آموزشی Malware Traffic Analysis یا تحلیل بدافزار چیست؟
شبکهها میتوانند توسط طیف وسیعی از بدافزارها آلوده شوند. هرچند که راهکارهای امنیتی و نرمافزار و سختافزارهای بسیاری برای جلوگیری از آلوده شدن سیستم یا شبکه شما وجود دارد اما بههرحال بسیاری از بدافزارها میتوانند از این سکوهای امنیتی و ایستگاههای بازرسی شبکه شما گذر کرده و شبکه شما را دچار مشکل کنند. برای کسب اطلاعات در زمینه اینکه تحلیل بدافزار چیست د رادامه متن همراه ما باشید.
تحلیل بدافزار چیست ؟برای پیداکردن و این بدافزارها نیاز به دانش تخصصی و البته صبر و حوصله دارد. در بسیاری از مواقع با بروز نگهداشتن سیستمهای امنیتی همچون آنتیویروس و فایروال میتوانید از نفوذ این بدافزارها به سیستم خود جلوگیری کنید.
اما در مواقعی نیز احتیاج به تحلیل ترافیک بدافزار است تا بتوانید کلاینتهای آلوده را شناسایی کرده و بجهت حذف بدافزار اقدام کنید. با استفاده از تحلیل ترافیک بدافزار و استفاده از ابزاری همچون Wireshark و Suricata میتوانید بدافزارهای احتمالی را شناسایی و آنها را حذف نمایید.
Malware تحلیل بدافزار
تحلیل بدافزار چیست ؟ به زبان ساده بدافزار در واقع نمونه کوتاه شده نرمافزار بد است. بدافزارها طیف وسیعی دارند همچون، ویروسها، کرمها، تروجانها، جاسوسافزارها، باجافزار و … همگی در دستهبندی بدافزار قرار خواهند گرفت. تمامی این موارد و وجود آنها در سیستم شما میتواند باعث مشکلات متعددی در شبکه یا سیستم شما شود. یکی از روشهای پیداکردن این بدافزارها استفاده از روش تحلیل ترافیک بدافزار است. با مشاهده و پیداکردن پکتهای مشخص میتوانید متوجه شوید که چه کلاینت یا ابزاری در شبکه شما آلوده به بدافزار شده است.
تجزیه تحلیل بدافزارها در سه روش کلی امکانپذیر است، تجزیه تحلیل ایستا (Static Analysis)، تحلیل با استفاده از یادگیری ماشینی (Mcahine Learning Analysis) و البته تحلیلهای پویا (Dynamic Analysis)
تحلیل ایستا بدافزار (استاتیک)
تجزیهوتحلیل استاتیک را شاید بتوان خط اول دفاعی شناخت یک بدافزار دانست. این تحلیل شامل بررسی کلی بدافزار بدون آسیب رسیدن به سیستم یا کلاینت آلوده است. بخش عمدهای از بدافزارها به این روش میتوانند شناسایی شده و با کمک ابزار مختلف حذف گردند. اما این تحلیل نیازمند صرف زمان و انرژی است که میتواند در صورت آلودگی وسیع شبکه و کلاینتها یا کمبود نیروی انسانی متخصص انتخاب مناسبی جهت شناسایی بدافزار نباشد.
در تحلیل بدافزار ایستا کارشناس امنیت فایل اجرایی بدافزار را درون ابزار تحلیل دودویی همچون IDA وارد میکند. در این حالت کد فایل اجرایی بدافزار به زبان اسمبلی در اختیار کارشناس قرار خواهد گرفت که کار خواندن و درک آن را راحت خواهد کرد. بسیاری از شرکتهای بزرگ از این روش برای شناسایی بدافزار و البته اصالت کدهای استفاده شده در یک نرمافزار استفاده میکنند.
تحلیل بدافزار
تجزیه تحلیل پویا (داینامیک)
در تحلیل بدافزار پویا معمولاً از یک ماشین مجازی برای بررسی رفتار و کدهای یک بدافزار استفاده میشود. با قراردادن بدافزار در یک محیط مجازی کنترل شده یا Sand Box میتوان بهراحتی رفتار و پکتهای ارسالی و دریافتی بدافزار را مشاهده کرد. این اطلاعات میتوانند برای شناسایی ابزار نفوذی بدافزار و یا دیگر ویژگیهای آن استفاده شود.
اما این روش نیز در کنار مزایای خود معایبی را نیز دارد. این روش و روش یادگیری ماشینی هر دو نیاز به دانشپایه و آشنایی قبلی با بدافزار دارند. این نوع تجزیهوتحلیل برای بدافزارهای جدید نمیتواند انتخاب مناسبی باشد.
استفاده از ماشینهای مجازی Vmware و VirtualBox در این تحلیل بسیار متداول است. در ماشین مجازی نرمافزاری مدیریتی و نظارتی همچون Wireshark و ProcDot و حتی Proccess Monitor را نصب نمایید. بسته ReMunx نیز میتواند انتخاب مناسبی برای مانیتورینگ و تجزیهوتحلیل اطلاعات باشد که البته تنها برای سیستمعامل لینوکس در دسترس است.
تحلیل بدافزار با استفاده از یادگیری ماشینی (Machine Learning)
تجزیهوتحلیل بدافزار بهوسیله یادگیری ماشینی به معنای ایجاد یک سامانه خودکارسازی برای شناسایی و طبقهبندی یک بدافزار است. با استفاده از این روش میتوان اطلاعات مفیدی از نحوه عملکرد بدافزار به دست آورد. اما این روش میتواند زمان زیادی را صرف خود کند. باتوجهبه اینکه ML میبایست فاکتورهای متغیر را شناسایی و از آنها برای ایجاد شرایط متفاوت برای بدافزار استفاده کند زمان و قدرت پردازشی را نیاز خواهد داشت.
با استفاده از ابزارهایی همچون WireShark و Procomon میتوانید هرگونه فعالیت بدافزار را رصد و پیگیری نمایید. البته این موضوع نیازمند پایهریزی و تنظیم مناسب نرمافزار WireShark است. این رم افزار باید بتواند تمامی ترافیک شناخته و ناشناختهای را رصد و ردیابی کند تا بهوسیله آن بتوانید تحلیل بدافزار مناسبی را داشته باشید.
روش تحلیل رفتاری و ترافیکی و تحلیل بدافزار چیست؟
البته که روشهای دیگری نیز برای بررسی و تحلیل بدافزار بکار میرود نیز وجود دارند. تجزیهوتحلیل رفتاری میتواند در یک محیط کاملاً ایزوله و تحت شرایط کنترل شده میتواند اطلاعات بسیار مناسبی را در اختیار کارشناس امنیت قرار دهد. پاسخدادن به سؤالاتی همچون، نحوه اسکن شبکه توسط بدافزار، فعالیت و زمان فعالیت بدافزار، پورتهای در دسترس بدافزار و بسیاری از اطلاعات و پرسشهای دیگر میتواند باعث شناخته هرچه بیشتر بدافزار شود.
با قراردادن بدافزار در یک محیط کاملاً دلخواه یا Honey Farm میتوانید تحلیل بدافزار را به نحو احسنت انجام دهید اما توجه داشته باشید که همیشه امکان گریز بدافزار از محیط مجازی وجود دارد.
تحلیل بدافزار
پیشنهاد ما به شما : دوره آموزش SANS FOR 610
سخن پایانی
پیشرفت فناوری دیجیتال نسبت به گذشته سرعت بیشتری یافته است و نرمافزارهای امنیتی حال میتوانند بادقت بالاتر و درصد خطای پایینتری نسبت به شناسایی و تحلیل بدافزارها اقدام کنند. اما بدافزارها نیز از این قاعده مستثنی نماندهاند و سرعت پیشرفت و استفاده از روشهای پیچیده نفوذ نیز در آنها نیز بیشتر شده است. ازاینرو تحلیل و تجزیه روشهای نفوذ و البته تحلیل بدافزار همچنان در خط مقدم جبهه امنیت قرار دارد.
ازاینرو یادگیری نرمافزار یا ابزارهایی همچون Wireshark، Procmon یا حتی Windows Sysinternals میتواند انتخاب مناسبی برای طیف وسیعی از کاربران باشد. هرچه دانش شما در باره این نرمافزارها و روشهای تحلیل بدافزار بیشتر باشد درصد موفقیت شما در شناسایی و حذف یک بدافزار بالا خواهد رفت.
در مرحله اول ایجاد دیوار آتشین و استفاده از نرمافزارهای مناسب جهت کنترل ترافیک ورودی خصوصاً از طریق شبکه اینترنت میتواند احتمال آلودگی شبکه و سیستم شما را به انواع بدافزارها کاهش دهد. اما همانطور که اشاره کردیم بدافزارها نیز همگام با نرمافزارهای امنیتی پیشرفت میکنند و گاهی اوقات شناسایی آنها برای آنتیویروس شما سخت خواهد بود. آموزش کارکنان برای کاهش درصد احتمال مواجهه با فایل یا صفحات آلوده نیز میتواند انتخابی مناسب برای حفظ امنیت شبکه شما باشد.
دیدگاهتان را بنویسید