Trend Micro NDR [Lab] Lab 11 - Cấu hình và sử dụng Sandbox Analysis trên Trend Vision One

H

Hoàng Doanh

Intern
Sau khi Trend Vision One phát hiện các hành vi bất thường và tạo Workbench Alert, bước tiếp theo trong quá trình điều tra là phân tích sâu các object đáng ngờ liên quan đến alert. Các object này có thể là URL, domain, file hoặc executable được hệ thống ghi nhận trong quá trình phát hiện.

Trong Trend Vision One, Sandbox Analysis hỗ trợ analyst kiểm tra object đáng ngờ trong môi trường phân tích cô lập. Tính năng này giúp xác định mức độ rủi ro, trích xuất IOC, phân tích hành vi tĩnh/động và liên kết kết quả phân tích với các Workbench Alert liên quan.

I. Tổng quan về Sandbox Analysis

Sandbox Analysis là tính năng cho phép gửi object đáng ngờ vào môi trường phân tích để kiểm tra sâu hơn. Thay vì chỉ dựa vào detection ban đầu, sandbox giúp analyst xác minh object dựa trên hành vi, đặc điểm file, network activity và các dấu hiệu liên quan đến malware.​
Các object có thể submit gồm:​
  • File
  • URL
Kết quả phân tích có thể bao gồm:​
  • Risk level.
  • Threat type.
  • SHA-1, SHA-256, MD5.
  • Static analysis.
  • Dynamic analysis.
  • Process graph.
  • Dropped/downloaded files.
  • Network destinations.
  • Suspicious objects.
  • MITRE ATT&CK tactics and techniques.
  • Associated Workbench Alerts.
Tính năng này đóng vai trò như một bước mở rộng sau detection, giúp analyst chuyển từ việc có alert sang xác minh object liên quan đến alert.​

II. Submit object từ Workbench sang Sandbox Analysis

Bước 1: Mở Workbench case có object đáng ngờ
Trong attack graph của Workbench, hệ thống hiển thị luồng kết nối từ host nội bộ đến một URL đáng ngờ là http://trend-micro-test.com/submit.php?id=97219. URL này là một object liên quan trực tiếp đến alert, và trên chính giao diện Workbench này, analyst có thể chọn Object để thực hiện hành động response như là gửi Object đến Sandbox phân tích.​
1780707026044.png
Sau khi chọn Submit for Sandbox Analysis, hệ thống mở cửa sổ Submit for Sandbox Analysis Task. Trong cửa sổ này, target được tự động điền là URL được chọn từ Workbench. Sau đó nhấn Create để tạo task phân tích sandbox.​
1780707056108.png
Bước 3: Kiểm tra task trong Sandbox Analysis
Sau khi submit từ Workbench, truy cập: Threat Intelligence → Sandbox Analysis.​
1780707132327.png
Trong danh sách object, URL vừa gửi xuất hiện với submitter là: Workbench. Điều này cho thấy object được gửi sang Sandbox từ ngữ cảnh điều tra Workbench, không phải submit thủ công.​
1780707138093.png
Trong bài lab này, URL hiển thị trạng thái Not analyzed vì Virtual Analyzer không thể truy cập URL. Tuy nhiên, object vẫn được ghi nhận trong Sandbox Analysis và có thể liên kết với các Workbench Alert liên quan.​
1780707210211.png
Bước 4: Kiểm tra Associated Workbench Alerts của URL
Trong tab Associated Workbench Alerts, Trend Vision One hiển thị các alert liên quan đến URL đã submit. Sandbox Analysis không chỉ hiển thị kết quả phân tích object, mà còn giữ liên kết giữa object đó với các Workbench Alert liên quan. Điều này giúp analyst điều tra theo hướng object-centric: từ một URL hoặc file đáng ngờ có thể truy ngược lại các alert/case liên quan.​
1780707235610.png
IV. Submit object thủ công trong Sandbox Analysis

Bước 1: Truy cập Sandbox Analysis
Ngoài việc submit object từ Workbench, Trend Vision One cũng cho phép analyst submit thủ công object trực tiếp trong giao diện Sandbox Analysis. Tại giao diện Sandbox Analysis, nhấn Submit Object. Hệ thống cho phép chọn loại object cần submit, gồm File và URLs.​
1780707292205.png
Bước 2: Submit file thủ công
Trong bài lab, mình chọn submit loại File và upload file: hollowing_v3.exe - đây là 1 file malware. Sau đó nhấn Submit Object để gửi file vào Sandbox Analysis.​
1780707421047.png
Bước 3: Kiểm tra trạng thái phân tích
Sau khi submit, file hollowing_v3.exe xuất hiện trong danh sách Sandbox Analysis với submitter là Sandbox Analysis. Kết quả phân tích cho thấy file có Risk level = High, Sandbox đã xử lý file thành công và đánh giá file có mức rủi ro cao. Threat Type được ghi nhận là Dropper/Backdoor​
1780707451204.png
V. Phân tích kết quả report

Sau khi quá trình sandbox hoàn tất, file hollowing_v3.exe được đánh giá với risk level High. Ở giao diện tổng quan, Sandbox Analysis sẽ hiện các thông tin tổng quan như File Hash, Analyzer và Detection Name...​
1780707560964.png
Trong tab Static Analysis, hệ thống phân tích file ở trạng thái tĩnh, bao gồm thông tin PE file, hash và các kỹ thuật MITRE ATT&CK có liên quan.​
Các kỹ thuật này cho thấy file có dấu hiệu sử dụng API ở mức hệ thống, có khả năng tải hoặc truyền công cụ, và có các đặc điểm liên quan đến che giấu hoặc ngụy trang.​
1780707565678.png
Ngoài ra, với mỗi kĩ thuật, Trend Vision One còn liệt kê nhiều ví dụ threat/malware family từng sử dụng kiểu kỹ thuật có liên quan.​
1780707569217.png
Trong tab Dynamic Analysis, sandbox thực thi file trong môi trường cô lập và ghi nhận hành vi thực tế. Kết quả phân tích động cho thấy file có risk level High trong môi trường Windows 11.​
1780707576269.png
1780707580634.png
Process graph cho thấy toàn bộ cây tiến trình của process hollowing_v3.exe khi thực thi. Một số tiến trình được đánh dấu là Created hoặc Created AND Injected, cho thấy sandbox ghi nhận hành vi tạo tiến trình và có dấu hiệu injection.​
1780707583957.png
Dynamic Analysis ánh xạ hành vi của file sang nhiều tactic và technique theo MITRE ATT&CK. Việc ánh xạ theo MITRE ATT&CK giúp analyst hiểu rõ hơn file đang thể hiện hành vi thuộc giai đoạn nào trong attack lifecycle.​
1780707587236.png
Sandbox cũng ghi nhận các đặc điểm đáng chú ý của file theo từng category lớn.​
1780707590065.png

Phần Network Destinations ghi nhận các domain/IP mà file truy cập trong quá trình phân tích.

1780707592900.png


Đến mục Analysis, Analyzer sẽ liệt kê chi tiết từng hành động mà object đã thực hiện như các lời gọi API...

1780707595612.png


Ở section cuối, Sandbox ghi nhận file hollowing_v3.exe có hành vi tạo hoặc thả ra một file khác tên mpclient.dll. Dù mpclient.dll được đánh giá là “No risk detected”, việc một executable tạo thêm file trong quá trình chạy vẫn là một hành vi đáng chú ý, vì đây có thể là dấu hiệu của dropper, loader hoặc payload phụ trong các mẫu malware thực tế. Và thực tế, file mpclient.dll này chính là backdoor mà hollowing_v3.exe đã để lại trên system.

1780707598344.png
 

Đính kèm

  • 1780707201398.png
    1780707201398.png
    91.1 KB · Lượt xem: 0
Bài viết liên quan
[Lab] Lab 12 - Cấu hình Security Playbook bởi Hoàng Doanh,
[Lab] Lab 10 - Demo phát hiện hành vi C2 và Reverse Shell giả lập trong mạng nội bộ bằng Trend Micro NDR bởi Hoàng Doanh,
[Lab] Lab 09 - Cấu hình Asset Discovery Scan trên Trend Vision One bởi Hoàng Doanh,
[Lab] Lab 08 - Cấu hình gửi email khi có Workbench Alert trên Trend Vision One bởi Hoàng Doanh,
Cấu hình đẩy mirroring traffic để Virtual Network Sensor phân tích bởi Thanh Phương,
Thực hiện cài đặt Virtual Network Sensor trên Vcenter, Kiểm tra onboard bởi Thanh Phương,
Được quan tâm
[Lab] Lab 12 - Cấu hình Security Playbook bởi Hoàng Doanh,
[Lab] Lab 08 - Cấu hình gửi email khi có Workbench Alert trên Trend Vision One bởi Hoàng Doanh,
[Lab] Lab 10 - Demo phát hiện hành vi C2 và Reverse Shell giả lập trong mạng nội bộ bằng Trend Micro NDR bởi Hoàng Doanh,
[Lab] Lab 09 - Cấu hình Asset Discovery Scan trên Trend Vision One bởi Hoàng Doanh,
Bài viết mới
[Lab] Lab 12 - Cấu hình Security Playbook bởi Hoàng Doanh,
[Lab] Lab 10 - Demo phát hiện hành vi C2 và Reverse Shell giả lập trong mạng nội bộ bằng Trend Micro NDR bởi Hoàng Doanh,
[Lab] Lab 09 - Cấu hình Asset Discovery Scan trên Trend Vision One bởi Hoàng Doanh,
[Lab] Lab 08 - Cấu hình gửi email khi có Workbench Alert trên Trend Vision One bởi Hoàng Doanh,
Cấu hình đẩy mirroring traffic để Virtual Network Sensor phân tích bởi Thanh Phương,
Thực hiện cài đặt Virtual Network Sensor trên Vcenter, Kiểm tra onboard bởi Thanh Phương,
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top