امروزه بدافزارها یکی از تهدیدات بزرگ برای سازمان ها و دارای های ما میباشد. شناسایی و شکار این بدافزارها یکی از موضوعات مهم در حوزه امنیت میباشد. در این مقاله ما قصد داریم در رابطه با 10 ابزار پرکاربرد برای شناسایی و تحلیل بدافزارها صحبت کنیم.
تجزیه و تحلیل بدافزار به روند و تکنیک ها و ابزارهای اشاره دارد که به واسطه آنها ما میتوانیم رفتار و نحوه کار یک بدافزار را شناسایی کنیم و از طریق آن برای شکار و شناسایی کردن آن در محیط یک سیستم یا شبکه استفاده کنیم. فرآيند تحلیل بدافزار دارای دو حالت میباشد که عبارتند از:
تجزیه و تحلیل Static دراصل روندی است که از طریق آن ما به واسطه رفتارهای یک بدافزار میتوانیم آن را شناسایی کنیم. این رفتارها شامل Module ها و DLL های مورد استفاده توسط بدافزار میباشد، مقدار Hash و موارد دیگری که میتوان از طریق آن بدافزار را به واسطه رفتارهای آن شناسایی کنیم.
نکته: در تجزیه و تحلیل Static بدافزار در سیستم اجرا سازی نمیشود.
در تجزیه و تحلیل Dynamic برعکس تجزیه و تحلیل Static ما بدافزار را اجرا سازی میکنیم و رفتارهای آن را بررسی میکنیم. این رفتارها شامل جست و جو کردن در فایل های مورد استفاده توسط بدافزار، تغییرات ایجاد شده در Registry، رفتارهای مربوط به ارتباطات شبکه مانند نحوه ارتباطات با C2 Sever و آدرس آن و... .
ابزار PEStudio به مراتب میشه گفت یکی از ابزارهای پرکاربرد در حوزه Malware Analysis و SOC میباشد. این ابزار با دریافت فایل مربوط به بدافزار میتواند اطلاعات کاملی از تمامی رفتارها، فایل های مورد استفاده توسط بدافزار و رشته های مربوط به بدافزار را برای ما استخراج کند. این فرآيند میتواند به ما کمکی زیادی در شناسایی و کشف فایل ها و کدهای مخرب درون بدافزار کند. به دست اوردن کدها و String های موجود در بدافزار همچنين میتواند موجب کشف C2 Server نیز شود. هرچند امروزه آدرس C2 Server به صورت مستقیم در کدبدافزارها قرار نمیگیرد.
این ابزار یکی از ابزارهای پرکاربرد در نظارت بر روی فرآيند های روی سیستم میباشد. به واسطه ابزار Process Hacker ما میتوانیم در هنگام اجرا شدن یک بدافزار رفتارهای که در سطح Memory و بر روی Process ها انجام میدهد را شناسایی کنیم. بدافزارها اغلب پس از اجراسازی معمولا از یک Process دیگر برای پنهان کردن خودشان استفاده میکنند که ما با استفاده از Process Hacker میتوانیم این فرآيند را شناسایی و Process مخرب بدافزار که توسط یک Process دیگر پنهان شده است را شناسایی کرد.
ابزار Process Explorer یکی از ابزارهای مجموعه Microsoft Sysinternals میباشد. این ابزار به Process Hacker شباهت دارد و اغلب برای شناسایی بدافزارها و Process های مخرب و پنهان شده مورد استفاده قرار میگیرد. این ابزار امکانات زیادی را در اختيار ما قرار میدهد که بتوانیم Process های پنهان شده و یا حملات مختلفی که رخ داده اند را شناسایی کنیم.
یکی از ابزارهای پرکاربرد نظارت بر روی فعالیت های سیستم ProcMon میباشد. این ابزار نظارت دقیق و در لحظه را از فعالیت های یک سیستم را به ما نشان میدهد. این فعالیت ها شامل File System و Registry Key ها و Process های موجود بر روی سیستم میشود. این نرم افزار هم میتواند بر روی Linux هم بر روی Windows اجرا سازی شود.
زمانی که قصد داشته باشیم یک بدافزار که شامل نوع های مختلفی از جمله کرم ها ( Worms ) و Rootkit ها و... شود نیاز داریم که درک بسیار خوبی از این بدافزار داشته باشیم. برای اینکه این موضوع به انجام برسد و درک خوبی از بدافزار به دست بیاوریم نیاز به یک محیط جداسازی شده از سیستم داریم که به اصطلاح به آن Sandbox میگویند. ابزار Cuckoo یک Sandbox بسیار قوی جهت تحلیل بدافزارها میباشد.
ابزار PE-Bear یکی از ابزارهای کاربردی برای مهندسی معکوس فایل های PE میباشد. این ابزار به راحتی میتواند برای تحلیل فایل های PE32 و PE64 مورد استفاده قرار بگیرد.
درواقع YARA یکی از ابزار های پرکاربرد و پر استفاده در بین افرادی است که قصد و هدف شناسایی بد افزار های موجود درون یک سیستم را دارند. این ابزار که به صورت رایگان و Open Source ارائه شده است این امکان را به ما میدهد که تحت خط فرمان به واسطه Script های آن و Script های Python شروع به نوشتن قوانینی برای شناسایی این بد افزار ها کنیم. ابزار YARA این فرآيند به صورت Signature Based (و یا همان String Based) انجام میدهد که همانند ویژگی اولیه AntiVirus ها برای شناسایی بد افزار ها میباشد.
ابزار Wireshark یکی از ابزارهای معروف و پرکاربرد برای نظارت و تحلیل ترافیک های شبکه میباشد. از طریق این ابزار و قابلیت های آن ما به راحتی میتوانیم ارتباطات و رفتارهای شبکه ای یک بدافزار را شناسایی و بررسی کنیم. این ابزار در شناسایی C2 Server و بررسی حمله کمک زیادی به ما میکند.
ابزار Fiddler را میتوان به عنوان یک Debugger برای ترافیک های وب درنظر گرفت که میتواند به عنوان یک Web Proxy عمل کند و واسطی بین سیستم ما و ترافیک های وب باشد. بدافزارها اغلب از پروتکل های مانند HTTP/HTTPS برای ارتباط با C2 Server و یا دانلود فایل های مخرب و Macro ها استفاده میکنند. ابزار Fiddler با رصد و نظارت بر روی این ترافیک ها میتواند ترافیک های مخرب را شناسایی و کشف کند.
این ابزار یکی از ابزارهای میباشد که برای نمایش دادن وابستگی ها و توابع مورد استفاده یک نرم افزار میباشد.
ابزار X64dbg یکی از محبوب ترین Debugger ها و ابزارهای تحلیل بدافزار میباشد. این ابزار با رابط کاربری ساده امکانات زیاد میتواند به تحلیلگران در تحلیل بدافزارها و مهندسی معکوس فایل های اجرایی کمک زیادی کند.
این ابزار یکی از ابزارهای مجموعه Sysinternals میباشد که توسط Microsoft ارائه شده است. این ابزار لیستی از تمامی نرم افزارها و فایل های که درهنگام اجرا شدن سیستم راه اندازی و اجرا میشوند را نمایش میدهد. بدافزارها برای اینکه دسترسی خود را پایدار سازی کند از تکنیکهای استفاده میکند که در هنگام اجرا شدن سیستم بدافزار نیز مجددا اجرا شود. ابزار Autoruns به راحتی میتواند این پایدارسازی های مربوط به نرم افزارهای مخرب را شناسایی کند.
این ابزار دراصل یک بستر آنلاین و رایگان برای تحلیل فایل های اجرایی مخرب میباشد. این بستر توسط Crowdstrike Falcon Sandbox پشتیبانی میشود و با دریافت فایل های مربوط به بدافزارها میتواند آنهارا تحلیل و گزارشی در رابطه با آنها ارائه کند. این بستر از قابلیت های دیگری همچون بررسی IOC ها و گزارش ها نیز پشتیبانی میکند. Hybrid-Analysis با ارائه API های رایگان میتواند با بسترهای دیگر ادغام شود یا که ابزارهای متنوعی با استفاده از آن ایجاد و توسعه یابد.
g
مهندس و مدرس شبکه و امنیت سایبری و مدیر کل جزیره هک و امنیت اطلاعات توسینسو
متخصص امنیت اطلاعات و کارشناس شکار تهدیدات بانک ملی ایران ، دارای مدارک مختلف از Splunk و AWS و Fortinet و Huawei حوزه اصلی فعالیت بنده در زمینه شبکه مباحث R&S و Service Provider میباشد و در زمینه امنیت نیز در موقعیت های مختلفی مانند PenTest و SoC فعالیت داشته و دارم. سابقه همکاری با بعضی سازمان های در قالب پروژه و... را داشته ام الان به عنوان تحلیلگر امنیت سایبری در زیرساخت بانک ملی مشغول به کار هستم. لینکداین: https://www.linkedin.com/in/amirhoseintangsirinezhad/
زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18
فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود