تفكيك الهجمات متعددة الطبقات باستخدام OPSWAT MetaDefender 

يحتل محرك MetaDefender الصدارة في مجال كشف التهديدات، حيث يجمع بسلاسة بين تقنيات التحليل الثابت والديناميكي لإحباط حتى أكثر الهجمات تعقيدًا.

• تحليل البنية العميقة: تقييم أولي للملفات الثابتة يوفر إمكانات الكشف المبكر لأنواع الملفات المدعومة 50+ ، ويستخرج المحتوى النشط المضمن لمزيد من التحليل.
• تحليل المحتوى الديناميكي: يفحص ويحلل المحتوى والسياق من رسائل البريد الإلكتروني وصفحات الويب والمستندات لكشف الأنشطة الضارة المخفية بما في ذلك عناوين URL المشبوهة. هذا إجراء وقائي مفيد بشكل خاص ضد هجمات التصيد الاحتيالي.
• تحليل التهديدات التكيفية: تحليل نشط قائم على المحاكاة يحافظ على التحكم في تدفق تنفيذ البرامج الضارة ، حتى عندما يكون مصمما لاستهداف بيئة معينة. وهو يدعم ملفات Office والملفات التنفيذية المحمولة والبرامج النصية الأكثر شيوعا.

العينة التي تم تحليلها عبارة عن ملف محمول قابل للتنفيذ (PE) تم تجميعه باستخدام Pyinstaller يقوم بتنزيل PE ل Cobalt Strike سرا من مضيف ضار. ثم, يقوم منظم PE بفك تشفير منارة CS المضمنة وحقنها في الذاكرة, بدء الاتصال مع C2. 

يقوم PyInstaller بتجميع تطبيق Python وجميع تبعياته في حزمة واحدة ، مما يسمح للمستخدم بتشغيل التطبيق دون تثبيت مترجم Python أو أي وحدات نمطية ، وهو اقتراح جذاب لمنشئي البرامج الضارة.  

لن يسفر التحليل الثابت لهذا الملف سوى عن الكثير من المعلومات غير المفيدة، بدلاً من التركيز على سلوكه الخبيث. يقوم MetaDefender بفك ضغط واستخراج ملفات البايت كود المُجمَّعة (pyc) والعناصر المدمجة التي يستخدمها كود البايثون الأصلي. ثم يقوم بفك ترميز ملفات pyc للحصول على كود البايثون الأصلي، مما يتيح لنا اكتشاف مؤشرات التهديد واستخراج مؤشرات التهديد (IOCs) ذات القيمة العالية. 

يحتاج Pyinstaller إلى عملية فك ضغط محددة لا تدعمها حتى برامج ضغط الملفات الأكثر شيوعًا. ويشتمل MetaDefender الآن على ميزة مدمجة لفك ضغط ملفات Python، والتي تدعم أيضًا برامج ترجمة Python الشائعة الأخرى مثل Nuitka وPy2exe. 

تساعدنا هذه الميزة الجديدة في تجاوز طبقة التعبئة الأولى هذه وتستمر في تحليل الملفات التي تم فك حزمها. 

يظهر لنا فك ترجمة ملفات python أن هذه البرامج الضارة تقوم بتنزيل ملف PE (CS stager) من عنوان URL ضار. بعد ذلك ، يقوم بتشغيل CS stager وإزالته من القرص للتخلص من IOCs المحتملة. أيضا ، تنبثق رسالة Windows مزيفة لخداع المستخدم للاعتقاد بحدوث خطأ. 

يقوم MetaDefender باستخراج عنوان URL الضار وتنزيل أداة التمهيد (stager) لإجراء مزيد من التحليل. 

ملف PE الذي تم تنزيله (cs.exe) هو برنامج تمهيدي يقوم بفك تشفير ملف PE ثانٍ، والذي بدوره يقوم بفك تشفير إشارة CS وإدخالها إلى الذاكرة. هناك العديد من التقنيات التي يستخدمها CS لإخفاء الإشارة وجعل اكتشافها أكثر صعوبة. يستطيع MetaDefender تتبع مسار التنفيذ بشكل ثابت حتى يصل إلى إشارة CS ويستخرج إعداداتها. 

يخفي منظم CS ملف PE مشفر XOR في قسم .data الخاص به. يتوافق PE الثاني هذا مع ملف DLL ، يمكن التعرف عليه عبر رأس DLL المعروف (MZARUH) وهو بداية كعب محمل عاكس افتراضي لمنارة CS. وهذا يعني أن PE الأولي سيكون مسؤولا عن تخصيص ونسخ DLL للمحمل العاكس في الذاكرة ، وتحليل وحل عناوين وظائف الاستيراد وتنفيذ نقطة دخول DLL. أخيرا, سيقوم اللودر العاكس بفك تشفير منارة CS وتشغيلها في الذاكرة. 

يُبرز هذا التحليل الفني لـ CS مدى تعقيد وعمق التهديدات السيبرانية الحالية، ويُظهر قدرة محرك التهديدات القوي والمتطور MetaDefender على تحليل الهجمات متعددة الطبقات بفعالية وبسرعة ملحوظة.  

تتيح ميزة تفريغ وفك تجميع Python تحليلا أعمق ، وهو أمر ضروري للكشف عن الطبيعة الحقيقية للبرنامج الضار. لقد رأينا كيف أدى التفريغ إلى اتخاذ إجراءات إضافية تؤدي إلى اكتشاف واستخراج تكوين CS. 

يكشف استخراج تكوين البرامج الضارة دائما عن IOCs القيمة ويتيح التعرف الدقيق على البرامج الضارة. يعمل فريقنا المتخصص من محللي البرامج الضارة باستمرار على توسيع نطاق عائلات البرامج الضارة المدعومة ، مما يضمن تغطية شاملة وتمكين الكشف السريع عن التهديدات الناشئة.