چگونه بدافزار VBS یا جاوااسکریپت را با ویژوال استودیو ایزوله کنیم

در سال‌های اخیر، آزمایشگاه تحقیقاتی آمریکای لاتین ESET شاهد افزایش بدافزارهای پیشرفته‌ای بوده‌اند که با استفاده از زبان‌های اسکریپت نوشته شده‌اند. به همین دلیل اکنون می‌خواهیم نشان دهیم که چگونه محیط بررسی پویایی برای ایزوله کردن چنین تهدیداتی ایجاد کنیم، به طوری که بتوانیم رفتار آن‌ها را در یک محیط کنترل‌شده درک و مشاهده کنیم.

منظور از اشکال‌زدایی چیست؟
فرآیندی است که یک برنامه یا کد را به صورت کنترل شده اجرا می‌کند، بنابراین می‌توانیم هر آموزش قابل اجرایی را قدم به قدم دنبال کنیم. این فرآیند به طور معمول توسط توسعه‌دهندگان نرم‌افزاری استفاده می‌شود که رخنه و نقص‌ها را در پروژه‌هایشان می‌یابند.

گام به گام با ویژوال استودیو
برای انجام این روش، به یک ماشین مجازی نیاز داریم که دارای ویندوز ۷ و ویژوال استودیوی مایکروسافت باشد. معمولاً توسعه‌دهندگان نرم‌افزار از این ابزار استفاده می‌کنند. در عمل، نسخه‌ی رایگان آن برای این کار بیش از اندازه کافی است.
بعد از نصب ویژوال استودیو، باید ابزار را برای ایزوله کردن پرونده‌‌های مخرب آماده کنیم، که توسط wscript.exe. مایکروسافت توضیح داده شده است. همان طور که در شکل زیر مشخص است، از صفحه‌ی اصلی به Tools و سپس به External Tools می‌رویم:

۲۶-InContent1
هنگامی که این کار را کردیم، پنجره‌ای باز می‌شود که در آن ابزار را با یک کلیک روی Add جمع‌آوری و آماده می‌کنیم:
۲۶-InContent2

سپس فیلد زیر را با اطلاعاتی که در عکس نشان داده شده است کامل می‌کنیم. یک //d در ابتدای Arguments قرار می‌دهیم، سپس لایه‌ی ایزوله‌شده فعال می‌شود، و //x را برای شروع فرمان در لایه‌ی ایزوله‌شده می‌گذاریم.

۲۶-InContent3
اکنون آماده‌ایم که کارمان را انجام دهیم. برای این نمایش، تهدیدی را در جاوااسکریپت پیشرفت می‌دهیم که ESET تحت نام JS/Bondat.A آن را شناسایی کرده است. وقتی پرونده را باز می‌کنیم، کدی را می‌بینیم که توسط مجرمان سایبری پنهان شده‌اند تا قصد و نیت واقعی را پشت کد مخربی پنهان کنند. در سمت چپ خطوط کد می‌توانیم نقطه‌ی اتصال را نشان دهیم، با یک دایره‌ی قرمز مشخص شده است، تا لایه‌ی ایزوله‌شده را در ساختاری که ما می‌خواهیم جریان عادی برنامه را متوقف کنیم، نشان دهد:

۲۶-InContent4
ایزوله‌سازی را در منوی Tools و با کلیک بر روی Wscript شروع می‌کنیم، این نام را خودمان به ابزارمان داده‌ایم:

۲۶-InContent5
در اینجا، می‌بینیم که علامت بالای صفحه‌ی ویژوال استودیو به رنگ نارنجی در آمده است. این به ما می‌گوید که در اجرای صحیح اشکال‌زدایی موفق بوده‌ایم. سپس تعدادی گزینه می‌بینیم که می‌توانیم از آن‌ها برای کنترل اجرای کد مخرب استفاده ‌کنیم. مورد مهم دیگری در عکس بعدی نشان داده شده است. انواع داده‌ها را در آنجا می‌بینیم که ممکن است شامل ارزش یک متغیر، شمارنده، آرایه، روش‌ها و دستورالعمل‌های استفاده‌شده توسط برنامه، استدلال‌ها و غیره باشد.

۲۶-InContent6
ما کد مخرب را با جست‌وجوی مقادیر تغییردهنده ایزوله کردیم. برای مثال، عکس زیر نشان می‌دهد که مقادیر a۱، a۲، a۳ و a۴ مقادیر نوع رشته‌ای را به دست می‌آورد. همچنین می‌بینیم که این کد از ISWbemServicesEx استفاده می‌کند و بدین معناست که بدافزار از WMI (تنطیم مدیریت ویندوز) استفاده می‌کند، که توسط مجرمان سایبری برای استخراج اطلاعات از قربانی استفاده می‌شوند..
همانند شکل زیر، مروری اجمالی بر رشته‌های متنی %VMware% و %VBOX% ارائه می‌دهیم. این مثالی واضح از یک روش ضدمجازی‌سازی است برای جلوگیری از این‌که کد در محیط‌های بررسی مجازی استخراج شوند.

۲۶-InContent7
این یکی از روش‌هایی است که در آزمایشگاهESET برای بررسی یک پرونده‌ی نوشته‌شده در جاوا اسکریپت، ویژوال بیسیک اسکریپت یا هر زبان دیگری که توسط مترجم w گام به گام نوشته شده است، استفاده می‌شود. با اجرای این روش، می‌‌توانیم با کدهای مخربی که سعی دارند از کاربران سوءاستفاده کند، مبارزه کنیم. با استفاده از این فرآیندها و ابزارها، می‌توانیم هر قدمی را در یک آلودگی بدافزاری محتمل بررسی کنیم، هدف آن را بفهمیم و کد اصلی را از نمونه‌هایی به سرقت ببریم که قویاً پنهان شده‌اند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap