از ادامه اجرا، تنها 2000 میلیثانیه، یعنی 2 ثانیه در حالت خواب باقی میماند. این احتمالاً برای اطمینان از آماده بودن تمام پرونده های مورد نیاز برای مرحله بعدی فرآیند عفونت انجام می شود.
Sandbox ANY.RUN جزئیات هر فرآیند مخرب را نمایش می دهد |
یکی از تلاشهای فرار مبتنی بر زمان توسط DCRAT که ANY.RUN کشف کرد، استفاده از ابزار قانونی w32tm.exe برای به تاخیر انداختن فرآیند اجرا بود.
تجزیه و تحلیل بدافزار با استفاده از ANY.RUN Sandbox
ANY.RUN یک جعبه شنی مبتنی بر ابر برای تجزیه و تحلیل بدافزارها و تهدیدات فیشینگ ارائه می دهد و نتایج سریع و دقیقی را برای بهبود تحقیقات شما ارائه می دهد. به لطف ویژگیهای پیشرفته آن، میتوانید آزادانه با فایلها و آدرسهای اینترنتی ارائهشده و همچنین سیستم تعامل داشته باشید تا عمیقتر به تجزیه و تحلیل تهدید بپردازید.
- برای شروع فرآیند تجزیه و تحلیل، به سادگی یک فایل یا URL را آپلود کنید
- شناسایی تهدید کمتر از 60 ثانیه طول می کشد
- این سرویس به سرعت بینش های عمیقی را در مورد رفتار بدافزار استخراج می کند و گزارش های تهدید را تولید می کند
- تایپ کنید، پیوندها را باز کنید، پیوست ها را دانلود کنید، برنامه ها را اجرا کنید، همه در داخل ماشین مجازی
- از حالت تحلیل خصوصی و ابزارهای همکاری گروهی استفاده کنید
جعبه شنی ANY.RUN را با یک دوره آزمایشی رایگان 14 روزه در جریان کار سازمان خود ادغام کنید تا همه چیزهایی را که ارائه می دهد امتحان کنید.
منبع: https://thehackernews.com/2024/11/5-most-common-malware-techniques-in-2024.html