在幾秒內發現隱藏的威脅 下一代惡意軟體分析

採用地理圍籬的惡意軟體檔案已成為網路安全的重大威脅。這些惡意檔案通常採用基於位置的觸發器，使得偵測和減緩成為一項極具挑戰性的任務。然而，適應性威脅分析 (Adaptive Threat Analysis) 藉由提供精確模擬與偽造預期地理位置值的能力，從而在傳統方法中脫穎而出，有效化解惡意軟體所採用的策略，進而提升我們防禦此類威脅的能力。

在下面提供的範例中，我們可以觀察到地理圍籬惡意軟體試圖只在特定國家執行。然而，如前所述，我們的創新解決方案透過模擬所需的地理位置值，成功繞過此限制，展現我們在對抗此類地理圍籬式威脅的優異能力。

透過渲染可疑的網站，並將它們交由我們先進的機器學習引擎處理，我們能夠識別出近 300 個品牌。在下面提供的範例中，您可以看到一個俄羅斯網站偽裝成 Steam 電腦遊戲公司。我們的解決方案可將網站內容與真正的 URL 進行比較，迅速識別此類詐騙企圖，以保障您的數位資產和個人資訊。

離線 URL 偵測器 ML 模型透過有效偵測可疑 URL 提供了新的防禦層，為識別和減緩惡意連結所造成的威脅提供了強大的手段。它利用包含數十萬個 URL 的資料集，由知名廠商仔細標籤為無威脅或惡意，以評估透過機器學習技術準確偵測可疑 URL 的可行性。

值得注意的是，此功能在無法進行線上信譽查詢的空氣隔離環境中特別有用。

下面的樣本揭示了一個使用 UPX 包裝技術包裝的惡意軟體。儘管惡意軟體試圖躲避偵測和防禦，我們的分析仍成功地解開了有效載荷，揭露了其真正身份為 Dridex 木馬程式。我們能夠發現惡意軟體的組態，揭露此威脅背後的惡意意圖，並擷取有價值的 IOC。

利用相似性搜尋功能，沙箱偵測到一個與已知惡意軟體極為相似的檔案。值得注意的是，此檔案之前曾被標示為非惡意，這顯示出我們的安全評估可能會出現錯誤的負面結果。這項發現讓我們能夠特別針對這些被忽略的威脅進行修正。

必須強調的是，相似性搜尋對於威脅研究和獵殺非常有價值，因為它可以協助發現來自相同惡意軟體系列或活動的樣本，提供額外的 IOC 或特定威脅活動的相關資訊。

Our disassembling engine revealed intriguing findings within the target sample. Surprisingly, this sample monitors the system time using the uncommon <rdtsc> instruction and accesses an internal, undocumented structure in Windows, commonly used for different malicious tricks. These unusual actions raise questions about its purpose and underscore the need for further investigation to assess potential risks to the system.

檢驗中的範例是使用 .NET framework 建立的。儘管我們不會顯示實際的 CIL，但我們的逆向編譯程序會擷取並顯示值得注意的資訊，包括字串、登錄工件和API 呼叫。

除此之外，我們還會解析 .NET 元資料，以辨識 .NET 特有的功能和資源。這個過程允許抽取有關程序集的詳細資訊，例如方法、類別和內嵌資源，這些資訊對於分析 .NET 應用程式的行為和結構至關重要。

許多應用程式攻擊會以原始二進位格式（shellcode）帶來最終的有效載荷，這在解析有效載荷時可能會造成障礙。使用我們的 shellcode 模擬，我們能夠發現和分析最終有效載荷的行為，在本範例中，我們發現了方程式編輯器中廣泛利用的 Office 漏洞。因此打開了收集相關 IOC 的大門。

混淆的 VBA 巨集對於提供合理的主動威脅回應時間是一大挑戰。這種不清楚的程式碼使得分析和瞭解威脅成為一項高度複雜的任務，需要耗費大量的時間和心力。我們最先進的 VBA 模擬技術能夠克服這些挑戰，並在幾秒鐘內對混淆的 VBA 巨集進行全面分析，並清楚瞭解其功能。

所分析的樣本是一份 Excel 檔案，其中包含高度混淆的 VBA 程式碼，可丟放並執行 .NET DLL 檔案，以及負責繼續惡意軟體執行鏈的 LNK 檔案。在 VBA 模擬之後，MetaDefender Sandbox 識別出啟動的進程和主要的解混淆功能，自動擷取混淆字串並儲存掉落的檔案 (先前在 VBA 程式碼中硬編碼和加密)。這可迅速顯示惡意軟體的主要目的，並提供我們進一步分析此威脅的可能性。

使用 Windows 任務排程在稍後的時間執行惡意有效載荷，是最近威脅中出現的迴避沙箱環境的隱匿技術。它利用執行延遲來有效繞過沙箱典型的短分析Windows。

以下範例是經過混淆的 VBScript，它會下載惡意的有效載荷，並建立排程任務在 67 分鐘後執行。傳統的沙箱只能維持執行幾分鐘，惡意行為就永遠不會暴露。另一方面，我們的 VBScript 模擬器能夠偵測並克服這種迴避技術 (T1497)，調整執行環境以繼續進一步分析，並在 12 秒內取得完整報告。

.NET反射是.NET框架提供的一項強大功能，它允許程式在執行時檢查和操作.NET檔案結構和行為。它可以檢查程式集、模組和類型，並能夠動態建立類型的實體、調用方法以及存取欄位和屬性。

惡意軟體可以使用反射動態載入並執行編譯時未引用的程式集代碼，從遠端伺服器（或隱藏在目前檔案中）取得額外的有效載荷，並在不寫入磁碟的情況下執行，降低偵測風險。

在這個案例中，我們可以看到所分析的 VBScript 如何直接從 Windows 暫存器中儲存的位元組，將 .NET 程序集載入並執行到記憶體中。

此功能可揭示 PE 資源中加密的隱藏藝術品。惡意的 artifact 經常被加密，以逃避偵測並隱藏樣本的真正意圖。揭露這些人工制品非常重要，因為它們通常包含關鍵資料 (如 C2 資訊) 或有效載荷。透過擷取它們，沙箱可以提供更深入的掃描，有更高的機會識別出最有價值的 IOC。

本範例使用 XOR 演算法儲存加密的人工智慧，簡單但有效率地躲避偵測。透過分析加密資料中的模式，可以猜測加密金鑰，從而解密隱藏的資料。