راهنمای جامع روش‌های تحلیل بدافزار برای کارشناسان امنیت

تحلیل بدافزارها برای ارزیابی عملکرد و فرایند آلوده‌سازی‌شان کار چندان ساده‌ای نیست. در این مطلب ابزارها، راهنماهای تحلیل بدافزار و سایر اطلاعات مفید در این زمینه را به صورت کامل بررسی می‌کنیم.

تحلیل بدافزار چیست؟

تحلیل بدافزار شامل فرایند تحلیل نمونه‌های خانواده‌های بدافزار مثل تروجان، ویروس، روت‌کیت، باج‌افزار و جاسوس‌افزارها در یک محیط ایزوله و با هدف تشخیص نوع، نحوه آلوده‌سازی، هدف و عملکرد بدافزارها است. محققان امنیتی با استفاده از روش‌های مختلف و براساس رفتار بدافزار ابتدا انگیزه بدافزار و سپس روش مناسب برای مقابله با آن را مشخص می‌کنند.

راهنمای تحلیل بدافزار

در این راهنما انواع تحلیل‌ها و ابزارهای مربوط به بررسی بدافزار را بررسی می‌کنیم. این روش‌ها و ابزارها عبارتند از:

• تحلیل ایستای بدافزار
• تحلیل پویای بدافزار
• بازرسی امنیتی حافظه
• تحلیل دامنه وب
• تحلیل تعاملات شبکه
• دیباگ (اشکال زدایی) و دیباگر
• تحلیل لینک‌های مخرب
• تکنیک سندباکس

تحلیل ایستای بدافزار 

این فرایند شامل استخراج و بررسی اجزای باینری مختلف و رفتارهای ایستای یک فایل اجرایی بدون اجرای آن است از جمله هدرهای API و DLLهایی که به آنها ارجاع شده، قسمت‌های PE و سایر اطلاعات مشابه. در بررسی ایستا هرگونه رفتار غیرعادی ثبت شده و بر اساس آن تصمیم‌گیری می‌شود. تحلیل ایستا بدون اجرای بدافزار و تحلیل پویا با اجرای آن در یک محیط کنترل شده انجام می‌شود.

1. دیس‌اسمبلی[1]: می‌توان از طریق کامپایل کد در یک محیط متفاوت، نرم‌افزارها را به پلتفرم‌های کامپیوتری جدید منتقل کرد.
2. انگشت‌نگاری فایل: راهکارهای پیشگیری از نشت داده‌های شبکه و شناسایی و پیگیری داده‌ها در سطح یک شبکه.
3. اسکن ویروس: ابزارهای اسکن ویروس و دستورالعمل‌هایی برای حذف بدافزار، ویروس، جاسوس‌افزار و سایر انواع تهدیدات. مثال: VirusTotal، Payload Security.
4. تحلیل آثار ایجاد شده در حافظه: حین بررسی اطلاعات و رویدادهای درون حافظه [مثل تخلیه رم، sys و hiberfile.sys] بازرس می‌تواند فرایند شناسایی پردازش غیرموجه را شروع کند.
5. تشخیص پکر[2] (Packer): از تشخیص پکر برای شناسایی پکرها، کامپایلرها، الحاق‌کننده‌ها، نصب‌کننده‌ها و غیره استفاده می‌شود.

ابزارهای تحلیل ایستای بدافزار

Hybrid-analysis
Virustotal.com
BinText
Dependency Walker
IDA
Md5deep
PEiD
Exeinfo PE
RDG Packer
D4dot
PEview

تحلیل پویای بدافزار چیست؟

تحلیل پویا باید اولین روش مورد استفاده تحلیلگر برای شناسایی عملکرد بدافزار باشد. در تحلیل پویا، یک ماشین مجازی ایجاد و از آن برای تحلیل بدافزار استفاده می‌شود. همچنین بدافزار با استفاده از محیط سندباکس و فرایند نظارت بر بدافزار و تحلیل بسته‌های تولید شده توسط بدافزار مورد بررسی قرار می‌گیرد.

در محیط‌ مجازی ایجاد شده، جداسازی محیط برای پیشگیری از گریز بدافزار بسیار مهم است. لذا موارد ذیل بایستی در نظر گرفته شود:

• بررسی تک مسیر (ردیابی اجرا)
• شفافیت محیط تجزیه و تحلیل
• جامعیت محیط تحلیل
• مسائل مقیاس پذیری
• امکان بازیابی سریع محیط تجزیه و تحلیل
• قابل تشخیص مشکلات مجازی سازی x86

ابزارهای تحلیل پویای بدافزار