گسترش بدافزارها و محدودیت روش‌های تحلیل پویا

[ad_1]

گروه‌های امنیتی وقتی یک حادثه را بررسی می‌کنند با یک سؤال بسیار مهم روبه‌رو می‌شوند و آن اینکه منشأ اولیه‌ حمله کجاست.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، درحال‌حاضر هفته‌ها از ظهور باج‌افزار واناکرای می‌گذرد که در ۱۵۰ کشور صدها هزار رایانه را آلوده کرده‌است. اینک شاهد هستیم که گزارش‌های مختلفی منتشر شده و عوامل مختلفی را عامل اصلی این حمله عنوان کرده‌اند. با این‌حال هیچ‌یک از این دیدگاه‌ها و نظرات به‌قدری سریع نبود که در فرایند مقابله با باج‌افزار کمک‌کننده باشد. متأسفانه روش تحلیل که در هریک از این گزارش‌ها مورد استفاده قرار گرفت مناسب و سریع نبود. خبر خوش اینکه همچنان روش‌های دیگری نیز وجود دارد که می‌توان آنها را اجرا کرد.

تحلیل‌های پویا از باج‌افزار واناکرای و منابع آن به تحلیل دستی کد نیاز دارد، بنابراین برای به‌دست آوردن سرنخ‌های اولیه از این باج‌افزار به چند روز زمان نیاز است و برای دیدگاه‌های قوی‌تر شاید هفته‌ها وقت لازم باشد. مشکل اصلی در این تحلیل‌ها این است که نیاز به مقایسه‌ هزاران قسمت از کد متعلق به ده‌ها عامل مخرب است. به دلیل اینکه تعداد بدافزارها رو به افزایش است، این مسئله مشکل‌تر می‌شود. تحلیل‌های پویا به‌خوبی با افزایش تعداد بدافزارها و تهدیدها مقیاس‌پذیر نیستند.

تحلیل‌های پویا می‌تواند به تشخیص و تعیین تأثیر زمان اجرای یک قطعه تروجان کمک کند، ولی با ظهور فناوری‌های تشخیص سندباکس و دور زدن راه‌حل‌های امنیتی، این تحلیل‌ها رو به افزایش بوده ولی مقادیر آن محدود است. علاوه‌بر این با مقایسه‌ مشابهت‌های بین کد بدافزارها، نمی‌توان متوجه عملکرد یک باج‌افزار شد و نیاز داریم ده‌ها روش را مورد بررسی قرار دهیم تا به این نتایج برسیم. مقایسه‌ بین پرونده‌های درهم‌سازی همواره مفید نیست و مهاجمان همواره از روش‌های چندریختی استفاده‌می‌کنند تا هر نمونه از بدافزار دارای مقادیر درهم‌سازی متفاوتی باشند. در مورد درهم‌سازی فازی چه می‌دانید که برای تحلیل مشابهت‌های بین پرونده‌ها مورد استفاده قرار می‌گیرد؟ این روش به‌طور افزایشی برای اندازه‌گیری مشابهت بین دو پرونده‌ باینری مورد استفاده قرار می‌گیرد.

چالش اصلی که وجود دارد این است که ابزارهای درهم‌سازی فازی، مانند ssdeep بر روی کل پرونده اعمال می‌شوند و نمی‌تواند شباهت‌های بین یک پرونده با دیگر پرونده‌ها را مشخص کند؛ اما باید بررسی کنیم که آیا می‌توان از روش‌های درهم‌سازی فازی برای پیدا کردن مشابهت بین پرونده‌ها در سطح ریزدانه‌تری استفاده‌کنیم یا خیر؟ این مسئله باعث شده تا RSA به روش‌های تحلیل ایستا برای مقایسه‌ مشابهت بین پرونده‌ها روی بیاورد. این روش همچنین می‌تواند برای مقایسه‌ مشابهت چند تکه از بدافزار با تکه‌های دیگر از بدافزارها مورد استفاده قرار بگیرد. با این رویکرد می‌توانیم نمونه‌ای جدید از بدافزار را ایجاد کنیم. اگر بتوانیم این کار را انجام دهیم می‌توانیم به‌خوبی عملکرد بدافزار را بفهیمم و چندین ابزار بدافزاری را با یکدیگر ادغام کنیم.

[ad_2]

لینک منبع

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *