تجزیه و تحلیل بدافزارها و شکار تهدیدات – مقدمات راه اندازی آزمایشگاه امنیت

اگر شما از ابزارهای Wireshark ، Procmon و  Windows Sysinternals استفاده نمی کنید، ممکن است با مشکلاتی مواجه شوید. بررسی بدافزارها به تحلیل گر، این امکان را می‌دهد تا ببیند چه اقداماتی صورت گرفته است و به ما نیز این امکان را می‌دهد تا از آن اقدامات برای ایجاد پروفایلی امن استفاده کنیم که بتواند به شناسایی و جلوگیری از آلودگی‌های بیشتر و یا کشف آلودگی و آسیب پذیری‌ها بپردازد.

کارشناسان تحلیل بدافزار، بدافزار را در لابراتور اجرا می‌کنند تا نحوه‌ی عملکرد آنها را مشخص کنند، آنها به بدافزارها ورودی‌های مختلف می دهند، تا ببینند در صورت وجود تغییرات تازه، چه رفتاری از خود نشان می دهند. یک کارشناس تحلیل بدافزار در این خصوص اینگونه می گوید:

ما آنها را از طریق نرم افزار اشکال زدایی اجرا می کنیم تا به بررسی آنها بپردازیم. حتی ممکن است از نرم افزار تفکیک کننده نیز استفاده کنیم تا مشخص شود که بدافزارهای مخرب از چه راه و روشی استفاده می کنند. با استفاده از چنین تاکتیک‌هایی، تحلیلگر بدافزار، فهرستی از شاخص‌هایی را ایجاد می کند که می تواند برای شناسایی و مسدود سازی بدافزارهای مخرب مورد بررسی قرار بگیرد. اطلاعاتی در خصوص اینکه چه کسی ممکن است شبکه‌ی او را هدف قرار داده باشد و یا اینکه بدافزار به جمع آوری چه اطلاعاتی می پردازد؟

قصد دارم تا بر روی تجزیه و تحلیل رفتارهای محدود تمرکز کنم و برخی از نمونه‌هایی که می‌تواند با استفاد از این تاکتیک به شکار تهدیدات بپردازد را ارایه کنم.

تجزیه و تحلیل رفتاری و مرحله ایی برای راه اندازی بدافزارهای مخرب، تحت شرایط کنترل شده است که در آن می‌توانید اقداماتی که بدافزارهای مخرب انجام می دهند را مشاهده کنید. با اجرای بدافزارهای مخرب در محیطی کاملاَ تفکیک شده می توانیم بگوییم، اگر بدافزار نتواند ارتباط را با شبکه و یا سیستم برقرار کند اقدام به چه کاری می کند.

شما با تجزیه و تحلیل رفتاری می‌توانید همه چیز را در یک مرحله بدست بیاورید. هنگامیکه ارتباط کاملا برقرار شود آیا بدافزار سعی می کند شبکه را اسکن کند؟ اگر پاسخ آن درست است، پس آن را به یک شبکه اضافه کنید تا ببینید چه اتفاقی رخ می‌دهد. آیا پس از آن شروع به جستجو کردن می‌کند یا خیر؟

هدف اصلی این نوع از تجزیه و تحلیل مشاهده‌ی مرحله به مرحله‌ی عملکرد بدافزار است، که به شما این امکان را می‌دهد تا در مواقع ضروری و مختلف، اقدامات مناسب را برنامه ریزی کنید و تصویری کلی از بدافزار را، قبل از شروع بررسی نرم افزار اشکال زدایی و یا تفکیکی، داشته باشید.

محیط لابراتور برای تجزیه و تحلیل بدافزار

• رایانه‌ی شما باید دارای نرم افزارهای قدرتمند مجازی سازی VMware و Virtual box باشد.
• شما باید Wireshark -Process Monitor  -ProcDOT را نصب کرده باشد.
• REMnux یک سیستم عامل لینوکسی است که مختص آنالیز بدافزار و مهندسی است. اگر شما تحلیلگر بدافزار و یا کرکر هستید این سیستم عامل تا حد زیادی می‌تواند نیازهای شما را برطرف کند.
• اطمینان پیدا کنید که VM ها برای اجرا در شبکه، تنظیم شدند و ویندوز شما با تنظیم آدرس IP استاتیک REMnux در حالت پیش فرض قرار دارد.

ابزار مورد نیاز تجزیه و تحلیل رفتاری بدافزار

در این قسمت به ارایه چندین ابزار که می‌توانید برای جمع آوری اطلاعات بیشتر، از آنها استفاده کنید، پرداختیم.

Wireshark: ابزاری قدرتمند برای تحلیل و آنالیز ترافیک شبکه است. این ابزار به شما امکان بازدید از صفحات و ترافیک شبکه را می دهد، این ابزار بسته‌ها و یا پکت‌ها را ثبت و ضبط می کند و امکان بازدید از محتواهای آنها را می‌دهد و می‌تواند بسته‌های در حال انتقال در یک شبکه رایانه‌ایی را بررسی کند.

Process Monitor: یک ابزار پیشرفته مانیتورینگ (نظارتی) است که به شما امکان این را می‌دهد تا تمام فعالیت‌های در حال اجرا در ویندوز را رصد کنید.

ProcDOT: این ابزار پرونده‌های گزارشی Process Monitor را پردازش می‌کند.

FakeDNS: ابزاری مناسب برای شبیه سازی و پاسخ به درخواست فرستاده شده از طرف بدافزار است که حاوی اسکریپت REMnux است و خروجی‌های دامنه‌های درخواست شده را به ترمینال ارسال می‌کند. این روش برای تعیین اینکه کدام یک از دامنه‌ها از جانب رایانه‌ی متصل در خواست شده است، بسیار مفید است.

INETsim: مجموعه نرم افزاری است که بسیاری از خدمات معمول و پروتکل‌ها را در وب سایت شبیه سازی می کند. این مجموعه حتی نمونه‌هایی از بدافزارهای مخرب را به طور بی خطری قابل اجرا می‌کند.

اجرای بدافزار با تجزیه و تحلیل رفتاری

هنگامیکه شما بدافزارهای مخرب را اجرا می کنید، قبل از راه اندازی بدافزار، اطمینان پیدا کنید که Wireshark و Procomon را در ویندوز خود نصب کردید. این موضوع به شما این امکان را می‌دهد که تمامی فعالیت های بدافزار را بدست آورید. هنگامیکه این اقدمات را برای بدافزار انجام دادید، شما قادر به ذخیره‌ی نتایج Procomon و باز کردن پرونده های آن در ProcDot هستید.

این روش، دید وسیعی از عملکرد بدافزار را به شما می دهد. اطمینان پیدا کنید که Wireshark را برای هر ترافیک ناشناخته‌ایی بررسی کردید. بعد از مشاهده‌ی تمامی این اقدامات می توانیم ویندوز را ریست کنیم و دوباره آن را  راه اندازی کنیم. درست است که بعد از هربار تنظیم باید ریست را انجام دهید‌، اما این موضوع باعث می‌شود تا هربار پس از ریست کردن محیط پاکسازی شده را ایجاد کنید. پس از آن شما متوجه می شوید که بدافزار دقیقاَ به دنبال چه چیزی می‌گردد.

سیستم REMnux را تنظیم کنید و یا محیط سیستم را پاکسازی کنید. تا زمانیکه متوجه نشدید که بدافزار دقیقاَ به چه چیزی نیاز دارد، این شرایط را تکرار کنید. در این مرحله باید یک فهرست مناسب از IP آدرس‌ها، دامنه ها، و فایل‌هایی را ایجاد کنید که می‌دانید بدافزار مخرب به دنبال پیدا کردن آن و یا دسترسی به آن است.

اطمینان پیدا کنید که آلارم هشدار برای هر شاخصی که یافت می شود فعال است، به این خاطر که شما فراموش کردید که اطلاعاتی را که پیدا کردید را جستجو کنید، قصد پایان دادن به سیستم خود با این آلودگی‌ها را ندارید.

انواع دیگری از تجزیه و تحلیل برای بدافزارهای مخرب وجود دارد اما ما اکنون باید بر روی مرحله‌ی بعدی تمرکز کنیم تا ببینیم که فهرست شاخص‌های ما چگونه می‌تواند در این زمینه به ما کمک کند.

تجزیه و تحلیل بدافزارها و شکار تهدیدات

هنگامیکه متوجه شدید که بدافزار به دنبال چه چیزی می گردد، باید موقعیت دیگری را برای جستجوی تهدیدات دیگر انتخاب کنید. پیدا کردن موقعیت‌های دیگر بر روی شبکه ممکن است شبیه ساخت و یا شکار باشد.

لاگ‌های سیستم را بررسی کنید. با جستجو و بررسی مستقیم لاگ از طریق SIEM، می‌توانید تهدیدات را شناسایی کنید. اگر متوجه شدید که بدافزار از یک عامل کاربری غیر استاندارد برای اتصال به شبکه استفاده می کند، از طریق بررسی پرونده‌های پراکسی خود برای پیدا کردن تهدیدات مشابه استفاده کنید. همین روش را می توان برای پورت‌ها و دامنه‌ها پیاده سازی کرد.

اغلب هنگام استفاده از یک ابزار، کاربران متوجه کار کردن آن می شوند، این مورد مشابه گسترش بدافزارهای مخرب توسط مجرمان سایبری است. اگر از WordPress به عنوان مثال استفاده می کنید، نمی توانیم بگوییم که این پلت فرم امن ترین نیست، زمانیکه هک اتفاق می افتد معمولاَ یک فایل به یکی از پوشه‌های موجود اضافه می شود و بدافزار به طور مستقیم در آن فایل قرار می گیرد. الگوریتم و دامنه هایی که ترافیک فایروال و یا پراکسی شما را نشان می دهند را بررسی کنید و در این جستجو دقیق تر عمل کنید.

فقط به این خاطر که شاخص‌ها و یا فعالیت‌ها را مسدود کردید و سیستم هشدار را فعال کردید به این معنا نیست که سیستم دیگر به خطر نمی افتد. اطمینان پیدا کنید که به لاگ‌هایی که بدافزار در آنها پیدا شده است در رایانه دسترسی دارید. اگر به اطلاعات شبکه دسترسی داشته باشید، شرایط بهتر است. استفاده از این روش و آنچه که شما در رابط با بدافزارها می‌دانید پس از فرایند معکوس باعث می شود که اگر بدافزار به فعالیت‌های مخرب امکان ورود به شبکه را بدهد را شناسایی کنید.  اگر اینکار انجام شود، لاگها و شبکه باید به شما در خصوص چگونگی مجاز بودن آنها و هم چنین استفاده از رایانه برای هر حرکت جانبی بپردازد.

تجزیه و تحلیل بدافزاری و شکار تهدیدات موجود ۲ مفهوم و تاکتیک استفاده شده برای اطمینان داشتن از این است که شبکه‌ها ایمن حفظ شوند. هنگامیکه این مفاهیم را باهم ترکیب می کنیم می توانیم محدوده‌ی تهدید را به طور موثرتری مشخص  کنیم. تجزیه و تحلیل رفتاری تنها یک قدم از روند تجزیه و تحلیل بدافزار است که می‌تواند بسیار مفید واقع شود. انواع مختلفی از تجزیه و تحلیل بدافزارهای مخرب و مهندسی وجود دارد که اطلاعاتی را ارایه می‌دهد که تجزیه و تحلیل رفتاری آنها را انتخاب می کند و شما می توانید از آنها برای شکار تهدیدات استفاده کنید.

بیشتر بخوانید:

• باج افزار ، مردم و فناوری

• ماینینگ بیت کوین وسوسه ای برای نابود کردن یک تجارت

• امن سازی سیستم پس از نصب ویندوز جدید

• آنتی ویروس تحت شبکه چه ویژگی هایی باید داشته باشد.

• آسیب پذیری Spectre و بروزرسانی های بیشتر مایکروسافت