5 تکنولوژی رایج بدافزار در سال 2024

5 تکنولوژی رایج بدافزار در سال 2024

تاکتیک ها، تکنیک ها و رویه ها (TTPs) اساس استراتژی های دفاعی مدرن را تشکیل می دهند. برخلاف شاخص‌های سازش (IOC)، TTPها پایدارتر هستند و آنها را راهی مطمئن برای شناسایی تهدیدات سایبری خاص می‌سازد. در اینجا برخی از متداول‌ترین تکنیک‌های مورد استفاده، با توجه به گزارش روند ترندهای بدافزار سه‌ماهه سال 2024 ANY.RUN، همراه با نمونه‌های واقعی آورده شده است.

غیرفعال کردن گزارش رویداد ویندوز (T1562.002)

غیرفعال کردن ثبت رویداد در ویندوز به مهاجمان کمک می کند تا از ثبت اطلاعات مهم در مورد اقدامات مخرب خود توسط سیستم جلوگیری کنند.

بدون گزارش رویداد، جزئیات مهم مانند تلاش برای ورود به سیستم، اصلاحات فایل و تغییرات سیستم ثبت نمی‌شوند و راه‌حل‌های امنیتی و تحلیل‌گران را با داده‌های ناقص یا مفقود باقی می‌گذارند.

ثبت رویدادهای ویندوز را می توان به روش های مختلفی دستکاری کرد، از جمله با تغییر کلیدهای رجیستری یا استفاده از دستوراتی مانند “net stop eventslog”. تغییر سیاست های گروه یکی دیگر از روش های رایج است.

از آنجایی که بسیاری از مکانیسم‌های تشخیص برای شناسایی فعالیت‌های مشکوک به تجزیه و تحلیل گزارش‌ها متکی هستند، بدافزار ممکن است برای مدت‌های طولانی‌تری بدون شناسایی کار کند.

مثال: XWorm گزارش‌های سرویس دسترسی از راه دور را غیرفعال می‌کند

برای شناسایی، نظارت و تجزیه و تحلیل انواع مختلف TTP های مخرب در یک محیط امن، می توانیم از جعبه ایمنی تعاملی ANY.RUN استفاده کنیم. این سرویس ماشین‌های مجازی ویندوز و لینوکس بسیار قابل تنظیم را ارائه می‌دهد که به شما امکان می‌دهد نه تنها بدافزار را منفجر کنید و اجرای آن را در زمان واقعی مشاهده کنید، بلکه مانند یک رایانه استاندارد با آن تعامل کنید.

به لطف ردیابی تمام فعالیت های سیستم و شبکه، ANY.RUN به شما اجازه می دهد تا به راحتی و به سرعت اقدامات مخرب مانند غیرفعال کردن گزارش رویدادهای ویندوز را شناسایی کنید.

جلسه سندباکس ANY.RUN نتایج یک انفجار XWorm را نمایش می دهد

این جلسه تجزیه و تحلیل را بررسی کنید که در آن XWorm، یک تروجان دسترسی از راه دور گسترده (RAT)، از T1562.002 استفاده می کند.

Sandbox جزئیات مربوط به فرآیند مخرب و اصلاح رجیستری آن را به اشتراک می گذارد

به طور خاص، رجیستری را برای غیرفعال کردن گزارش‌های ردیابی برای RASAPI32، که مسئول مدیریت اتصالات دسترسی از راه دور در سیستم است، تغییر می‌دهد.

این بدافزار با تغییر نام بسیاری از رجیستری ها، رجیستری ها را غیرفعال می کند

با تنظیم ENABLEAUTOFILETRACING و سایر نام‌های رجیستری مرتبط با RASAPI32 روی 0، مهاجم اطمینان حاصل می‌کند که گزارش‌ها ایجاد نمی‌شوند. این امر تشخیص حادثه را برای نرم افزارهای امنیتی مانند نرم افزار آنتی ویروس دشوار می کند.

بدافزار و تهدیدات فیشینگ را در جعبه شنی ابری ANY.RUN به صورت رایگان تجزیه و تحلیل کنید.

از تمام ویژگی‌های PRO با یک دوره آزمایشی 14 روزه استفاده کنید

PowerShell Exploit (T1059.001)

PowerShell یک زبان برنامه نویسی و رابط خط فرمان است که در ویندوز تعبیه شده است. مهاجمان معمولاً از آن برای انجام انواع مختلفی از وظایف مخرب، از جمله دستکاری تنظیمات سیستم، استخراج داده ها و ایجاد دسترسی دائمی به سیستم های در معرض خطر سوء استفاده می کنند.

هنگام استفاده از قابلیت‌های گسترده PowerShell، عوامل تهدید می‌توانند از تکنیک‌های مبهم‌سازی، مانند دستورات رمزگذاری یا تکنیک‌های پیشرفته برنامه‌نویسی برای دور زدن مکانیسم‌های تشخیص استفاده کنند.

مثال: BlanGrabber از PowerShell برای غیرفعال کردن کشف استفاده می کند

این تجزیه و تحلیل نمونه ای از BlankGrabber را در نظر بگیرید، خانواده ای از بدافزارها که برای سرقت داده های حساس از سیستم های آلوده استفاده می شود. پس از اجرا، بدافزار چندین فرآیند از جمله PowerShell را برای تغییر تنظیمات سیستم برای جلوگیری از شناسایی راه اندازی می کند.

جعبه شنی تمام عملیات انجام شده توسط BlankGrabber از طریق PowerShell را نمایش می دهد

ANY.RUN فوراً تمام فعالیت های بدافزار را شناسایی می کند و آنها را با جزئیات نمایش می دهد. از جمله موارد دیگر، BlankGrabber از PowerShell برای غیرفعال کردن سیستم پیشگیری از نفوذ (IPS)، محافظت OAV و خدمات نظارت بر زمان واقعی ویندوز استفاده می کند. جعبه شنی همچنین محتویات خط فرمان را نمایش می دهد و دستورات واقعی استفاده شده توسط بدافزار را نمایش می دهد.

Windows Command Shell Abuse (T1059.003)

مهاجمان همچنین از Windows Command Shell (cmd.exe)، ابزار همه کاره دیگری که برای کارهای اداری قانونی، مانند مدیریت فایل ها و اجرای اسکریپت ها استفاده می شود، سوء استفاده می کنند. استفاده گسترده آن را به گزینه ای جذاب برای پنهان کردن اعمال مخرب تبدیل می کند.

با استفاده از رابط فرمان، مهاجمان می توانند انواع مختلفی از دستورات مخرب را اجرا کنند، از دانلود محموله ها از سرورهای راه دور گرفته تا اجرای بدافزار. پوسته همچنین می تواند برای اجرای اسکریپت های PowerShell برای فعالیت های مخرب بیشتر استفاده شود.

از آنجایی که cmd.exe یک ابزار قابل اعتماد و پرکاربرد است، دستورات مخرب می‌توانند با فعالیت‌های قانونی ترکیب شوند و تشخیص و پاسخگویی به تهدیدات را در زمان واقعی برای سیستم‌های امنیتی دشوار کنند. مهاجمان همچنین می توانند از تکنیک های مبهم سازی در دستورات خود برای جلوگیری بیشتر از شناسایی استفاده کنند.

مثال: Lumma CMD برای پیاده سازی بار استفاده می شود

به تجزیه و تحلیل زیر از Lumma نگاهی بیندازید، ابزار سرقت اطلاعات پرکاربرد که از سال 2022 فعال بوده است.

Sandbox امتیاز 100 را به فرآیند cmd.exe اختصاص می دهد و آن را مخرب می کند

ANY.RUN به ما نگاهی عمیق به فرآیندهایی که بدافزار از طریق cmd انجام می دهد، می دهد. این شامل شروع یک برنامه با پسوند غیر معمول و ایجاد تغییرات در محتوای اجرایی است که نشان دهنده سوء استفاده مهاجمان از فرآیند است.

اصلاح کلیدهای عملیاتی رجیستری (T1547.001)

برای اطمینان از اینکه بدافزار به طور خودکار هنگام بوت شدن سیستم اجرا می شود، مهاجمان ورودی هایی را به کلیدهای رجیستری خاصی که برای اجرای برنامه ها در هنگام راه اندازی طراحی شده اند اضافه می کنند.

فایل های مخرب را نیز می توان در پوشه Startup قرار داد، دایرکتوری ویژه ای که در آن ویندوز به طور خودکار برنامه ها را هنگام ورود کاربر اسکن و اجرا می کند.

با استفاده از کلیدهای میانبر رجیستری و پوشه راه‌اندازی، مهاجمان می‌توانند ماندگاری طولانی‌مدت خود را حفظ کنند و به آن‌ها اجازه می‌دهد به فعالیت‌های مخرب خود مانند استخراج داده‌ها، حرکت جانبی در داخل شبکه یا بهره‌برداری بیشتر از سیستم ادامه دهند.

مثال: Remcos ماندگاری را از طریق کلید RUN به دست می آورد

در زیر نمونه ای از این فناوری را مشاهده می کنید که توسط Remcos انجام شده است. در این مورد، کلید رجیستری که در حال تغییر است HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN است.

سندباکس TTP های مربوطه را به اقدامات مخرب مختلف اختصاص می دهد

با افزودن یک ورودی به کلید RUN در رجیستری، درب پشتی Remcos اطمینان حاصل می کند که در هر ورود جدید به طور خودکار شروع می شود. این به بدافزار اجازه می دهد تا پایداری خود را در سیستم آلوده حفظ کند.

فرار مبتنی بر زمان (T1497.003)

فرار مبتنی بر زمان تکنیکی است که توسط بدافزارها برای جلوگیری از شناسایی توسط راه‌حل‌های امنیتی مبتنی بر sandbox استفاده می‌شود. بسیاری از ماسه‌بازی‌ها دوره‌های نظارت محدودی دارند، اغلب فقط چند دقیقه. با به تأخیر انداختن اجرای کدهای مخرب، بدافزار می تواند از شناسایی در طول این پنجره جلوگیری کند.

یکی دیگر از اهداف متداول TTP این است که بدافزار را در طول تجزیه و تحلیل اولیه خوش خیم جلوه دهد و احتمال علامت گذاری آن را به عنوان مشکوک کاهش دهد. تأخیر در اجرا ممکن است برای ابزارهای تجزیه و تحلیل رفتار، ارتباط رفتار خوش خیم اولیه با فعالیت های مضر بعدی را دشوارتر کند.

بدافزار اغلب برای انجام فرآیند آلودگی به چندین مؤلفه یا فایل متکی است. این تاخیر می تواند به همگام سازی اجرای قطعات مختلف بدافزار کمک کند. برای مثال، اگر بدافزار نیاز به دانلود مؤلفه‌های اضافی از یک سرور راه دور داشته باشد، ممکن است تأخیر اطمینان حاصل کند که این مؤلفه‌ها قبل از اجرای بار اصلی به طور کامل دانلود و آماده هستند.

برخی از فعالیت های مخرب ممکن است به انجام موفقیت آمیز سایر وظایف بستگی داشته باشد. معرفی تاخیرها می تواند به مدیریت این وابستگی ها کمک کند و اطمینان حاصل کند که هر مرحله از فرآیند عفونت به ترتیب صحیح تکمیل شده است.

مثال: DCRAT اجرا را در طول حمله به تاخیر می اندازد

Dark Crystal RAT یکی از خانواده‌های بدافزاری است که برای ماندن در زیر رادار یک سیستم آلوده به تکنیک‌های فرار مبتنی بر زمان متکی هستند.

ANY.RUN یک ماتریس داخلی MITER ATT&CK برای ردیابی TTPهای شناسایی شده در طول تجزیه و تحلیل ارائه می دهد.

در دوره بعدی جلسه sandbox، می‌توانیم مشاهده کنیم که چگونه DCRAT قبل از ادامه اجرا، تنها 2000 میلی‌ثانیه، یعنی 2 ثانیه در حالت خواب باقی می‌ماند. این احتمالاً برای اطمینان از آماده بودن تمام پرونده های مورد نیاز برای مرحله بعدی فرآیند عفونت انجام می شود.

Sandbox ANY.RUN جزئیات هر فرآیند مخرب را نمایش می دهد

یکی از تلاش‌های فرار مبتنی بر زمان توسط DCRAT که ANY.RUN کشف کرد، استفاده از ابزار قانونی w32tm.exe برای به تاخیر انداختن فرآیند اجرا بود.

تجزیه و تحلیل بدافزار با استفاده از ANY.RUN Sandbox

ANY.RUN یک جعبه شنی مبتنی بر ابر برای تجزیه و تحلیل بدافزارها و تهدیدات فیشینگ ارائه می دهد و نتایج سریع و دقیقی را برای بهبود تحقیقات شما ارائه می دهد. به لطف ویژگی‌های پیشرفته آن، می‌توانید آزادانه با فایل‌ها و آدرس‌های اینترنتی ارائه‌شده و همچنین سیستم تعامل داشته باشید تا عمیق‌تر به تجزیه و تحلیل تهدید بپردازید.

  • برای شروع فرآیند تجزیه و تحلیل، به سادگی یک فایل یا URL را آپلود کنید
  • شناسایی تهدید کمتر از 60 ثانیه طول می کشد
  • این سرویس به سرعت بینش های عمیقی را در مورد رفتار بدافزار استخراج می کند و گزارش های تهدید را تولید می کند
  • تایپ کنید، پیوندها را باز کنید، پیوست ها را دانلود کنید، برنامه ها را اجرا کنید، همه در داخل ماشین مجازی
  • از حالت تحلیل خصوصی و ابزارهای همکاری گروهی استفاده کنید

جعبه شنی ANY.RUN را با یک دوره آزمایشی رایگان 14 روزه در جریان کار سازمان خود ادغام کنید تا همه چیزهایی را که ارائه می دهد امتحان کنید.

این مقاله جالب بود؟ این مقاله سهم یکی از شرکای ارزشمند ما است. ما را دنبال کنید توییتر و لینکدین برای خواندن مطالب انحصاری بیشتر ما.



منبع: https://thehackernews.com/2024/11/5-most-common-malware-techniques-in-2024.html