MetaDefender Sandbox^™

Les documents malveillants utilisant la géolocalisation sont devenus une menace importante pour la cybersécurité. Ces fichiers malveillants utilisent souvent des déclencheurs basés sur la localisation, ce qui rend la détection et l'atténuation difficiles. Cependant, l'analyse Adaptive des menaces se distingue des approches traditionnelles en offrant la possibilité d'émuler et de falsifier avec précision les valeurs de géolocalisation attendues, en neutralisant efficacement les tactiques employées par les logiciels malveillants, améliorant ainsi notre capacité à nous protéger contre de telles menaces.

Dans l'exemple ci-dessous, nous pouvons observer un logiciel malveillant de geofencing qui tente de s'exécuter exclusivement dans un pays spécifique. Cependant, notre solution innovante contourne avec succès cette restriction, comme indiqué précédemment, en émulant les valeurs de géolocalisation souhaitées, ce qui démontre notre capacité supérieure à contrer de telles menaces basées sur le geofencing.

En rendant les sites web suspects et en les soumettant à notre moteur d'apprentissage automatique avancé, nous sommes capables d'identifier près de 300 marques. Dans l'exemple ci-dessous, vous pouvez voir un site web russe se faire passer pour une société de jeux vidéo connue sous le nom de Steam. Notre solution excelle dans la comparaison du contenu du site avec l'URL authentique, ce qui permet d'identifier rapidement ces tentatives frauduleuses et de protéger vos actifs numériques et vos informations personnelles.

Le modèle d'apprentissage automatique du détecteur d'URL hors ligne fournit une nouvelle couche de défense en détectant efficacement les URL suspectes, offrant ainsi un moyen solide d'identifier et d'atténuer les menaces posées par les liens malveillants. Il s'appuie sur un ensemble de données contenant des centaines de milliers d'URL, méticuleusement étiquetés comme non menaçants ou malveillants par des fournisseurs réputés, afin d'évaluer la faisabilité de la détection précise d'URL suspects par des techniques d'apprentissage automatique.

Il est important de noter que cette fonction est particulièrement utile dans les environnements à accès aérien où les recherches de réputation en ligne ne sont pas disponibles.

L'échantillon ci-dessous révèle un logiciel malveillant emballé à l'aide de la technique d'emballage UPX. Malgré sa tentative d'échapper à la détection et aux défenses, notre analyse a réussi à décompresser la charge utile, révélant sa véritable identité en tant que cheval de Troie Dridex. Nous avons pu découvrir la configuration du logiciel malveillant, mettant en lumière l'intention malveillante derrière cette menace, en extrayant de précieux IOC.

En utilisant la fonctionnalité de recherche par similarité, le bac à sable a détecté un fichier ressemblant remarquablement à un logiciel malveillant connu. Ce fichier avait été précédemment marqué comme non malveillant, ce qui révèle la possibilité de faux négatifs dans nos évaluations de sécurité. Cette découverte nous permet de cibler et de rectifier spécifiquement ces menaces négligées.

Il est important de souligner que la recherche de similitudes est très utile pour la recherche et la chasse aux menaces, car elle peut aider à découvrir des échantillons de la même famille de logiciels malveillants ou de la même campagne, en fournissant des COI supplémentaires ou des informations pertinentes sur des activités de menace spécifiques.

Our disassembling engine revealed intriguing findings within the target sample. Surprisingly, this sample monitors the system time using the uncommon <rdtsc> instruction and accesses an internal, undocumented structure in Windows, commonly used for different malicious tricks. These unusual actions raise questions about its purpose and underscore the need for further investigation to assess potential risks to the system.

L'échantillon examiné a été construit à l'aide du cadre .NET. Bien que nous nous abstenions d'afficher le CIL proprement dit, notre processus de décompilation extrait et présente des informations dignes d'intérêt, notamment des chaînes de caractères, des artefacts de registre et des appels à API .

En outre, nous analysons les métadonnées .NET pour identifier les fonctions et les ressources spécifiques à .NET. Ce processus permet d'extraire des informations détaillées sur l'assemblage, telles que les méthodes, les classes et les ressources intégrées, ce qui est essentiel pour analyser le comportement et la structure des applications .NET.

De nombreux exploits d'application apportent leur charge utile finale dans un format binaire brut (shellcode), ce qui peut constituer un obstacle lors de l'analyse de la charge utile. Grâce à notre émulation du shellcode, nous sommes en mesure de découvrir et d'analyser le comportement de la charge utile finale, dans cet exemple pour une vulnérabilité d'Office largement exploitée dans l'éditeur d'équations. Cela ouvre la voie à la collecte des IOCs pertinents.

Les macros VBA obscurcies représentent un défi important pour obtenir un temps de réponse raisonnable aux menaces actives. Ce code peu clair fait de l'analyse et de la compréhension des menaces une tâche très complexe qui demande beaucoup de temps et d'efforts. Notre technologie d'émulation VBA de pointe est capable de relever ces défis et de fournir une analyse complète des macros VBA obscurcies ainsi qu'un aperçu clair de leur fonctionnalité en quelques secondes.

L'échantillon analysé est un document Excel contenant un code VBA fortement obfusqué qui dépose et exécute un fichier DLL .NET, ainsi qu'un fichier LNK chargé de poursuivre la chaîne d'exécution du logiciel malveillant. Après l'émulation VBA, MetaDefender Sandbox identifie les processus lancés et la principale fonction de désobfuscation, extrait automatiquement les chaînes obfusquées et enregistre les fichiers déposés (précédemment codés en dur et cryptés dans le code VBA). Cela montre rapidement l'objectif principal du logiciel malveillant et nous donne la possibilité d'une analyse plus approfondie de cette menace.

L'utilisation du planificateur de tâches de Windows pour exécuter ultérieurement des charges utiles malveillantes est une technique furtive d'évitement des environnements de bacs à sable observée dans les menaces récentes. Elle exploite le délai d'exécution pour contourner efficacement la courte fenêtre d'analyse typique des bacs à sable.

L'exemple suivant est un VBScript obscurci qui télécharge la charge utile malveillante et crée une tâche programmée pour l'exécuter 67 minutes plus tard. Les bacs à sable traditionnels ne maintiennent l'exécution que pendant quelques minutes et le comportement malveillant ne serait jamais exposé. En revanche, notre émulateur VBScript est capable de détecter et de surmonter cette technique d'évasion (T1497), en adaptant l'environnement d'exécution pour poursuivre l'analyse et obtenir le rapport complet en 12 secondes.

NET La réflexion est une fonctionnalité puissante fournie par le cadre .NET qui permet aux programmes d'inspecter et de manipuler la structure et le comportement d'un fichier .NET au moment de l'exécution. Elle permet d'examiner les assemblages, les modules et les types, ainsi que de créer dynamiquement des instances de types, d'invoquer des méthodes et d'accéder aux champs et aux propriétés.

Les logiciels malveillants peuvent utiliser la réflexion pour charger et exécuter dynamiquement du code à partir d'assemblages qui ne sont pas référencés au moment de la compilation, ce qui permet d'aller chercher des charges utiles supplémentaires sur des serveurs distants (ou cachées dans le fichier actuel) et de les exécuter sans les écrire sur le disque, réduisant ainsi le risque de détection.

Dans ce cas, nous pouvons voir comment le VBScript analysé charge et exécute un assemblage .NET dans la mémoire directement à partir d'octets stockés dans un registre Windows.

Cette fonction permet de révéler les artefacts cachés et cryptés dans les ressources de l'EP. Les artefacts malveillants sont souvent chiffrés pour échapper à la détection et masquer la véritable intention de l'échantillon. Il est essentiel de découvrir ces artefacts, car ils contiennent généralement des données critiques (comme des informations C2) ou des charges utiles. En les extrayant, le bac à sable peut effectuer une analyse plus approfondie, avec plus de chances d'identifier les CIO les plus précieux.

Cet échantillon stocke les artefacts chiffrés en utilisant l'algorithme XOR, simple mais efficace pour échapper à la détection. En analysant les schémas des données cryptées, la clé de cryptage peut être devinée, ce qui permet de décrypter les données cachées.