بدافزارها چگونه محیط جعبه شنی را دور می‌زنند؟

۷با توجه به روند رو به رشد ظهور بدافزارهای مختلف و پیچیده، روش تحلیل بدافزار در داخل جعبه شنی راه‌کار مناسبی به نظر می‌رسند. در روش تحلیل بدافزار در جعبه شنی، نمونه‌ای از بدافزار به‌عنوان ورودی به جعبه شنی داده می‌شود تا رفتار بدافزار تشخیص داده شود.
باوجود همه‌ی این تلاش‌ها برای تشخیص بدافزار، نویسندگان آن‌ها نیز پا را فراتر گذاشته و با روش‌های جدیدی جعبه‌ی شنی را دور زده و از تشخیص فرار می‌کنند.

بدافزارها از روش‌های مختلفی استفاده می‌کنند تا از شر جعبه شنی خلاص شوند. با استفاده از این روش‌های دور زدن، بدافزارها می‌توانند از سد دیواره آتش و جعبه‌ شنی عبور کنند. در حالت کلی ۴ روش دور زدن وجود دارد که توسط بدافزارها استفاده می‌شود.

۳_۲۸
از بین روش‌های ذکرشده، روش خوابیدن ممتد۱ و شارِ سریع۲ بین نویسندگان بدافزار بسیار رایج است که در ادامه هریک از این روش‌ها توضیح داده می‌شود.

خوابیدن ممتد:
این حقیقت که هزینه‌ی محاسباتی در جعبه شنی بسیار بالاست، باعث می‌شود تا نویسندگان بدافزار از این مسئله استفاده کنند. بدافزار تا زمانی‌که جعبه شنی متوقف نشده است به خواب ممتد فرو خواهد رفت.
در حالت کلی می‌توان گفت که برای داشتن مقیاس‌پذیری، بسیاری از محیط‌های جعبه شنی در زمان و تعداد محدودی بر روی ماشین‌های مجازی اجرا می‌شوند و اگر در بازه‌ی اجرا شدن جعبه شنی، بدافزار عملیاتی انجام ندهد، هیچ عملکرد مخربی شناسایی نخواهد شد.

شارِ سریع:
یکی دیگر از روش‌های دور زدن جعبه شنی که توسط بدافزارها استفاده می‌شود، روش شارِ سریع بر روی آدرس IP و DNS است. این روش معمولاً توسط بات‌نت‌ها برای پنهان کردن وب‌گاه‌های فیشینگ و یا وب‌گاه‌هایی که محتوای مخرب ارائه می‌دهند، استفاده می‌شود.
در این روش عاملان بدافزار به‌طور پویا و مداوم آدرس IP و یا رکوردهای DNS مربوط به وب‌گاه یا بدافزار را تغییر می‌دهند که ردیابی این موضوع برای تحلیلگر بسیار سخت خواهد شد.

۲_۷۲

همان‌طور که گفته شد تغییر مداوم آدرس IP و DNS برای سازمان‌ها بسیار سخت است و با روش‌های مسدود کردن IP نمی‌توانند با بدافزار مقابله کنند. معمولاً بدافزارها از این روش برای عبور از فهرست سیاه IP ها که در سازمان از قبل به حالت ایستا تعیین شده است، استفاده می‌کنند.

۱. Extended Sleep
۲. Fast Flux

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter