Neues Trellix DotDumper-Update für optimierte Analyse von DotNet-basierter Malware

DotDumper (1)

DotDumper, der Open-Source-Entpacker von Trellix für DotNet-Framework-Zieldateien, wurde aktualisiert, um die Aktivitätsprotokollierung zu verbessern und SOC-Analysten bei der Erkennung von Malware zu unterstützen.  

Aber was genau macht DotDumper?

DotDumper ist ein nützliches Tool zur Analyse von DotNet-basierter Malware. Es erzeugt Log-Dateien mit Details zu Funktionsaufrufen und Speichersegmenten in verschiedenen Formaten, die von Analysten schnell untersucht werden können. Mit dem Tool können die Dateien auch gescannt und klassifiziert werden, was zusätzliche Erkenntnisse liefert und letztlich die Analyse und Reaktion auf Vorfälle beschleunigt. Dadurch können SOC-Analysten mehr Zeit für fortgeschrittene Analysen aufwenden.

Das öffentliche Update, das kürzlich eingeführt wurde, unterstützt:

  • unverwaltete Hooks für die Protokollierung erfolgreicher Prozessinjektionen,
  • einen GUI-basierten Protokollbetrachter und
  • eine verbesserte Verarbeitung von Kommandozeilenargumenten.

Diese Upgrades erweitern die Fähigkeit von DotDumper, mehr Daten mit besserem Kontext und besserer Korrelation zu erfassen. Der GUI-basierte Log-Viewer vereinfacht die Log-Analyse und spart SOC-Analysten noch mehr Zeit.

Weitere Informationen zum neuen DotDumper Update sind hier erhältlich.