مقدمه تحلیل بدافزار

در این دنیای قرن 21 ام که ما در آن زندگی می کنیم، همراه با سرعت سرسام آور شد و پیشرفت دنیای سایبری، تقریبا تمامی جوانب زندگی ما به اینِ جهان بر پایه ی IT وابسته است. بیش از 4.5 میلیارد کاربر در سرتاسر جهان از طریق حدود 2 میلیارد وبسایت فعال موجود، از قابلیت های شبکه ی اینترنت استفاده می کنند.

اما مزیت هایی که دنیایی سایبری در زندگی روزمره ی ما به ما ارائه می دهد تنها یک بخش قضیه است. در روی دیگر سکه، در سال های اخیر، خطرات احتمالی دنیای سایبری تبدیل به یکی از بزرگترین تهدیدات برای رشد و ادامه فعالیت کسب و کار ها و افراد شده است. یکی از شناخته شده ترین انواع این تهدیدات معمولا تحت عنوان بدافزار ها شناخته می شوند. واژه بدافزار غالبا به طیف سترده ای از نرم افزار ها با رفتار های مخرب از قبیل ویروس ها، تروژان ها، باج افزار ها (Ransomware)، درهای پشتی و دیگر نرم افزار ها از این دست اطلاق می شود.

طیق تحقیقات اخیر، حملات صورت گرفته از طریق استفاده از بدافزار ها در سال های اخیر عنوان زیانبار ترین تهدیدات سایبری را با بیش از 2.6 میلیون دلار خسارت به ازای هر حمله به طور میانگین و هم چنین توقفِ تا سقف 50 روزه ی تیم R&D سازمان ها به دست آورده اند. در این شرایط اما، آنالیزگر های امنیت و متخصصان حوزه دفاع سایبری برای مقابله با این خطرات در سال های اخیر روش های مختلفی را به کار برده اند. یکی از این روش ها معمولا میان متخصصان امنیتی با نام “آنالیز بدافزار” شناخته می شود.

اهداف آنالیز بدافزار ها

هدف اصلی و ابتدایی آنالیز بدافزار ها کسب بیشترین اطلاعات ممکن راجع به یک بدافزار شناسایی شده می باشد. این اطلاعات می توانند به یک متخصص امنیتی کمک کنند تا نقشه ی پاسخگوی به حادثه سایبری (incident response plan) مناسبی را انتخاب کند و هم چنین موجب بهبود لایه ی دفاعی یک سازمان نیز می شود.

این روش هم چنین، به یک سازمان این قابلیت را می دهد پیش از آسیب رسیدن به دارایی هایش یک بدافزار را شناسایی کرده ، با آن مقابله کند و عم چنین خطرات احتمالی آن را خنثی کند.

علاوه بر آن، با وارد کردن اطلاعات حاصله از روند آنالیز بدافزار ها در سیستم SIEM یک سازمان، شانس حملات احتمالی آینده با استفاده از روش های مشابه به طرز قابل توجهی کاهش پیدا می کند.

مزیت های استفاده از آنالیز بدافزار چیست؟

فرایند آنالیز بدافزار ها دامنه ی گسترده ای از مزیت ها را در اخیار یک متخصص امنیت می گذارد. برای مثال، با استفاده از این رویکرد، می توان به راحتی حوادث امنیتی رخ داده را بر اساس سطح تهدید امنیتی آن ها اولویت بندی کرد. هم چنین، این روش به شما این امکان را می دهد که IOC های بیشتری را یافته و از این طریق عملکرد سیستم هشدار IOC خود را نیز تا حد قابل توجهی بهبود ببخشید. علاوه بر تمامی این ها، اطلاعات استخراج شده از آنالیز بدافزار ها می تواند در فرایند شکار تهدیدات سایبری هم بسیار تاثیر گذار و مفید باشد.

4 مرحله آنالیز بدافزار ها

فرایند آنالیز بدافزار ها می تواند در 4 مرحله ی کلی خلاصه شود. هر کدام از این مراحل برای پیشروی به مرحله ی بعد نیازمند سطح بالاتری از مهارت و تجربه در امر آنالیز بدافزار ها می باشد.

  1. آنالیز کاملا خودکار

استفاده از ابزار های آناالیز خودکار نظیر ZeroWine، Sandbox analyzers و REMnux همواره اولین گام در فرایند آنالیز بدافزار ها به شمار می رود. این برنامه ها قادر اند با سرعت بسیار بالایی رفتار پایه ی این بدافزار ها را بررسی کرده و نتیجه اجرای احتمالی آن ها  بر روی سیستم را پیش بینی کنند. بدون شک حجم اطلاعات بدست آمده از این ابزار های خودکار با نتایجی که یک متخصص آنالیز می تواند به دست بیاورد قابل مقایسه نیست؛ اما این امر از آن رو مفید و ضروری است که قادر به بررسی حجم بسیار زیادی از بدافزار ها در مدت زمان بسیار کوتاه است. هم چنین اطلاعات بدست آمده از آن می تواند در جهت اولویت بندی تهدید ها مورد استفاده قرار گرفته و به تحیلیل گر امنیت این اجازه را بدهد که زمان خود را روی مهم ترین بدافزار ها صرف کند.

  1. آنالیز آماری

در این مرحله، تحلیلگر امنیت به بررسی ویژگی های آماری بدافزار از قبیل نام فایل، hash، آدرس IP، و مِتادیتای بدافزار مانند تاریخ ساخت آن می پردازد. بررسی این اطلاعات پایه از این رو مهم است که به تحلیلگر این امکان را می دهد تا بدون نیاز به اجرای کد های یک نرم افزار در مورد مخرب بودن یا نبودن آن تصمیم گیری کند. یکی از ابزار های دیگر نیز که می تواند در این مرحله به کمک تحلیلگران بیاید Virus total نام دارد.

  1. آنالیز رفتاری متقابل

در این مرحله، تحلیلگر با ساخت یک آزمایشگاه مجازی و کاملا ایزوله نسبت به شبکه اصلی و آلوده کردن آن به بدافزار مورد نظر، به بررسی رفتار متقابل بدافزار در قبال محیط اطراف خود می پردازد. اطلاعات بسیار مفیدی از قبیل file system، رجیستری و فعالیت های شبکه ای یک بدافزار می توانند در این مرحله استخراج شوند. علاوه بر آن، در این مرحله از فرایند، تحلیلگر می تواند با استفاده از اطلاعات دخیره شده از آنالیز های قبلی، فرایند شناسایی از طریق حافظه (memory forensics) را نیز اجرا کند.

  1. مهندسی معکوس کد ها به صورت دستی

این مرحله گام نهایی فرایند آنالیز بدافزار ها است که نیازمند سطح بسیار پیشرفته ای از مهارت و تجربه برای  اجرا است.  تحلیلگردر این مرحله، فرایند مهندسی معکوس را بر روی کد های بدافزار پیش می گیرد. بیشتر مواقع، این امر توسط استفاده از یک disassembler  و debugger  کد انجام می پذیرد. در بسیاری از موارد نیز استفاده از یک decompiler کد و حتی کمک گرفتن از فرایند شناسایی از طریق حافظه نیز می تواند در تسهیل این مرحله نقش بزرگی  را ایفا کند. از آن جایی که جوانب بسیاری از رفتار یک بدافزار بدون اجرای کد های آن امکان پذیر نیست، مهندسی معکوس کد می تواند اطلاعات بسیار با ارزشی را به گزارش آنالیز بدافزار بیافزاید. شکستن کدِ داده هایی که توسط بدافزار رمزگذاری شده اند و یا تشخیص منطق الگوریتم ایجاد domain یک بدافزار تنها نمونه هایی از این اطلاعات هستند.

در نهایت اما توجه به این نکته ضروری است که فرایند آنالیز بدافزار ها یک مسیر مستقیم و از پیش تعیین شده شامل استفاده متوالی از این گام ها نیست. در خیلی از موارد برای رسیدن به نتیجه مطلوب در آنالیز بدافزار های متفاوت نیاز به به کار گیری همزمان دو یا چند گام از این فرایند در کنار یکدیگر است. از همین رو نیز متخصص آنالیز بدافزار برای اجرای یک آنالیز مناسب و دستیابی به اطلاعات مفید و دقیق، نیازمند تجربه و مهارت بالایی برای ترکیب و استفاده به هنگام از تمامی این گام ها می باشد.

زمینه های استفاده

اولین استفاده گسترده از آنالیز بدافزار ها، به کارگیری IOC ها و داده های حاصله برای ایجاد یک محل ذخیره داده می باشد که به سیستم این اجازه را می دهد تا در صورت حملات مشابه در آینده آن ها را شناسایی کرده و هشدار صادر کند. پلتفرم های machine learning، SIEM، و هوش تهدید نیز قسمت هایی از لایه ی دفاعی یک سازمان می باشند که می توانند از داده های حاصله از این فرایند استفاده کنند.

علاوه بر آن، آنالیز بدافزار ها می تواند به متخصص امنیت کمک کند تا root cause دقیق تری را برای یک حمله شناسایی کرده و هم چنین در انتخاب رویکرد ترمیمی مناسب به وی کمک کرده و از این رو باعث بهبود بازده عملیات پاسخگویی به حوادث سایبری سازمان شود. گذشته از آن، بسیاری از فعالیت های مخرب یک بدافزار در دیگر تهدیدات امنیتی نیز یافت می شوند و از همین رو نیز اطلاعات حاصله از آنالیز بدافزار می تواند در فرایند های شکار تهدیدات نیز تا حد بسیار زیادی به کمک متخصصان امنیت بیاید.

در پایان باید گفت، اهمیت فرایند آنالیز بدافزار ها با در نظر گرفتن این مسئله کاملا روشن می شود که تهدید ها و نرم افزار های مخرب بدون توقف و با سرعت سرسام آوری در حال توسعه و پیشرفته تر شدن هستند. به همین دلیل نیز، تسلط بر مهارت های جدید حوزه امنیت نظیر آنالیز بدافزار ها برای متخصصان امنیتی بسیار حائز  اهمیت است؛ از این رو که به آن ها امکان کسب اطلاعات به روز شده در مورد تهدیدات سایبری را داده و کمک می کند در مقابل سرعت رشد این فعالیت های مخرب، آن ها نیز در جهت حفظ امنیت سازمان ها و کسب و کار ها تلاش کنند.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *