El malware analizado es una variante de ransomware sin archivos llamada 'Cryptomine' que aprovecha las vulnerabilidades de los servidores de Microsoft Exchange para infiltrarse en los sistemas.
Una vez infiltrado, aprovecha PowerShell para ejecutar código malicioso, cifrar datos confidenciales y exigir un rescate.
Cryptomine utiliza técnicas de ofuscación y establece puertas traseras persistentes para evadir la detección, ya que sus dependencias de malware incluyen PowerShell, Windows Server 2019 y ciertas conexiones de red.
Los indicadores de compromiso (IOC) asociados con Cryptomine incluyen actividad inusual de PowerShell, archivos cifrados con ciertas extensiones y tráfico de red para comandar y controlar servidores.
actividad maliciosa
ANY.RUN agiliza los informes de análisis de malware y permite a los usuarios recuperar detalles importantes con un solo clic. Allí puede descargar informes de texto completos, tráfico de red (PCAP) y claves de cifrado (SSL), analizar datos de solicitud/respuesta y extraer configuraciones de malware de la memoria. Haga un volcado y visualice el flujo del proceso utilizando gráficos de proceso.
Este informe asigna tácticas, técnicas y procedimientos (TTP) de atacantes al marco MITRE ATT&CK para proporcionar una vista estandarizada. Esto se demuestra en el informe de muestra de malware de RedLine.
Informe de malware de texto
Los informes HTML proporcionan una solución integral y personalizable para analizar muestras de malware. Genera automáticamente informes detallados que contienen información sobre procesos, actividad de registro, tráfico de red, indicadores de compromiso (IOC), capturas de pantalla y gráficos de comportamiento de procesos.
Los usuarios pueden personalizar fácilmente los informes para incluir solo secciones relevantes y compartirlos o imprimirlos directamente. También puede acceder a informes a través de API para integrarlos en otros sistemas y flujos de trabajo.
Descripción general de JSON
Los informes JSON brindan una descripción general completa de toda la información relacionada con las tareas y brindan un formato estructurado y legible por máquina para un análisis detallado.
Al analizar este archivo, los usuarios pueden extraer puntos de datos importantes, como el ID de la tarea, el tiempo de ejecución, la línea de comando y los procesos asociados. Esto permite la identificación y el análisis precisos de las huellas del malware, lo que facilita una investigación exhaustiva y la generación de informes completos de la actividad maliciosa.
Exportar → STIX
ANY.RUN le permite exportar datos de análisis de amenazas en un formato STIX estandarizado para una integración perfecta con sistemas de gestión de eventos e información de seguridad (SIEM).
Este informe STIX incluye detalles como enlaces de sesión de espacio aislado, hashes de archivos, análisis de tráfico de red, cambios en el sistema de archivos y tácticas, técnicas y procedimientos (TTP) utilizados por las amenazas para ayudar a los analistas de seguridad y a los incidentes. Permite a los equipos de respuesta compartir datos de amenazas entre diferentes plataformas. Permite una detección y respuesta más rápida y eficiente.
Contenido de solicitud/respuesta
También proporciona tráfico de red capturado en formato PCAP junto con una clave SSL para descifrado, lo que permite un análisis más profundo de archivos sospechosos e inspecciona el contenido de la solicitud/respuesta, incluidos encabezados y flujos de datos, para identificar maliciosos. Podrá identificar ciertos patrones de comunicación.
¡Regístrese en ANY.RUN gratis y analice malware ilimitado!
La extracción de datos de configuración del volcado de memoria del malware revela cadenas cifradas, detalles del servidor C2 (dirección IP, puerto), apellido, versión y mutex utilizados para la persistencia. Esta combinación de captura de red y análisis de memoria proporciona a los investigadores una comprensión completa. Comportamiento del malware y canales de comunicación.
Configuración de malware
Los analistas de seguridad pueden comprender rápidamente el comportamiento del malware a través de gráficos de procesos que mapean visualmente las actividades del programa y sus relaciones, lo que les permite identificar de manera eficiente amenazas potenciales e identificar intenciones maliciosas en todos los programas.
Se pueden realizar análisis adicionales explorando tácticas y técnicas de muestra utilizando la matriz MITRE ATT&CK. Los repositorios públicos de malware como ANY.RUN, por otro lado, tienen acceso a vastas bases de datos para comparar, lo que permite una investigación más profunda.
Finalmente, el informe de IA proporciona una descripción detallada, legible por humanos, de la actividad sospechosa observada durante la ejecución de malware, lo que proporciona información valiosa para la evaluación de amenazas.
Únase a ANY.RUN hoy y obtenga acceso ilimitado a análisis completos de malware de forma rápida y sencilla.
