MetaDefender Sandbox^™

Os documentos de malware que utilizam geofencing tornaram-se uma ameaça significativa para a cibersegurança. Estes ficheiros maliciosos empregam frequentemente accionadores baseados na localização, tornando a deteção e a atenuação uma tarefa difícil. No entanto, a Análise Adaptive de Ameaças destaca-se das abordagens tradicionais ao oferecer a capacidade de emular e falsificar com precisão os valores de geolocalização esperados, neutralizando eficazmente as tácticas utilizadas pelo malware, melhorando assim a nossa capacidade de proteção contra essas ameaças.

Na amostra fornecida abaixo, podemos observar um malware de delimitação geográfica tentando executar exclusivamente dentro de um país específico. No entanto, a nossa solução inovadora consegue contornar esta restrição, como mencionado anteriormente, emulando os valores de geolocalização desejados, demonstrando a nossa capacidade superior de combater estas ameaças baseadas em geofencing.

Ao renderizar sítios Web suspeitos e submetê-los ao nosso avançado motor de aprendizagem automática, somos capazes de identificar quase 300 marcas. No exemplo fornecido abaixo, pode ver um site russo mascarado como uma empresa de jogos de computador conhecida como Steam. A nossa solução é excelente na comparação do conteúdo do site com o URL genuíno, identificando rapidamente essas tentativas fraudulentas para salvaguardar os seus activos digitais e informações pessoais.

O modelo de ML do detetor de URL offline fornece uma nova camada de defesa ao detetar eficazmente URLs suspeitos, oferecendo um meio robusto para identificar e mitigar as ameaças colocadas por ligações maliciosas. Aproveita um conjunto de dados que contém centenas de milhares de URLs, meticulosamente rotulados como não ameaçadores ou maliciosos por fornecedores respeitáveis, para avaliar a viabilidade de detetar com precisão URLs suspeitos através de técnicas de aprendizagem automática.

É importante notar que esta funcionalidade é particularmente útil em ambientes com barreiras de ar, onde as pesquisas de reputação online não estão disponíveis.

A amostra abaixo revela um malware que foi empacotado usando a técnica de empacotamento UPX. Apesar da sua tentativa de evitar a deteção e as defesas, a nossa análise conseguiu descompactar o payload, expondo a sua verdadeira identidade como um Trojan Dridex. Conseguimos descobrir a configuração do malware, revelando a intenção maliciosa por detrás desta ameaça, extraindo IOCs valiosos.

Empregando a funcionalidade Similarity Search, a sandbox detectou um ficheiro notavelmente semelhante a um malware conhecido. Este ficheiro tinha sido previamente marcado como não malicioso, revelando o potencial de falsos negativos nas nossas avaliações de segurança. Esta descoberta permite-nos visar e retificar especificamente estas ameaças negligenciadas.

É importante sublinhar que a Pesquisa de Similaridade é muito valiosa para a pesquisa e caça de ameaças, uma vez que pode ajudar a descobrir amostras da mesma família ou campanha de malware, fornecendo IOCs adicionais ou informações relevantes sobre actividades de ameaças específicas.

Our disassembling engine revealed intriguing findings within the target sample. Surprisingly, this sample monitors the system time using the uncommon <rdtsc> instruction and accesses an internal, undocumented structure in Windows, commonly used for different malicious tricks. These unusual actions raise questions about its purpose and underscore the need for further investigation to assess potential risks to the system.

A amostra em análise foi criada utilizando a estrutura .NET. Embora nos abstenhamos de apresentar o CIL real, o nosso processo de descompilação extrai e apresenta informações dignas de nota, incluindo cadeias de caracteres, artefactos de registo e chamadas API .

Além disso, analisamos os metadados do .NET para identificar funções e recursos específicos do .NET. Esse processo permite extrair informações detalhadas sobre o assembly, como métodos, classes e recursos incorporados, o que é fundamental para analisar o comportamento e a estrutura dos aplicativos .NET.

Muitos exploits de aplicações trazem o seu payload final em formato binário bruto (shellcode), o que pode ser um obstáculo ao analisar o payload. Com a nossa emulação de shellcode, podemos descobrir e analisar o comportamento do payload final, neste exemplo para uma vulnerabilidade do Office amplamente aproveitada no editor de equações. Assim, abrimos a porta para a recolha dos IOCs relevantes.

As macros VBA ofuscadas representam um desafio significativo para a obtenção de um tempo de resposta razoável para as ameaças activas. Este código pouco claro torna a análise e a compreensão das ameaças uma tarefa altamente complexa que exige muito tempo e esforço. A nossa tecnologia de ponta de emulação de VBA consegue ultrapassar estes desafios e fornece uma análise exaustiva da macro VBA ofuscada, juntamente com informações claras sobre a sua funcionalidade em segundos.

A amostra analisada é um documento Excel com código VBA altamente ofuscado que descarrega e executa um ficheiro DLL .NET, juntamente com um ficheiro LNK encarregado de continuar a cadeia de execução do malware. Após a emulação do VBA, o MetaDefender Sandbox identifica os processos iniciados e a principal função de desofuscação, extrai automaticamente as cadeias de caracteres ofuscadas e guarda os ficheiros eliminados (previamente codificados e encriptados no código VBA). Isto mostra rapidamente o principal objetivo do malware e dá-nos a possibilidade de uma análise mais aprofundada desta ameaça.

A utilização do Agendador de Tarefas do Windows para executar cargas maliciosas mais tarde é uma técnica furtiva para contornar os ambientes de caixa de areia vistos em ameaças recentes. Explora o atraso na execução para contornar eficazmente a curta janela de análise típica das caixas de areia.

A amostra seguinte é um VBScript ofuscado que descarrega o payload malicioso e cria uma tarefa agendada para o executar 67 minutos mais tarde. As sandboxes tradicionais mantêm a execução durante apenas alguns minutos e o comportamento malicioso nunca seria exposto. Por outro lado, o nosso emulador de VBScript é capaz de detetar e ultrapassar esta técnica de evasão (T1497), adaptando o ambiente de execução para continuar a análise e obtendo o relatório completo em 12 segundos.

NET Reflection é um recurso poderoso fornecido pelo .NET framework que permite que os programas inspecionem e manipulem a estrutura e o comportamento de um arquivo .NET em tempo de execução. Permite o exame de assemblies, módulos e tipos, bem como a capacidade de criar dinamicamente instâncias de tipos, invocar métodos e aceder a campos e propriedades.

O malware pode utilizar a reflexão para carregar e executar dinamicamente código de assemblies que não são referenciados no momento da compilação, permitindo ir buscar cargas úteis adicionais a servidores remotos (ou escondidas no ficheiro atual) e executá-las sem as escrever no disco, reduzindo o risco de deteção.

Neste caso, podemos ver como o VBScript analisado carrega e executa um assembly .NET na memória diretamente a partir de bytes armazenados num registo do Windows.

Esta funcionalidade permite revelar artefactos ocultos encriptados nos recursos PE. Os artefactos maliciosos são frequentemente encriptados para evitar a deteção e ocultar a verdadeira intenção da amostra. A revelação destes artefactos é essencial, uma vez que normalmente contêm dados críticos (como informação C2) ou cargas úteis. Ao extraí-los, a área restrita pode fornecer uma análise mais profunda, com maior probabilidade de identificar os IOCs mais valiosos.

Esta amostra armazena os artefactos encriptados utilizando o algoritmo XOR, simples mas eficiente para evitar a deteção. Analisando padrões nos dados encriptados, a chave de encriptação pode ser adivinhada, permitindo desencriptar o oculto.