اگر شما از ابزارهای Wireshark ، Procmon و Windows Sysinternals استفاده نمی کنید، ممکن است با مشکلاتی مواجه شوید. بررسی بدافزارها به تحلیل گر، این امکان را میدهد تا ببیند چه اقداماتی صورت گرفته است و به ما نیز این امکان را میدهد تا از آن اقدامات برای ایجاد پروفایلی امن استفاده کنیم که بتواند به شناسایی و جلوگیری از آلودگیهای بیشتر و یا کشف آلودگی و آسیب پذیریها بپردازد.
کارشناسان تحلیل بدافزار، بدافزار را در لابراتور اجرا میکنند تا نحوهی عملکرد آنها را مشخص کنند، آنها به بدافزارها ورودیهای مختلف می دهند، تا ببینند در صورت وجود تغییرات تازه، چه رفتاری از خود نشان می دهند. یک کارشناس تحلیل بدافزار در این خصوص اینگونه می گوید:
ما آنها را از طریق نرم افزار اشکال زدایی اجرا می کنیم تا به بررسی آنها بپردازیم. حتی ممکن است از نرم افزار تفکیک کننده نیز استفاده کنیم تا مشخص شود که بدافزارهای مخرب از چه راه و روشی استفاده می کنند. با استفاده از چنین تاکتیکهایی، تحلیلگر بدافزار، فهرستی از شاخصهایی را ایجاد می کند که می تواند برای شناسایی و مسدود سازی بدافزارهای مخرب مورد بررسی قرار بگیرد. اطلاعاتی در خصوص اینکه چه کسی ممکن است شبکهی او را هدف قرار داده باشد و یا اینکه بدافزار به جمع آوری چه اطلاعاتی می پردازد؟
قصد دارم تا بر روی تجزیه و تحلیل رفتارهای محدود تمرکز کنم و برخی از نمونههایی که میتواند با استفاد از این تاکتیک به شکار تهدیدات بپردازد را ارایه کنم.
تجزیه و تحلیل رفتاری و مرحله ایی برای راه اندازی بدافزارهای مخرب، تحت شرایط کنترل شده است که در آن میتوانید اقداماتی که بدافزارهای مخرب انجام می دهند را مشاهده کنید. با اجرای بدافزارهای مخرب در محیطی کاملاَ تفکیک شده می توانیم بگوییم، اگر بدافزار نتواند ارتباط را با شبکه و یا سیستم برقرار کند اقدام به چه کاری می کند.
شما با تجزیه و تحلیل رفتاری میتوانید همه چیز را در یک مرحله بدست بیاورید. هنگامیکه ارتباط کاملا برقرار شود آیا بدافزار سعی می کند شبکه را اسکن کند؟ اگر پاسخ آن درست است، پس آن را به یک شبکه اضافه کنید تا ببینید چه اتفاقی رخ میدهد. آیا پس از آن شروع به جستجو کردن میکند یا خیر؟
هدف اصلی این نوع از تجزیه و تحلیل مشاهدهی مرحله به مرحلهی عملکرد بدافزار است، که به شما این امکان را میدهد تا در مواقع ضروری و مختلف، اقدامات مناسب را برنامه ریزی کنید و تصویری کلی از بدافزار را، قبل از شروع بررسی نرم افزار اشکال زدایی و یا تفکیکی، داشته باشید.
محیط لابراتور برای تجزیه و تحلیل بدافزار
- رایانهی شما باید دارای نرم افزارهای قدرتمند مجازی سازی VMware و Virtual box باشد.
- شما باید Wireshark -Process Monitor -ProcDOT را نصب کرده باشد.
- REMnux یک سیستم عامل لینوکسی است که مختص آنالیز بدافزار و مهندسی است. اگر شما تحلیلگر بدافزار و یا کرکر هستید این سیستم عامل تا حد زیادی میتواند نیازهای شما را برطرف کند.
- اطمینان پیدا کنید که VM ها برای اجرا در شبکه، تنظیم شدند و ویندوز شما با تنظیم آدرس IP استاتیک REMnux در حالت پیش فرض قرار دارد.
ابزار مورد نیاز تجزیه و تحلیل رفتاری بدافزار
در این قسمت به ارایه چندین ابزار که میتوانید برای جمع آوری اطلاعات بیشتر، از آنها استفاده کنید، پرداختیم.
Wireshark: ابزاری قدرتمند برای تحلیل و آنالیز ترافیک شبکه است. این ابزار به شما امکان بازدید از صفحات و ترافیک شبکه را می دهد، این ابزار بستهها و یا پکتها را ثبت و ضبط می کند و امکان بازدید از محتواهای آنها را میدهد و میتواند بستههای در حال انتقال در یک شبکه رایانهایی را بررسی کند.
Process Monitor: یک ابزار پیشرفته مانیتورینگ (نظارتی) است که به شما امکان این را میدهد تا تمام فعالیتهای در حال اجرا در ویندوز را رصد کنید.
ProcDOT: این ابزار پروندههای گزارشی Process Monitor را پردازش میکند.
FakeDNS: ابزاری مناسب برای شبیه سازی و پاسخ به درخواست فرستاده شده از طرف بدافزار است که حاوی اسکریپت REMnux است و خروجیهای دامنههای درخواست شده را به ترمینال ارسال میکند. این روش برای تعیین اینکه کدام یک از دامنهها از جانب رایانهی متصل در خواست شده است، بسیار مفید است.
INETsim: مجموعه نرم افزاری است که بسیاری از خدمات معمول و پروتکلها را در وب سایت شبیه سازی می کند. این مجموعه حتی نمونههایی از بدافزارهای مخرب را به طور بی خطری قابل اجرا میکند.
اجرای بدافزار با تجزیه و تحلیل رفتاری
هنگامیکه شما بدافزارهای مخرب را اجرا می کنید، قبل از راه اندازی بدافزار، اطمینان پیدا کنید که Wireshark و Procomon را در ویندوز خود نصب کردید. این موضوع به شما این امکان را میدهد که تمامی فعالیت های بدافزار را بدست آورید. هنگامیکه این اقدمات را برای بدافزار انجام دادید، شما قادر به ذخیرهی نتایج Procomon و باز کردن پرونده های آن در ProcDot هستید.
این روش، دید وسیعی از عملکرد بدافزار را به شما می دهد. اطمینان پیدا کنید که Wireshark را برای هر ترافیک ناشناختهایی بررسی کردید. بعد از مشاهدهی تمامی این اقدامات می توانیم ویندوز را ریست کنیم و دوباره آن را راه اندازی کنیم. درست است که بعد از هربار تنظیم باید ریست را انجام دهید، اما این موضوع باعث میشود تا هربار پس از ریست کردن محیط پاکسازی شده را ایجاد کنید. پس از آن شما متوجه می شوید که بدافزار دقیقاَ به دنبال چه چیزی میگردد.
سیستم REMnux را تنظیم کنید و یا محیط سیستم را پاکسازی کنید. تا زمانیکه متوجه نشدید که بدافزار دقیقاَ به چه چیزی نیاز دارد، این شرایط را تکرار کنید. در این مرحله باید یک فهرست مناسب از IP آدرسها، دامنه ها، و فایلهایی را ایجاد کنید که میدانید بدافزار مخرب به دنبال پیدا کردن آن و یا دسترسی به آن است.
اطمینان پیدا کنید که آلارم هشدار برای هر شاخصی که یافت می شود فعال است، به این خاطر که شما فراموش کردید که اطلاعاتی را که پیدا کردید را جستجو کنید، قصد پایان دادن به سیستم خود با این آلودگیها را ندارید.
انواع دیگری از تجزیه و تحلیل برای بدافزارهای مخرب وجود دارد اما ما اکنون باید بر روی مرحلهی بعدی تمرکز کنیم تا ببینیم که فهرست شاخصهای ما چگونه میتواند در این زمینه به ما کمک کند.
تجزیه و تحلیل بدافزارها و شکار تهدیدات
هنگامیکه متوجه شدید که بدافزار به دنبال چه چیزی می گردد، باید موقعیت دیگری را برای جستجوی تهدیدات دیگر انتخاب کنید. پیدا کردن موقعیتهای دیگر بر روی شبکه ممکن است شبیه ساخت و یا شکار باشد.
لاگهای سیستم را بررسی کنید. با جستجو و بررسی مستقیم لاگ از طریق SIEM، میتوانید تهدیدات را شناسایی کنید. اگر متوجه شدید که بدافزار از یک عامل کاربری غیر استاندارد برای اتصال به شبکه استفاده می کند، از طریق بررسی پروندههای پراکسی خود برای پیدا کردن تهدیدات مشابه استفاده کنید. همین روش را می توان برای پورتها و دامنهها پیاده سازی کرد.
اغلب هنگام استفاده از یک ابزار، کاربران متوجه کار کردن آن می شوند، این مورد مشابه گسترش بدافزارهای مخرب توسط مجرمان سایبری است. اگر از WordPress به عنوان مثال استفاده می کنید، نمی توانیم بگوییم که این پلت فرم امن ترین نیست، زمانیکه هک اتفاق می افتد معمولاَ یک فایل به یکی از پوشههای موجود اضافه می شود و بدافزار به طور مستقیم در آن فایل قرار می گیرد. الگوریتم و دامنه هایی که ترافیک فایروال و یا پراکسی شما را نشان می دهند را بررسی کنید و در این جستجو دقیق تر عمل کنید.
فقط به این خاطر که شاخصها و یا فعالیتها را مسدود کردید و سیستم هشدار را فعال کردید به این معنا نیست که سیستم دیگر به خطر نمی افتد. اطمینان پیدا کنید که به لاگهایی که بدافزار در آنها پیدا شده است در رایانه دسترسی دارید. اگر به اطلاعات شبکه دسترسی داشته باشید، شرایط بهتر است. استفاده از این روش و آنچه که شما در رابط با بدافزارها میدانید پس از فرایند معکوس باعث می شود که اگر بدافزار به فعالیتهای مخرب امکان ورود به شبکه را بدهد را شناسایی کنید. اگر اینکار انجام شود، لاگها و شبکه باید به شما در خصوص چگونگی مجاز بودن آنها و هم چنین استفاده از رایانه برای هر حرکت جانبی بپردازد.
تجزیه و تحلیل بدافزاری و شکار تهدیدات موجود ۲ مفهوم و تاکتیک استفاده شده برای اطمینان داشتن از این است که شبکهها ایمن حفظ شوند. هنگامیکه این مفاهیم را باهم ترکیب می کنیم می توانیم محدودهی تهدید را به طور موثرتری مشخص کنیم. تجزیه و تحلیل رفتاری تنها یک قدم از روند تجزیه و تحلیل بدافزار است که میتواند بسیار مفید واقع شود. انواع مختلفی از تجزیه و تحلیل بدافزارهای مخرب و مهندسی وجود دارد که اطلاعاتی را ارایه میدهد که تجزیه و تحلیل رفتاری آنها را انتخاب می کند و شما می توانید از آنها برای شکار تهدیدات استفاده کنید.