Intezer - мощный инструмент для поиска скрытых угроз

Всем привет, в настоящее время очень часто можно найти такие темы на форуме по типу:
"Помогите, как понять есть ли майнер", "рат", и так далее. Мы знаем, что такие вирусы обычно находятся почти что всегда в оперативной памяти
вашего компьютера, в последствии для нашего инструмента будут легки в обнаружении.​

Многие знают, что ратники,майнеры, находятся обычно всегда в "активности", но на их сокрытие могут использоваться несколько средств, таких как: закрытие билда при включении пользователем различных утилит, как диспетчер задач, процессхакер и тому подобные, следовательно, их обнаружение значительно усложняется, есть еще более хитрые процессы, они инжектят себя в другой совершенно процесс: хром, свцхост и так далее, что делает их почти что нереальными для обнаружения.

Немного поговорим об intezer:
Intezer - это сайт, предоставляющих свои технологии для обнаружения различных угроз как ваших одиночных файлов, так и сканирования всей цепочки файлов в вашей оперативе, посредством создания дампа и дальнейшего его анализа. Сайт использует свои облачные технологии и методы (а не привычный нищий скантайм, который уже обходит любой крипт чуть ли не за 5 долларов), что усложняет жизнь вашему вирусу, который достаточно хорошо скрыт.
Вид главной страницы сайта:
​

Регистрация на сайте довольно простая, поэтому объяснять я ее не буду, все делается достаточно просто по этой ссылке: https://analyze.intezer.com/create-account

В чем же основная суть данного сайта? Данный проект предоставляет нам доступ к утилите, которая легко, сканируя всю память на своих виртуальных машинах, посредством анализа, определяет, как ведет себя файл и выявляет в нем угрозу, причем, файл определяет также и DLL, которые могут скрыто инжектить себя в безобидные процессы.
​

Endpoint Analyze:
​

1) Переходим по этой ссылке https://analyze.intezer.com/scan?tab=endpoint
2) Нажимаем на кнопку Scan Endpoint
3) Нас перекидывает на следующую страницу: ​

*Как же все это работает?​

Сканирование: Сканер собирает работающий код из памяти и отправляет его в Intezer Analyze. Сканирование занимает примерно пять-десять минут. Первое сканирование может занять больше времени. Обратите внимание: сканер собирает только исполняемый код, а не ********* или любые другие данные, которые не являются двоичным кодом.
Анализ: Собранные модули анализируются с помощью технологии Genetic Malware Analysis.
Просмотр результатов: Система предоставляет отчет об анализе конечной точки​

4) Скачиваем Endpoint Scanner по кнопке

Итак, перейдем к основной сути, мы рассмотрим все на примере угрозы майнера, который скрывается при открытии задач, можно заметить, что при открытии особой нагрузки в диспетчере задач не наблюдается, следовательно, создается чувство, что все безопасно, но мы скачаем и запустим нашу утилиту.
5) После установки у нас есть такой файл
6) Запускаем его, затем появляется такая консоль
7)Заходим на https://analyze.intezer.com/account-details и жмем кнопку generate api key

8) Берем и вставляем его в программу и видим, что все работает.

9) Затем переходим по этой ссылке https://analyze.intezer.com/history?tab=endpoint
И видим свой анализ
10) Анализируем!
11) Как видите, это склейка малваря Amadey, который был внедрен в системный процесс conhost, плюсом еще одного неизвестного файла ss31, хотя казалось, что вроде как диспетчер задач чистый.
12) Тут показывается полная информация о нем (просто кликните на процесс), где и как файл хранится, что он пытался делать, как взаимодействовал

На этом статья окончена, спасибо за чтение, надеюсь, что это будет как-то да полезно вам.
*******
У тех, у кого темпайл не работает, используйте вот этот сервис с обновленными доменами почт - https://tmailor.com/ru ​