با گسترش بدافزارها، روش‌های تحلیل پویا با محدودیت مواجه می‌شوند

گروه‌های امنیتی وقتی یک حادثه را بررسی می‌کنند با یک سؤال بسیار مهم روبه‌رو می‌شوند: منشأ اولیه‌ی حمله کجا بوده است؟ در حال حاضر هفته‌ها از ظهور باج‌افزار گریه می‌گذرد که در ۱۵۰ کشور صدها هزار رایانه را آلوده کرده است. اینک شاهد هستیم که گزارش‌های مختلفی منتشر شده و عوامل مختلفی را عامل اصلی این حمله عنوان کرده‌اند. با این‌حال هیچ‌یک از این دیدگاه‌ها و نظرات به‌قدری سریع نبود که در فرآیند مقابله با باج‌افزار کمک‌کننده باشد. متأسفانه روش تحلیل که در هریک از این گزارش‌ها مورد استفاده قرار گرفته مناسب و سریع نبوده است. خبر خوش اینکه همچنان روش‌های دیگری نیز وجود دارد که می‌توان آن‌ها را اجرا کرد.

تحلیل‌های پویا از باج‌افزار گریه و منابع آن، به تحلیل دستی کد نیاز دارد. بنابراین برای بدست آرودن سرنخ‌های اولیه از این باج‌افزار به چند روز زمان نیاز است و برای دیدگاه‌های قوی‌تر شاید هفته‌ها وقت لازم باشد. مشکل اصلی در این تحلیل‌ها این است که نیاز به مقایسه‌ی هزاران قسمت از کد متعلق به ده‌ها عامل مخرب است. به دلیل اینکه تعداد بدافزارها رو به افزایش است، این مسئله مشکل‌تر می‌شود. تحلیل‌های پویا به خوبی با افزایش تعداد بدافزارها و تهدیدها مقیاس‌پذیر نیستند.

تحلیل‌های پویا می‌تواند به تشخیص و تعیین تأثیر زمان اجرای یک قطعه تروجان کمک کند ولی با ظهور فناوری‌های تشخیص جعبه شنی و دور زدن راه‌حل‌های امنیتی، این تحلیل‌ها رو به افزایش بوده ولی مقادیر آن محدود است. علاوه بر این با مقایسه‌ی مشابهت‌های بین کد بدافزارها، نمی‌توان متوجه عملکرد یک باج‌افزار شد و نیاز داریم ده‌ها روش را مورد بررسی قرار دهیم تا به این نتایج برسیم. مقایسه‌ی بین پرونده‌های درهم‌سازی همواره مفید نیست و مهاجمان همواره از روش‌های چندریختی استفاده می‌کنند تا هر نمونه از بدافزار دارای مقادیر درهم‌سازی متفاوتی باشند. در مورد درهم‌سازی فازی چه می‌دانید که برای تحلیل مشابهت‌های بین پرونده‌ها مورد استفاده قرار می‌گیرد؟ این روش به‌طور افزایشی برای اندازه‌گیری مشابهت بین دو پرونده‌ی باینری مورد استفاده قرار می‌گیرد. چالش اصلی که وجود دارد این است که ابزارهای درهم‌سازی فازی مانند ssdeep، بر روی کل پرونده اعمال می‌شوند و نمی‌تواند شباهت‌های بین یک پرونده با دیگر پرونده‌ها را مشخص کند.

اما باید بررسی کنیم که آیا می‌توان از روش‌های درهم‌سازی فازی برای پیدا کردن مشابهت بین پرونده‌ها در سطح ریزدانه‌تری استفاده کنیم یا خیر؟ این مسئله باعث شده تا RSA به روش‌های تحلیل ایستا برای مقایسه‌ی مشابهت بین پرونده‌ها روی بیاورد. این روش همچنین می‌تواند برای مقایسه‌ی مشابهت چند تکه از بدافزار با تکه‌های دیگر از بدافزارها مورد استفاده قرار بگیرد. با این رویکرد می‌توانیم نمونه‌ای جدید از بدافزار را ایجاد کنیم. اگر بتوانیم این کار را انجام دهیم می‌توانیم به‌خوبی عملکرد بدافزار را بفهیمم و چندین ابزار بدافزاری را با یکدیگر ادغام کنیم.

کانال اخبار فناوری اطلاعات نماد امن

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.