国外VPS主机测评
恶意软件分析涵盖各种活动,包括检查网络流量是否存在恶意软件。 有效完成这项工作的关键是了解常见威胁以及如何克服它们。 以下是企业可能遇到的三个常见问题以及解决这些问题所需的工具。
解密 HTTPS 流量
安全超文本传输协议 (HTTPS) 最初是用于确保安全的在线通信已成为恶意软件隐藏其恶意活动的工具。 通过欺骗受感染设备和命令与控制 (C&C) 服务器之间的数据交换,恶意软件可以在不被发现的情况下运行、窃取敏感数据、安装额外的攻击负载,并发起来自攻击者组织的攻击。 操作说明。
但是,使用正确的工具解密 HTTPS 流量很容易。 为此,您可以使用中间人 (MITM) 代理。 MITM 代理充当客户端和服务器之间的中介,可以拦截它们之间发送的信息。
MITM 代理可帮助分析人员实时监控恶意软件网络流量并清楚了解恶意活动。 此外,分析人员还可以访问请求和响应数据包、IP 和 URL 的内容,以查看恶意软件通信的详细信息并识别被盗数据。 该工具对于提取恶意软件使用的 SSL 密钥特别有用。 有用。
图 1. ANY.RUN 沙箱提供的有关 AxileStealer 的信息
这在此例如,初始文件(大小为 237.06 KB)会删除 AxilStealer 可执行文件(大小为 129.54 KB)。 作为经典一种可以访问网络浏览器中存储的密码的信息窃贼开始通过 Telegram 消息连接向攻击者发送密码。
规则“STEALER [ANY.RUN] 尝试通过 Telegram 进行渗透”表明存在恶意活动。 借助 MITM 代理功能,恶意软件流量被解密并揭示了事件的详细信息。
恶意软件家族检测
恶意软件家族识别是网络调查的重要组成部分。 Yara 规则和 Suricata 规则是用于此任务的两种常用工具,但在处理服务器不再活动的恶意软件样本时,它们的有效性可能会受到限制。
FakeNET 通过创建虚假服务器连接来响应恶意软件请求,从而提供了解决此问题的方案。 诱骗恶意软件发送请求可以触发 Suricata 或 YARA 规则,从而准确识别恶意软件系列。
图 2. ANY.RUN 沙箱检测到的非活动服务器
在分析过程中,Sandbox 指出发现恶意软件的服务器没有响应的事实。
图 3. 使用 FakeNET 识别出的 Smoke Loader 恶意软件
但是,在启用 FakeNET 后立即功能中,恶意软件向虚假服务器发送请求并触发网络规则,将其识别为 Smoke Loader。
捕获特定区域的隐藏恶意软件许多攻击和网络钓鱼活动都集中在特定地区或国家。 这些与 IP 地理定位、语言检测和网站阻止等机制相结合,这可能会限制分析人员检测它们的能力。
除了针对特定地区之外,恶意软件组织还可能使用技术来逃避沙箱环境中的分析活动。 常见的做法是确保您的系统使用数据中心的 IP 地址。 一旦确认,恶意软件将停止运行。
为了克服这些障碍,分析师使用住宅代理。 这个出色的工具的工作原理是将分析师设备或虚拟机的 IP 地址替换为世界不同地区普通用户的住宅 IP 地址。
此功能允许专业人员冒充本地用户绕过地理限制并进行恶意活动,而无需暴露沙箱环境,您可以进行调查。
图 4. 使用 FakeNET 识别出的 Smoke Loader 恶意软件
完成此操作后,主机 IP 地址将被上传到沙箱。 ,Xworm只是立即检查并获取IP地址。 但是,由于虚拟机有驻留代理,因此恶意软件会继续运行并连接到命令和控制服务器。
评论前必须登录!
注册