تغییرپذیری بدافزارها؛ مهمترین چالش جدی تحلیلگران بدافزارها

محققان امنیتی به تازگی متوجه شده‌اند که گروه‌های بدافزاری همچون REvil یا DarkSide در حال تلاش هستند تا با ایجاد تغییرات جزئی در قطعه کدهای بدافزارها نمونه‌های مختلفی از یک بدافزار را تولید کنند. در این صورت کدهای بدافزاری بر روی سیستم‌های مختلف، با توجه به نوع سیستم‌عامل قربانی، کتابخانه‌های نصب‌ شده در آن و همچنین تنظیمات هر سیستم عملکرد متفاوتی را از خود نشان خواهند داد.

به گفته یکی از پژوهشگران امنیتی به نام “Erin Avllazagaj”: «عملکرد بدافزارهایی که ظاهراً با یکدیگر متفاوت هستند بر روی سیستم‌های مختلف یکسان نیست». Avllazagaj که تحقیقات بسیار زیادی را در زمینه تغییرپذیری بدافزارها انجام داده می‌گوید: «ممکن است یک بدافزار بر روی یک سیستم مثل باج‌افزار رفتار کند در حالی که بر روی سیستمی دیگر در نقش یک تروجان ظاهر شود. پس نمی‌توان این بدافزار را توسط راهکارهای امنیتی که برای مقابله با باج‌افزارها وجود دارند، حذف کرد». او معتقد است که قابلیت تغییرپذیری بدافزارها و عملکرد متفاوت یک بدافزار در زمان‌های مختلف و بر روی سیستم‌های متفاوت، پیامدهای بسیار مخربی را به بار خواهد آورد.

حتی یکسری بدافزارها هستند که برای انجام فعالیت‌های خاص یا اجرای حملات‌شان در شرایطی ویژه بر روی سیستم‌های قربانیان نصب می‌شوند اما زمانی که چنین شرایطی فراهم نباشد آنها مانند نرم‌افزارهای سالم و عاری از خطا رفتار می‌کنند. بنابراین شناسایی این بدافزارها به راحتی میسر نخواهد بود.

یک کارشناس امنیتی به نام “Peter Kosinar” نیز معتقد است که: «از اطلاعات به دست آمده از سیستم‌های خودکار یا ابزارهای تشخیص نقاط انتهایی می‌توان برای شناسایی حضور بدافزارها استفاده کرد اما با توجه به امکان تغییرپذیری بدافزارها، این ابزارها و اطلاعات جهت تأیید عدم حضور بدافزار مفید نیستند». Avllazagaj هم در این خصوص می‌گوید: «ما با استفاده از روش‌های تجربی، بخش‌هایی از بدافزار که دچار تغییر شده‌ بودند و همچنین میزان تغییرات آن را ارزیابی کردیم».

انواع بدافزارها

اجرای یک نمونه بدافزار بر روی هفت رایانه

Avllazagaj و همکارانش جهت بررسی ویژگی تغییرپذیری بدافزارها، رفتار چند نمونه از بدافزارها همچون کرم Ramnit (که با هدف سرقت اطلاعات اقدام به آلوده کردن سیستم‌های ویندوزی می‌کرد) و تروجان DarkComet (که کلمه عبور کاربران را به سرقت برده و از اطلاعات آنها عکس می‌گرفت) را مورد بررسی قرار دادند. بر اساس نتایج این تحقیقات، حدود 30 درصد از بدافزاری که قطعه کد آن توسط مهاجمان مورد دستکاری قرار گرفته بود در هنگام اجرا رفتار متفاوتی را نسبت به همان بدافزار اولیه بر روی سیستم‌های قربانیان خود داشته‌اند. همچنین حدود 50 درصد از نمونه بدافزارها نیز در هنگام اجرا فقط دارای 8 پارامتر مشترک بوده‌اند.

Avllazagaj در خصوص رفتار تغییرپذیری بدافزارها گفته: «با توجه به مطالعاتی که در این زمینه صورت گرفت و نتایج به دست آمده مشخص است که استفاده از محیط‌های آزمایشی سندباکس برای تحلیل بدافزار به هیچ وجه کارآمد نبوده و زمانی که کارشناسان امنیت سایبری خواهان بررسی یک نمونه خاص از بدافزارها باشند دیگر تنها یک نمونه اجرا آن هم در یک محیط سندباکس کافی نیست».

محققان معتقدند کارشناسان امنیتی که مسئولیت تحلیل بدافزارها را بر عهده دارند به منظور شناسایی بهتر رفتار و شناخت عملکردهای متفاوت بدافزارها باید از سه تا هفت رایانه استفاده کنند. Avllazagaj می‌گوید: «تغییرپذیری در بدافزارها در ماشین‌های مختلف نسبت به تغییرپذیری در زمان‌های متفاوت بیشتر بوده و تحلیلگران باید جهت به‌روزرسانی مدل‌های رفتاری، نمونه بدافزارها را سه هفته پس از نخستین زمانی که آنها را دریافت کرده‌اند، دوباره اجرا کنند».

علت تغییرپذیری بدافزارها

مهاجمان حرفه‌ای مثل گروه‌های هکری که تحت حمایت دولت‌ها فعالیت می‌کنند از منابع کافی برای تولید ابزارهای پیشرفته و خاص برخوردار هستند. این ابزارها معمولاً بر روی بسیاری از سیستم‌ها سالم به نظر رسیده و فقط در شرایط خاص اقدام به آلودگی‌ و انجام دستورات مدنظر مهاجمان می‌کنند. طراحان بدافزارها این کار را با هدف ایجاد تغییر در رفتار بدافزارها، دور زدن سازوکارهای امنیتی و پیشگیری از شناسایی و حذف زودهنگام بدافزارها انجام می‌دهند.

Kosinar در خصوص تغییرپذیری بدافزارها می‌گوید: «واضح است که شناسایی ابزارهای آلوده و مخرب در همان زمان‌های اولیه پس از نفوذ که فقط بخشی از سیستم را آلوده کرده‌اند نسبت به زمانی که کل سیستم تحت تأثیر حمله قرار گرفته بهتر است. بنابراین مجرمان سایبری در ابتدا از یکسری ابزارها که قابلیت نابودسازی خودشان را هم دارند، استفاده می‌کنند. چنین ابزارهایی پیش از آنکه شناسایی شوند و پس از نشر آلودگی‌های اولیه توسط خودشان از بین می‌روند. مهاجمان نیز پیش از جایگذاری ابزار مدنظرشان در سیستم قربانی ابتدا سیستم وی را بررسی کرده و پس از اطمینان از شرایط موجود اقدام به استقرار آن ابزار و پی‌لودهای مخربش می‌کنند».

تحلیل بدافزار

مجرمان سایبری و همچنین گروه‌های هکری که تحت حمایت دولت‌ها قرار دارند بی‌وقفه در حال تلاش برای ارتقا و بهبود مهارت‌های‌ مجرمانه‌شان هستند. همچنین با توجه به قابلیت تغییرپذیری بدافزارها، ممکن است در آینده با بدافزارهایی مواجه شویم که دارای رفتارهای متغیر باشند. بنا بر توصیه کارشناسان امنیتی، تولیدکنندگان آنتی‌ویروس‌ها باید از طریق اجرای کدهای بدافزارها در محیط‌ سندباکس یا بر روی ماشین‌های مجازی، رفتار نمونه‌های جدید را بررسی کرده و به تمام جزئیات توجه لازم را داشته باشند.

شخصی که مهندسی معکوس را انجام می‌دهد قابلیت اجرای نرم‌افزار اصلی، بدون نیاز به اجرای آن و بررسی همه مسیرهای ممکن در کد را دارد. اگرچه اجرای این روش کمی زمان‌بر است اما به محققان کمک می‌کند تا پاسخ سؤالاتی از قبیل اینکه این بدافزار چگونه نام فایل یا کلیدهای رجیستری را ایجاد می‌کند یا چگونه URLهایی که به آنها متصل می‌شود را تولید می‌کند و غیره را بیابند.

در برهه‌ای که گروه‌های باج‌افزاری و هکرهای دولتی مدام در حال پیشرفت و توسعه مهارت‌هایشان هستند پاسخ به این سؤالات و آشنایی با رفتار انواع بدافزارها از اهمیت بسیار زیادی برخوردار است. بنابراین کارشناسان و محققان امنیتی با افزایش دانش خود می‌توانند از شرکت‌ها و سازمان‌ها در برابر حملات مخرب بدافزاری به خوبی حفاظت‌های لازم را به عمل آورند.

 

منبع: csoonline

خروج از نسخه موبایل