آموزشی Malware Traffic Analysis یا تحلیل بدافزار چیست؟

شبکه‌ها می‌توانند توسط طیف وسیعی از بدافزارها آلوده شوند. هرچند که راهکارهای امنیتی و نرم‌افزار و سخت‌افزارهای بسیاری برای جلوگیری از آلوده شدن سیستم یا شبکه شما وجود دارد اما به‌هرحال بسیاری از بدافزارها می‌توانند از این سکوهای امنیتی و ایستگاه‌های بازرسی شبکه شما گذر کرده و شبکه شما را دچار مشکل کنند. برای کسب اطلاعات در زمینه اینکه تحلیل بدافزار چیست د رادامه متن همراه ما باشید.

تحلیل بدافزار چیست ؟برای پیداکردن و این بدافزارها نیاز به دانش تخصصی و البته صبر و حوصله دارد. در بسیاری از مواقع با بروز نگه‌داشتن سیستم‌های امنیتی همچون آنتی‌ویروس و فایروال می‌توانید از نفوذ این بدافزارها به سیستم خود جلوگیری کنید.

اما در مواقعی نیز احتیاج به تحلیل ترافیک بدافزار است تا بتوانید کلاینت‌های آلوده را شناسایی کرده و بجهت حذف بدافزار اقدام کنید. با استفاده از تحلیل ترافیک بدافزار و استفاده از ابزاری همچون Wireshark و Suricata می‌توانید بدافزارهای احتمالی را شناسایی و آنها را حذف نمایید.

Malware تحلیل بدافزار

تحلیل بدافزار چیست ؟ به زبان ساده بدافزار در واقع نمونه کوتاه شده نرم‌افزار بد است. بدافزارها طیف وسیعی دارند همچون، ویروس‌ها، کرم‌ها، تروجان‌ها، جاسوس‌افزارها، باج‌افزار و … همگی در دسته‌بندی بدافزار قرار خواهند گرفت. تمامی این موارد و وجود آنها در سیستم شما می‌تواند باعث مشکلات متعددی در شبکه یا سیستم شما شود. یکی از روش‌های پیداکردن این بدافزارها استفاده از روش تحلیل ترافیک بدافزار است. با مشاهده و پیداکردن پکت‌های مشخص می‌توانید متوجه شوید که چه کلاینت یا ابزاری در شبکه شما آلوده به بدافزار شده است.

تجزیه تحلیل بدافزارها در سه روش کلی امکان‌پذیر است، تجزیه تحلیل ایستا (Static Analysis)، تحلیل با استفاده از یادگیری ماشینی (Mcahine Learning Analysis) و البته تحلیل‌های پویا (Dynamic Analysis)

تحلیل ایستا بدافزار (استاتیک)

تجزیه‌وتحلیل استاتیک را شاید بتوان خط اول دفاعی شناخت یک بدافزار دانست. این تحلیل شامل بررسی کلی بدافزار بدون آسیب رسیدن به سیستم یا کلاینت آلوده است. بخش عمده‌ای از بدافزارها به این روش می‌توانند شناسایی شده و با کمک ابزار مختلف حذف گردند. اما این تحلیل نیازمند صرف زمان و انرژی است که می‌تواند در صورت آلودگی وسیع شبکه و کلاینت‌ها یا کمبود نیروی انسانی متخصص انتخاب مناسبی جهت شناسایی بدافزار نباشد.

در تحلیل بدافزار ایستا کارشناس امنیت فایل اجرایی بدافزار را درون ابزار تحلیل دودویی همچون IDA وارد می‌کند. در این حالت کد فایل اجرایی بدافزار به زبان اسمبلی در اختیار کارشناس قرار خواهد گرفت که کار خواندن و درک آن را راحت خواهد کرد. بسیاری از شرکت‌های بزرگ از این روش برای شناسایی بدافزار و البته اصالت کدهای استفاده شده در یک نرم‌افزار استفاده می‌کنند.

تحلیل بدافزار

تجزیه تحلیل پویا (داینامیک)

در تحلیل بدافزار پویا معمولاً از یک ماشین مجازی برای بررسی رفتار و کدهای یک بدافزار استفاده می‌شود. با قراردادن بدافزار در یک محیط مجازی کنترل شده یا Sand Box می‌توان به‌راحتی رفتار و پکت‌های ارسالی و دریافتی بدافزار را مشاهده کرد. این اطلاعات می‌توانند برای شناسایی ابزار نفوذی بدافزار و یا دیگر ویژگی‌های آن استفاده شود.

اما این روش نیز در کنار مزایای خود معایبی را نیز دارد. این روش و روش یادگیری ماشینی هر دو نیاز به دانش‌پایه و آشنایی قبلی با بدافزار دارند. این نوع تجزیه‌وتحلیل برای بدافزارهای جدید نمی‌تواند انتخاب مناسبی باشد.

استفاده از ماشین‌های مجازی Vmware و VirtualBox در این تحلیل بسیار متداول است. در ماشین مجازی نرم‌افزاری مدیریتی و نظارتی همچون Wireshark  و ProcDot و حتی Proccess Monitor را نصب نمایید. بسته ReMunx نیز می‌تواند انتخاب مناسبی برای مانیتورینگ و تجزیه‌وتحلیل اطلاعات باشد که البته تنها برای سیستم‌عامل لینوکس در دسترس است.

تحلیل بدافزار با استفاده از یادگیری ماشینی (Machine Learning)

تجزیه‌وتحلیل بدافزار به‌وسیله یادگیری ماشینی به معنای ایجاد یک سامانه خودکارسازی برای شناسایی و طبقه‌بندی یک بدافزار است. با استفاده از این روش می‌توان اطلاعات مفیدی از نحوه عملکرد بدافزار به دست آورد. اما این روش می‌تواند زمان زیادی را صرف خود کند. باتوجه‌به اینکه ML می‌بایست فاکتورهای متغیر را شناسایی و از آنها برای ایجاد شرایط متفاوت برای بدافزار استفاده کند زمان و قدرت پردازشی را نیاز خواهد داشت.

با استفاده از ابزارهایی همچون WireShark و Procomon می‌توانید هرگونه فعالیت بدافزار را رصد و پیگیری نمایید. البته این موضوع نیازمند پایه‌ریزی و تنظیم مناسب نرم‌افزار WireShark است. این رم افزار باید بتواند تمامی ترافیک شناخته و ناشناخته‌ای را رصد و ردیابی کند تا به‌وسیله آن بتوانید تحلیل بدافزار مناسبی را داشته باشید.

روش تحلیل رفتاری و ترافیکی و تحلیل بدافزار چیست؟

البته که روش‌های دیگری نیز برای بررسی و تحلیل بدافزار بکار می‌رود نیز وجود دارند. تجزیه‌وتحلیل رفتاری می‌تواند در یک محیط کاملاً ایزوله و تحت شرایط کنترل شده می‌تواند اطلاعات بسیار مناسبی را در اختیار کارشناس امنیت قرار دهد. پاسخ‌دادن به سؤالاتی همچون، نحوه اسکن شبکه توسط بدافزار، فعالیت و زمان فعالیت بدافزار، پورت‌های در دسترس بدافزار و بسیاری از اطلاعات و پرسش‌های دیگر می‌تواند باعث شناخته هرچه بیشتر بدافزار شود.

با قراردادن بدافزار در یک محیط کاملاً دلخواه یا Honey Farm می‌توانید تحلیل بدافزار را به نحو احسنت انجام دهید اما توجه داشته باشید که همیشه امکان گریز بدافزار از محیط مجازی وجود دارد.

تحلیل بدافزار

پیشنهاد ما به شما : دوره آموزش SANS FOR 610

سخن پایانی

پیشرفت فناوری دیجیتال نسبت به گذشته سرعت بیشتری یافته است و نرم‌افزارهای امنیتی حال می‌توانند بادقت بالاتر و درصد خطای پایین‌تری نسبت به شناسایی و تحلیل بدافزارها اقدام کنند. اما بدافزارها نیز از این قاعده مستثنی نمانده‌اند و سرعت پیشرفت و استفاده از روش‌های پیچیده نفوذ نیز در آن‌ها  نیز بیشتر شده است. ازاین‌رو تحلیل و تجزیه روش‌های نفوذ و البته تحلیل بدافزار همچنان در خط مقدم جبهه امنیت قرار دارد.

ازاین‌رو یادگیری نرم‌افزار یا ابزارهایی همچون Wireshark، Procmon یا حتی Windows Sysinternals می‌تواند انتخاب مناسبی برای طیف وسیعی از کاربران باشد. هرچه دانش شما در باره این نرم‌افزارها و روش‌های تحلیل بدافزار بیشتر باشد درصد موفقیت شما در شناسایی و حذف یک بدافزار بالا خواهد رفت.

در مرحله اول ایجاد دیوار آتشین و استفاده از نرم‌افزارهای مناسب جهت کنترل ترافیک ورودی خصوصاً از طریق شبکه اینترنت می‌تواند احتمال آلودگی شبکه و سیستم شما را به انواع بدافزارها کاهش دهد. اما همان‌طور که اشاره کردیم بدافزارها نیز همگام با نرم‌افزارهای امنیتی پیشرفت می‌کنند و گاهی اوقات شناسایی آنها برای آنتی‌ویروس شما سخت خواهد بود. آموزش کارکنان برای کاهش درصد احتمال مواجهه با فایل یا صفحات آلوده نیز می‌تواند انتخابی مناسب برای حفظ امنیت شبکه شما باشد.