瞬间发现隐藏威胁 下一代恶意软件分析

采用地理围栏的恶意软件文件已成为网络安全的重大威胁。这些恶意文件通常采用基于位置的触发器，使检测和缓解成为一项具有挑战性的任务。然而，Adaptive 威胁分析技术能够准确模拟和伪造预期的地理位置值，有效化解恶意软件采用的策略，从而增强我们防范此类威胁的能力，因此在传统方法中脱颖而出。

在下面提供的示例中，我们可以看到一个地理围栏恶意软件试图只在特定国家内执行。然而，如前所述，我们的创新解决方案通过模拟所需的地理位置值，成功绕过了这一限制，显示了我们在应对此类基于地理围栏的威胁方面的卓越能力。

• 品牌检测：通过呈现可疑网站并将其置于我们先进的机器学习引擎之下，我们能够识别近 300 个品牌。在下面提供的示例中，您可以看到一个伪装成流媒体公司 Netflix 的网站。我们的解决方案能够将网站内容与真正的 URL 进行比较，迅速识别此类欺诈企图，保护您的数字资产和个人信息。了解更多信息。
• 人工智能驱动的分析：我们有一个人工智能驱动的解决方案，可以分析网络流量、渲染页面的结构和文本内容。可在 "ML 网络威胁模型 "后查看联合模型的结果。

离线 URL 检测器 ML 模型通过有效检测可疑 URL 提供了一个新的防御层，为识别和减轻恶意链接造成的威胁提供了一种强大的手段。它利用了一个包含数十万个URL的数据集，这些URL被知名供应商精心标注为无威胁或恶意，以评估通过机器学习技术准确检测可疑URL的可行性。

值得注意的是，这一功能在无法进行在线声誉查询的空中封闭环境中尤为有用。

下面的样本揭示了一个使用 UPX 打包技术打包的恶意软件。尽管该恶意软件试图躲避检测和防御，但我们的分析还是成功解压了有效载荷，暴露了其作为 Dridex 木马的真实身份。我们揭示了恶意软件的配置，揭示了这一威胁背后的恶意意图，并提取了有价值的 IOC。

利用相似性搜索功能，沙盒检测到一个与已知恶意软件极为相似的文件。值得注意的是，这个文件以前曾被标记为非恶意软件，这揭示了我们的安全评估中可能存在的假阴性。这一发现使我们能够专门针对并纠正这些被忽视的威胁。

必须强调的是，相似性搜索对威胁研究和猎杀具有很高的价值，因为它可以帮助发现来自同一恶意软件家族或活动的样本，提供更多的 IOC 或有关特定威胁活动的相关信息。

Our disassembling engine revealed intriguing findings within the target sample. Surprisingly, this sample monitors the system time using the uncommon <rdtsc> instruction and accesses an internal, undocumented structure in Windows, commonly used for different malicious tricks. These unusual actions raise questions about its purpose and underscore the need for further investigation to assess potential risks to the system.

本次检查的示例是使用 .NET 框架构建的。虽然我们没有显示实际的 CIL，但我们的反编译过程提取并展示了值得注意的信息，包括字符串、注册表工件和API 调用。

此外，我们还解析 .NET 元数据，以识别特定于 .NET 的函数和资源。通过这一过程，我们可以提取有关程序集的详细信息，如方法、类和嵌入式资源，这对于分析 .NET 应用程序的行为和结构至关重要。

许多应用程序漏洞的最终有效载荷都是原始二进制格式（shellcode），这在解析有效载荷时可能会造成障碍。利用我们的 shellcode 仿真，我们能够发现并分析最终有效载荷的行为，本例中的有效载荷就是方程编辑器中一个被广泛利用的 Office 漏洞。从而为收集相关 IOC 打开了大门。

混淆的 VBA 宏对提供合理的主动威胁响应时间提出了巨大挑战。这种不清晰的代码使得分析和理解威胁成为一项高度复杂的任务，需要花费大量的时间和精力。我们的尖端 VBA 仿真技术能够克服这些挑战，在数秒内对混淆的 VBA 宏进行全面分析，并对其功能提供清晰的见解。

所分析的样本是一个 Excel 文档，其中包含高度混淆的 VBA 代码，该代码会丢弃并运行一个 .NET DLL 文件，以及一个负责继续执行恶意软件执行链的 LNK 文件。在 VBA 仿真后，MetaDefender Sandbox 识别启动的进程和主要的解混淆功能，自动提取混淆字符串并保存丢弃的文件（之前在 VBA 代码中进行了硬编码和加密）。这迅速显示了恶意软件的主要目的，为我们进一步分析该威胁提供了可能。

利用 Windows 任务调度程序在稍后时间执行恶意有效载荷，是近期威胁中出现的一种躲避沙盒环境的隐蔽技术。它利用执行延迟有效绕过了沙箱典型的短暂分析窗口。

下面的示例是一个经过混淆的 VBScript，它可以下载恶意有效载荷，并创建一个计划任务在 67 分钟后运行。传统沙箱只能维持几分钟的执行，恶意行为永远不会暴露。另一方面，我们的 VBScript 仿真器能够检测并克服这种规避技术（T1497），调整执行环境以继续进行进一步分析，并在 12 秒内获得完整报告。

.NET反射是.NET框架提供的一项强大功能，允许程序在运行时检查和操作.NET文件结构和行为。它可以检查程序集、模块和类型，还可以动态创建类型实例、调用方法以及访问字段和属性。

恶意软件可以利用反射从编译时未引用的程序集动态加载和执行代码，从而从远程服务器（或隐藏在当前文件中）获取额外的有效载荷，并在不写入磁盘的情况下执行它们，从而降低被检测到的风险。

在本例中，我们可以看到所分析的 VBScript 是如何直接通过 Windows 寄存器中存储的字节将 .NET 程序集加载并运行到内存中的。

该功能可揭示 PE 资源中加密的隐藏工件。恶意人工制品通常会进行加密，以逃避检测并掩盖样本的真实意图。揭示这些人工制品至关重要，因为它们通常包含关键数据（如 C2 信息）或有效载荷。通过提取它们，沙箱可以进行更深入的扫描，更有可能识别出最有价值的 IOC。

该样本使用 XOR 算法存储加密文物，这种算法简单但高效，可以躲避检测。通过分析加密数据中的模式，可以猜出加密密钥，从而解密隐藏的数据。

攻击者利用存档连接将多个存档附加到一个文件中，利用不同工具处理存档的方式隐藏恶意软件。这种技术会创建多个中心目录（存档管理器使用的关键结构元素），从而在提取过程中造成差异，并绕过对隐藏在存档被忽略部分的恶意内容的检测。

MDSandbox 可检测并提取所有连接存档中的内容，确保不遗漏任何文件，并有效抵消这种规避技术。

威胁行为者利用沙箱中的资源限制和分析时间限制，故意在可执行文件中添加垃圾数据，以逃避检测。这种规避技术旨在通过超过时间限制来压垮工具或绕过扫描。

MD 沙箱能及早检测到臃肿的可执行文件，删除垃圾数据，并处理更小的文件以进行高效分析。这种卸载过程针对各种方法，包括覆盖层、PE 部分和证书中的垃圾数据，在确保准确检测的同时，还能节省原始资源。

该 Office 文件以伊朗的关键基础设施为目标（内容为波斯语），以窃取敏感信息，如凭证和文件，并定期截图，可能用于间谍目的。

在建立持久性后，它会执行隐蔽的初始互联网连接检查（针对可信域，如 google.com），以确保可靠的连接，并推迟进一步行动，直到网络条件允许攻击继续进行。这是对关键基础设施的攻击中常见的一种策略，在这些环境中，互联网访问可能是间歇性的或受限制的。

研究人员发现了故意损坏的 OOXML 文档（现代办公文档）。通过修改内部文件头附近的二进制内容，这些被故意破坏的文件可能会被试图提取压缩文件的自动扫描错误地检测为 ZIP 文件。

文档查看器会在打开文档时自动修复文档。此时，尽管文档包含网络钓鱼内容，但它可能已经有效地绕过了防御系统。自动分析将无法读取其内容，从而错过相关指标。

SPF、DKIM 和 DMARC 等电子邮件验证机制非常重要，但狡猾的攻击者有时会绕过这些机制。本示例展示了这样一种情况：尽管电子邮件由 Google 签名并通过了标准检查，但仍被MetaDefender Sandbox识别为恶意邮件。

MetaDefender Sandbox 检测到了几种异常情况以及其他指标：

• DKIM 边界违规：已识别的添加内容超出了 DKIM 签名的范围。
• 混淆技术：检测到用于隐藏恶意意图的过多空白。
• 网络钓鱼模式：识别出网络钓鱼企图所特有的紧急行动呼吁。
• 标题分析：标记与 OAuth 应用程序滥用相关的电子邮件标题异常。

ClickFix 是一种新出现的基于网络的威胁，它利用社交工程悄无声息地诱骗用户执行恶意命令。与传统的网络钓鱼不同，ClickFix 通过欺骗性用户体验元素和剪贴板操作，而不是文件下载或凭证窃取进行操作。

ClickFix 网站会显示一个虚假的验证码或 "僵尸保护 "屏幕，以显示其合法性。然后，用户会被要求验证自己--通常是通过一个看起来无害的交互--同时，在后台，被混淆的 JavaScript 代码会悄悄运行。该脚本动态解码恶意命令，并将其直接复制到系统剪贴板。接下来，用户会收到误导性指令，并在不知危险的情况下执行恶意软件。

ClickFix 强调了简单的网络技术如何与用户欺骗相结合，有效绕过传统的安全层，从而使沙箱分析成为发现类似这种隐蔽、低足迹攻击的关键。

MetaDefender Sandbox 对这种威胁进行端到端分析。沙箱首先渲染恶意 URL 并应用网络钓鱼检测模型来识别可疑内容。然后，它提取并模拟 JavaScript，模拟用户操作，以达到修改剪贴板的关键时刻。一旦捕获到隐藏命令，就会对其进行仿真，使沙箱能够完全跟踪恶意执行流程。这不仅暴露了基于剪贴板的策略，还揭示了有效载荷的行为和感染链。

SolarWinds 供應鏈攻擊事件說明了可信軟件中最小的代碼變化如何在繞過傳統安全防禦措施的同時實現大規模攻擊。威胁行为者在合法 DLL 中注入了一个隐蔽的后门，在保留原有功能的同时嵌入了恶意逻辑。有效载荷在模仿合法组件的并行线程中悄无声息地运行。凭借有效的数字签名和无缝行为，该 DLL 能够躲避检测，并允许数千名知名受害者秘密访问。对构建管道的破坏将可信更新变成了全球入侵的工具。

虽然 4,000 行的后门可能看起来很重要，但在大型企业源代码中，它很容易被忽视。这正是MetaDefender Sandbox 的优势所在：它不仅能检查代码，还能观察软件的行为。它可以标记出与正常行为的偏差，引导分析人员发现真正重要的问题，并穿过噪音，发现传统审查可能会忽略的威胁。