تفكيك الهجمات متعددة الطبقات مع OPSWAT MetaDefender Sandbox 

ال MetaDefender Sandbox يقف المحرك في طليعة اكتشاف التهديدات ، حيث يجمع بسلاسة بين تقنيات التحليل الثابتة والديناميكية لإحباط حتى أكثر الهجمات تطورا.

• تحليل البنية العميقة: تقييم أولي للملفات الثابتة يوفر إمكانات الكشف المبكر لأنواع الملفات المدعومة 50+ ، ويستخرج المحتوى النشط المضمن لمزيد من التحليل.
• تحليل المحتوى الديناميكي: يفحص ويحلل المحتوى والسياق من رسائل البريد الإلكتروني وصفحات الويب والمستندات لكشف الأنشطة الضارة المخفية بما في ذلك عناوين URL المشبوهة. هذا إجراء وقائي مفيد بشكل خاص ضد هجمات التصيد الاحتيالي.
• تحليل التهديدات التكيفية: تحليل نشط قائم على المحاكاة يحافظ على التحكم في تدفق تنفيذ البرامج الضارة ، حتى عندما يكون مصمما لاستهداف بيئة معينة. وهو يدعم ملفات Office والملفات التنفيذية المحمولة والبرامج النصية الأكثر شيوعا.

العينة التي تم تحليلها عبارة عن ملف محمول قابل للتنفيذ (PE) تم تجميعه باستخدام Pyinstaller يقوم بتنزيل PE ل Cobalt Strike سرا من مضيف ضار. ثم, يقوم منظم PE بفك تشفير منارة CS المضمنة وحقنها في الذاكرة, بدء الاتصال مع C2. 

يقوم PyInstaller بتجميع تطبيق Python وجميع تبعياته في حزمة واحدة ، مما يسمح للمستخدم بتشغيل التطبيق دون تثبيت مترجم Python أو أي وحدات نمطية ، وهو اقتراح جذاب لمنشئي البرامج الضارة.  

لن يؤدي التحليل الثابت لهذا الملف إلا إلى الكثير من الضوضاء عديمة الفائدة بدلا من التركيز على سلوكه الضار. MetaDefender Sandbox فك واستخراج ملفات bytecode (pyc) المترجمة والعناصر المضمنة المستخدمة بواسطة التعليمات البرمجية الأصلية Python. بعد ذلك ، يقوم بفك تجميع ملفات pyc للحصول على كود python الأصلي ، والذي يسمح لنا باكتشاف مؤشرات التهديد واستخراج IOCs عالية القيمة. 

يحتاج Pyinstaller إلى عملية تفريغ محددة غير مدعومة حتى من قبل أرشيفات الملفات الأكثر شيوعا MetaDefender Sandbox يتضمن الآن ميزة تفريغ Python المضمنة ، والتي تدعم أيضا مترجمات Python الشائعة الأخرى مثل Nuitka و Py2exe. 

تساعدنا هذه الميزة الجديدة في تجاوز طبقة التعبئة الأولى هذه وتستمر في تحليل الملفات التي تم فك حزمها. 

يظهر لنا فك ترجمة ملفات python أن هذه البرامج الضارة تقوم بتنزيل ملف PE (CS stager) من عنوان URL ضار. بعد ذلك ، يقوم بتشغيل CS stager وإزالته من القرص للتخلص من IOCs المحتملة. أيضا ، تنبثق رسالة Windows مزيفة لخداع المستخدم للاعتقاد بحدوث خطأ. 

MetaDefender Sandbox يستخرج عنوان URL الضار ويقوم بتنزيل منظم لمزيد من التحليل. 

PE (cs.exe) الذي تم تنزيله هو منظم يقوم بفك تشفير ملف PE ثان, الذي يفك تشفير منارة CS ويحقنها في الذاكرة. هناك العديد من التقنيات التي تستخدمها CS لإخفاء المنارة وجعل اكتشافها أكثر صعوبة. MetaDefender Sandbox قادر على متابعة تدفق التنفيذ بشكل ثابت حتى يصل إلى منارة CS ويستخرج تكوينه. 

يخفي منظم CS ملف PE مشفر XOR في قسم .data الخاص به. يتوافق PE الثاني هذا مع ملف DLL ، يمكن التعرف عليه عبر رأس DLL المعروف (MZARUH) وهو بداية كعب محمل عاكس افتراضي لمنارة CS. وهذا يعني أن PE الأولي سيكون مسؤولا عن تخصيص ونسخ DLL للمحمل العاكس في الذاكرة ، وتحليل وحل عناوين وظائف الاستيراد وتنفيذ نقطة دخول DLL. أخيرا, سيقوم اللودر العاكس بفك تشفير منارة CS وتشغيلها في الذاكرة. 

يسلط هذا التحليل الفني ل CS الضوء على تعقيد وعمق التهديدات السيبرانية الحالية ويوضح MetaDefender Sandboxمحرك تهديد قوي ومتقدم يحلل بشكل فعال الهجمات متعددة الطبقات بسرعة ملحوظة.  

تتيح ميزة تفريغ وفك تجميع Python تحليلا أعمق ، وهو أمر ضروري للكشف عن الطبيعة الحقيقية للبرنامج الضار. لقد رأينا كيف أدى التفريغ إلى اتخاذ إجراءات إضافية تؤدي إلى اكتشاف واستخراج تكوين CS. 

يكشف استخراج تكوين البرامج الضارة دائما عن IOCs القيمة ويتيح التعرف الدقيق على البرامج الضارة. يعمل فريقنا المتخصص من محللي البرامج الضارة باستمرار على توسيع نطاق عائلات البرامج الضارة المدعومة ، مما يضمن تغطية شاملة وتمكين الكشف السريع عن التهديدات الناشئة.