تحلیل بدافزارها برای ارزیابی عملکرد و فرایند آلودهسازیشان کار چندان سادهای نیست. در این مطلب ابزارها، راهنماهای تحلیل بدافزار و سایر اطلاعات مفید در این زمینه را به صورت کامل بررسی میکنیم.
تحلیل بدافزار چیست؟
تحلیل بدافزار شامل فرایند تحلیل نمونههای خانوادههای بدافزار مثل تروجان، ویروس، روتکیت، باجافزار و جاسوسافزارها در یک محیط ایزوله و با هدف تشخیص نوع، نحوه آلودهسازی، هدف و عملکرد بدافزارها است. محققان امنیتی با استفاده از روشهای مختلف و براساس رفتار بدافزار ابتدا انگیزه بدافزار و سپس روش مناسب برای مقابله با آن را مشخص میکنند.
راهنمای تحلیل بدافزار
در این راهنما انواع تحلیلها و ابزارهای مربوط به بررسی بدافزار را بررسی میکنیم. این روشها و ابزارها عبارتند از:
- تحلیل ایستای بدافزار
- تحلیل پویای بدافزار
- بازرسی امنیتی حافظه
- تحلیل دامنه وب
- تحلیل تعاملات شبکه
- دیباگ (اشکال زدایی) و دیباگر
- تحلیل لینکهای مخرب
- تکنیک سندباکس
تحلیل ایستای بدافزار
این فرایند شامل استخراج و بررسی اجزای باینری مختلف و رفتارهای ایستای یک فایل اجرایی بدون اجرای آن است از جمله هدرهای API و DLLهایی که به آنها ارجاع شده، قسمتهای PE و سایر اطلاعات مشابه. در بررسی ایستا هرگونه رفتار غیرعادی ثبت شده و بر اساس آن تصمیمگیری میشود. تحلیل ایستا بدون اجرای بدافزار و تحلیل پویا با اجرای آن در یک محیط کنترل شده انجام میشود.
- دیساسمبلی[1]: میتوان از طریق کامپایل کد در یک محیط متفاوت، نرمافزارها را به پلتفرمهای کامپیوتری جدید منتقل کرد.
- انگشتنگاری فایل: راهکارهای پیشگیری از نشت دادههای شبکه و شناسایی و پیگیری دادهها در سطح یک شبکه.
- اسکن ویروس: ابزارهای اسکن ویروس و دستورالعملهایی برای حذف بدافزار، ویروس، جاسوسافزار و سایر انواع تهدیدات. مثال: VirusTotal، Payload Security.
- تحلیل آثار ایجاد شده در حافظه: حین بررسی اطلاعات و رویدادهای درون حافظه [مثل تخلیه رم، sys و hiberfile.sys] بازرس میتواند فرایند شناسایی پردازش غیرموجه را شروع کند.
- تشخیص پکر[2] (Packer): از تشخیص پکر برای شناسایی پکرها، کامپایلرها، الحاقکنندهها، نصبکنندهها و غیره استفاده میشود.
ابزارهای تحلیل ایستای بدافزار
Hybrid-analysis
Virustotal.com
BinText
Dependency Walker
IDA
Md5deep
PEiD
Exeinfo PE
RDG Packer
D4dot
PEview
تحلیل پویای بدافزار چیست؟
تحلیل پویا باید اولین روش مورد استفاده تحلیلگر برای شناسایی عملکرد بدافزار باشد. در تحلیل پویا، یک ماشین مجازی ایجاد و از آن برای تحلیل بدافزار استفاده میشود. همچنین بدافزار با استفاده از محیط سندباکس و فرایند نظارت بر بدافزار و تحلیل بستههای تولید شده توسط بدافزار مورد بررسی قرار میگیرد.
در محیط مجازی ایجاد شده، جداسازی محیط برای پیشگیری از گریز بدافزار بسیار مهم است. لذا موارد ذیل بایستی در نظر گرفته شود:
- بررسی تک مسیر (ردیابی اجرا)
- شفافیت محیط تجزیه و تحلیل
- جامعیت محیط تحلیل
- مسائل مقیاس پذیری
- امکان بازیابی سریع محیط تجزیه و تحلیل
- قابل تشخیص مشکلات مجازی سازی x86