كشف التهديدات الخفية في ثوانٍ معدودة مع الجيل التالي من تحليل البرمجيات الخبيثة

لقد أصبحت ملفات البرمجيات الخبيثة التي تستخدم سياجاً جغرافياً تهديداً كبيراً للأمن السيبراني. وغالباً ما تستخدم هذه الملفات الخبيثة مشغلات تستند إلى الموقع الجغرافي، مما يجعل الكشف عنها والتخفيف من حدتها مهمة صعبة. ومع ذلك، يتميز التحليل Adaptive للتهديدات عن الأساليب التقليدية من خلال توفير القدرة على محاكاة وتزييف قيم الموقع الجغرافي المتوقعة بدقة، مما يؤدي إلى تحييد التكتيكات التي تستخدمها البرمجيات الخبيثة بشكل فعال، وبالتالي تعزيز قدرتنا على الحماية من هذه التهديدات.

في العينة المقدمة أدناه، يمكننا أن نلاحظ وجود برمجية خبيثة قائمة على السياج الجغرافي تحاول التنفيذ حصريًا داخل بلد معين. ومع ذلك، نجح حلنا المبتكر في تجاوز هذا القيد بنجاح، كما ذكرنا سابقًا، من خلال محاكاة قيم الموقع الجغرافي المطلوب، مما يدل على قدرتنا الفائقة في مواجهة مثل هذه التهديدات القائمة على السياج الجغرافي.

من خلال عرض المواقع الإلكترونية المشبوهة وإخضاعها لمحرك التعلُّم الآلي المتقدم الخاص بنا، يمكننا تحديد ما يقرب من 300 علامة تجارية. في المثال الوارد أدناه، يمكنك مشاهدة موقع إلكتروني روسي يتنكر في هيئة شركة ألعاب كمبيوتر معروفة باسم Steam. يتفوق الحل الذي نقدمه في مقارنة محتوى الموقع بعنوان URL الأصلي، ويحدد بسرعة مثل هذه المحاولات الاحتيالية لحماية أصولك الرقمية ومعلوماتك الشخصية.

يوفر نموذج ML كاشف عناوين URL غير المتصل بالإنترنت طبقة جديدة من الدفاع من خلال الكشف الفعال عن عناوين URL المشبوهة، مما يوفر وسيلة قوية لتحديد التهديدات التي تشكلها الروابط الخبيثة والتخفيف من حدتها. ويستفيد هذا النموذج من مجموعة بيانات تحتوي على مئات الآلاف من عناوين URL، التي تم تصنيفها بدقة على أنها إما لا تشكل تهديدًا أو خبيثة من قبل بائعين مرموقين، لتقييم جدوى الكشف الدقيق عن عناوين URL المشبوهة من خلال تقنيات التعلم الآلي.

من المهم أن نلاحظ أن هذه الميزة مفيدة بشكل خاص في البيئات التي لا تتوفر فيها عمليات البحث عن السمعة عبر الإنترنت.

يكشف النموذج أدناه عن برمجية خبيثة تم تعبئتها باستخدام تقنية التعبئة UPX. وعلى الرغم من محاولتها التهرب من الكشف والدفاعات، إلا أن تحليلنا نجح في فكّ الحمولة وكشف هويتها الحقيقية كحصان طروادة Dridex. وقد تمكنا من الكشف عن تكوين البرمجية الخبيثة، وتسليط الضوء على النوايا الخبيثة الكامنة وراء هذا التهديد، واستخراج معلومات قيمة عن مراكز عمليات إنترنت الأشياء.

باستخدام وظيفة البحث عن التشابه، اكتشف صندوق الرمل ملفًا يشبه بشكل ملحوظ أحد البرمجيات الخبيثة المعروفة. والجدير بالذكر أن هذا الملف كان قد تم تمييزه سابقًا على أنه غير ضار، مما يكشف عن إمكانية وجود سلبيات خاطئة في تقييماتنا الأمنية. يُمكّننا هذا الاكتشاف من استهداف هذه التهديدات التي تم التغاضي عنها وتصحيحها على وجه التحديد.

من المهم تسليط الضوء على أهمية البحث عن التشابه في البحث عن التهديدات ومطاردتها، حيث يمكن أن يساعد في الكشف عن عينات من نفس عائلة البرمجيات الخبيثة أو الحملة الخبيثة، مما يوفر معلومات إضافية عن عمليات التشغيل الدولية أو معلومات ذات صلة بأنشطة تهديد محددة.

Our disassembling engine revealed intriguing findings within the target sample. Surprisingly, this sample monitors the system time using the uncommon <rdtsc> instruction and accesses an internal, undocumented structure in Windows, commonly used for different malicious tricks. These unusual actions raise questions about its purpose and underscore the need for further investigation to assess potential risks to the system.

تم بناء العينة قيد الفحص باستخدام إطار عمل .NET. في حين أننا نمتنع عن عرض CIL الفعلي، فإن عملية فك التجميع لدينا تستخرج وتقدم معلومات جديرة بالملاحظة، بما في ذلك السلاسل ومقتنيات السجل والمكالمات API .

بالإضافة إلى ذلك، نقوم بتحليل البيانات الوصفية لـ .NET لتحديد الوظائف والموارد الخاصة بـ .NET. تسمح هذه العملية باستخراج معلومات مفصلة حول التجميع، مثل الأساليب والفئات والموارد المضمنة، وهو أمر بالغ الأهمية لتحليل سلوك وبنية تطبيقات .NET.

تجلب العديد من ثغرات التطبيقات حمولتها النهائية بتنسيق ثنائي خام (shellcode)، وهو ما قد يشكل عقبة عند تحليل الحمولة. من خلال محاكاة رمز الصدفة لدينا، يمكننا اكتشاف وتحليل سلوك الحمولة النهائية، في هذا المثال لثغرة Office المستغلة على نطاق واسع في محرر المعادلات. ومن ثم فتح الباب أمام جمع IOCs ذات الصلة.

تمثل وحدات الماكرو VBA غير الواضحة تحديًا كبيرًا لتقديم وقت استجابة معقول للتهديدات النشطة. هذا الرمز غير الواضح يجعل تحليل وفهم التهديدات مهمة معقدة للغاية تتطلب الكثير من الوقت والجهد. إن تقنية مضاهاة VBA المتطورة الخاصة بنا قادرة على التغلب على هذه التحديات وتوفر تحليلاً شاملاً لماكرو VBA المبهم مع رؤى واضحة حول وظائفه في ثوانٍ معدودة.

العينة التي تم تحليلها هي عبارة عن مستند Excel يحتوي على كود VBA مشفّر بشكل كبير يقوم بإسقاط وتشغيل ملف .NET DLL، إلى جانب ملف LNK المسؤول عن مواصلة سلسلة تنفيذ البرمجيات الخبيثة. بعد مضاهاة VBA، يحدد MetaDefender Sandbox العمليات التي تم إطلاقها ووظيفة إزالة التعتيم الرئيسية، ويستخرج تلقائيًا السلاسل المشوشة ويحفظ الملفات التي تم إسقاطها (التي تم ترميزها وتشفيرها مسبقًا في كود VBA). هذا يظهر بسرعة الغرض الرئيسي من البرمجية الخبيثة ويعطينا إمكانية إجراء مزيد من التحليل لهذا التهديد.

إن استخدام برنامج جدولة مهام ويندوز لتنفيذ الحمولات الخبيثة في وقت لاحق هو أسلوب خفي للتهرب من بيئات صناديق الرمل التي شوهدت في التهديدات الأخيرة. ويستغل هذا الأسلوب التأخير في التنفيذ لتجاوز نافذة التحليل القصيرة النموذجية لصناديق الرمل بفعالية.

النموذج التالي هو نموذج VBScript مبهم يقوم بتنزيل الحمولة الخبيثة وإنشاء مهمة مجدولة لتشغيلها بعد 67 دقيقة. تحافظ صناديق الرمل التقليدية على التنفيذ لبضع دقائق فقط ولن ينكشف السلوك الخبيث أبدًا. من ناحية أخرى، فإن محاكي VBScript الخاص بنا قادر على اكتشاف أسلوب التهرب هذا والتغلب عليه (T1497)، وتكييف بيئة التنفيذ لمواصلة التحليل، والحصول على التقرير الكامل في 12 ثانية.

يعد انعكاس NET Reflection ميزة قوية يوفرها إطار عمل .NET تسمح للبرامج بفحص بنية ملف .NET وسلوكه ومعالجته في وقت التشغيل. وهي تمكّن من فحص التجميعات والوحدات النمطية والأنواع، بالإضافة إلى القدرة على إنشاء مثيلات للأنواع بشكل ديناميكي واستدعاء الأساليب والوصول إلى الحقول والخصائص.

يمكن للبرمجيات الخبيثة استخدام الانعكاس لتحميل وتنفيذ التعليمات البرمجية ديناميكيًا من التجميعات التي لم تتم الإشارة إليها في وقت التجميع، مما يسمح بجلب حمولات إضافية من الخوادم البعيدة (أو المخفية في الملف الحالي) وتنفيذها دون كتابتها على القرص، مما يقلل من خطر اكتشافها.

في هذه الحالة، يمكننا أن نرى كيف يقوم VBScript الذي تم تحليله بتحميل وتشغيل تجميع .NET في الذاكرة مباشرةً من وحدات البايت المخزنة في سجل Windows.

تمكّن هذه الميزة من الكشف عن القطع الأثرية المخفية المشفرة ضمن موارد PE. وغالباً ما يتم تشفير القطع الأثرية الخبيثة لتجنب الكشف عنها وإخفاء الهدف الحقيقي للعينة. يعد الكشف عن هذه القطع الأثرية أمرًا ضروريًا، لأنها عادةً ما تحتوي على بيانات مهمة (كمعلومات C2) أو حمولات. ومن خلال استخراجها، يمكن لصندوق الرمل إجراء فحص أعمق، مع فرصة أكبر لتحديد أكثر مراكز العمليات الدولية قيمة.

تخزن هذه العينة تلك القطع الأثرية المشفرة باستخدام خوارزمية XOR، وهي خوارزمية بسيطة ولكنها فعالة للتهرب من الكشف. من خلال تحليل الأنماط في البيانات المشفرة، يمكن تخمين مفتاح التشفير، مما يسمح بفك تشفير المخفي.