تجزیه و تحلیل بدافزارها راهی برای تشخیص استفاده مجدد از بدافزار

photo 2021 11 18 21 22 53


امروزه مبارزه با بدافزارها شکل دیگری به خود گرفته است.
با توجه به اینکه برخی از بدافزارها بارها و بارها مورد استفاده قرار می گیرند کارشناسان امنیت راهی برای شناسایی این دسته از بدافزارها پیشنهاد می دهند.


چرا هکرها چند بار از یک کد استفاده می کنند؟


هدف مهاجمان ایجاد بیشترین تأثیر و حداقل تلاش ممکن است. مانند هر توسعه دهنده دیگری، هکرها هم علاقه مند به استفاده مجدد از کدها هستند. هنگام انجام تجزیه و تحلیل بدافزار، تحلیلگران امنیتی به انواع بدافزار و گونه های مختلف آنها فکر می کنند. در واقع، هکرها بی شباهت به دیگر توسعه دهندگان نیستند.
هدف سازندگان بدافزار این است که کارآمد کار کنند. به جای ایجاد یک نرم افزار جدید با هزاران خط کد، به دنبال دستوراتی هستند تا آنها را در نرم افزار خود اعمال کنند که این می تواند برای مهاجمان غیر منطقی باشد و راهی برای ردیابی بدافزار ایجاد می کند، اما مانع از تلاش آنها نمی شود. زیرا باعث صرفه جویی در زمان آنها برای انجام مهندسی اجتماعی و شیوه های فیشینگ و ایجاد یک محصول با قدرت تهاجم بیشتر می شود.


نمونه هایی از استفاده مجدد از کدها:


Shadow Brokers: این گروه هکرکد منبع اکسپلویت دزدیده شده از انجمن امنیت ملی را منتشر می کنند.  این کد شامل چندین آسیب‌پذیری روز صفر در سرویس اشتراک‌گذاری فایل MS می باشد و توسط مهاجمان به حملات باج افزار معروف WannaCry و NotPetya تغییر کاربری داده شد.


EDA2 و Hidden Tear: در مورد دیگری، یک محقق امنیتی از ترکیه دو نوع باج افزار Eda2 و Hidden Tear را برای اهداف آموزشی منتشر کرد. مهاجمان به سرعت از این فرصت استفاده کردند و از این کد منبع برای ایجاد انواع باج افزار استفاده کردند.


مهاجمان از روش های حمله مجدد هم استفاده می کنند.


هکرها نه تنها از کدها مجددا استفاده می کنند بلکه از تکنیک ها، روش ها و شیوه های حمله نیز دوباره استفاده می کنند.  به هر حال، اگر یک حمله خاص در گذشته به خوبی جواب داده است، چرا دوباره از آن استفاده نکنند؟ این روش بیشتر در بین هکرهای مبتدی رایج است.آنها از روش های حمله مجدد برای جبران ضعف های مهارتی خود استفاده می کنند.
هکرهای باتجربه همچنین در صورت موثر بودن از روش ها مجددا استفاده می کنند. به عنوان مثال، استفاده از ماکروهای مخرب آفیس.  تاکتیک های مهندسی اجتماعی و فیشینگ نیز راهکاری پر طرفدار برای هکرهاست. درواقع مهاجمان از موفقیت دیگران برای نقض بیشتر یا سوء استفاده از کدها مجددا استفاده می کنند.


چگونه به وسیله تجزیه و تحلیل ژنتیکی بدافزار کدهایی که مجددا استفاده می شود را شناسایی می کنند؟


تجزیه و تحلیل بدافزار ها روشی حیاتی برای پاسخگویی موثر به حوادث امنیتی است. یک رویکرد نوآورانه برای تجزیه و تحلیل خودکار بدافزارها آنالیز ژنتیکی بدافزار است. هدف این فناوری ، ارائه اطلاعات دقیق در مورد هر فایل مشکوک به بدافزار است.


تجزیه و تحلیل ژنتیکی بدافزار چیست؟


مهاجمان از کدهای نوشته شده توسط دیگران دوباره استفاده می کنند. بنابراین هدف جستجو برای کدهایی است که مجددا استفاده شده است تا بتوانند به کمک آن تشخیص دهند. جستجوی شباهت ها تاکتیکی است که برای تجزیه و تحلیل تهدیدات موفق بوده است. به عنوان مثال، باج‌افزار WannaCry که در بالا ذکر شد حاوی کدهای مربوط به گروه تهدید Lazarus است.
مشکل این روش این است که انجام آن به صورت دستی زمان بر است و به تخصص بالایی نیاز دارد. در نتیجه فقط می توان آن را برای تعداد محدودی از فایل ها اعمال کرد.
تجزیه و تحلیل ژنتیکی بدافزار این مشکلات را با خودکارسازی و مقیاس‌بندی فرآیند حل می‌کند. این فایل ها را با پایگاه داده ای از نرم افزارهای قابل اعتماد و مخرب مقایسه می کند و از آنجایی که فرآیند خودکار است، فقط چند ثانیه طول می کشد.


اما به چه صورت کار می کنند؟


در ابتدا، سیستم فایل‌ها را تجزیه و از هم جدا می‌کند، سپس کد را به توکن‌های قابل جستجو تبدیل می‌کند. مانند توکن‌سازی مورد استفاده در موتورهای جستجو، الگوریتم کد را به قطعات کوچک‌تر تقسیم می‌کند و نام های متغیر و غیرضروری را نادیده می‌گیرد.
پس از استخراج توکن ها، آنها را با یک پایگاه داده کد مقایسه می کند تا کدهایی که مجددا استفاده شده است را در بین آنها شناسایی کند. پایگاه داده ژنوم به طور مداوم با بدافزار فهرست شده بروز می شود.
هنگامی که یک بدافزار جدید وارد پایگاه داده می شود، برای جلوگیری از استفاده مجدد مهاجمان از کد، علامت گذاری می شود. تیم‌های امنیتی همچنین می‌توانند از تحلیل ژنتیکی بدافزار برای کشف شباهت‌ها در سایر نرم‌افزارهای مشکوک مانند ابرداده، رشته‌ها، منابع و موارد دیگر استفاده کنند.
قابلیت های تجزیه و تحلیل ژنتیکی بدافزار به شناسایی محدود نمی شود. هنگامی که سیستم بدافزار را شناسایی کرد، امضاهای YARA را بر اساس کد ایجاد می کند. این امضاها می توانند با شناسایی انواع بدافزارها، حفاظت را افزایش دهند.


خلاصه:


به دلیل پیچیدگی روزافزون حملات بدافزاری، شناسایی بدافزار به یک کار دشوارتر تبدیل شده است. رویکرد شناسایی کد استفاده مجدد برای شناسایی بدافزارها، اگرچه هوشمندانه بود، اما بسیار وقت گیر بود و در نهایت کارایی نداشت. اما با خودکار کردن این فرآیند و تقویت آن، فناوری‌های جدید مانند تجزیه و تحلیل ژنتیکی بدافزار رویکرد بهبود یافته‌ای را برای تجزیه و تحلیل بدافزار ارائه می‌دهند.

 

با ما تماس بگیرید:
021-88873951
031-36691964
www.panaco.ir
آرامش در پناه امنیت

منبع:

https://gbhackers.com

افزودن دیدگاه جدید

نظر خودتان را ارسال کنید

کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفا وارد سایت شوید.

طراحی سایت طراحی سایت طراحی سایت طراحی سایت

کلیه حقوق این سایت محفوظ و متعلق به شرکت مهندسی تحقیق و توسعه ارتباط پانا می باشد.

گفتگوی آنلاین