امیرحسین تنگسیری نژاد
مهندس و مدرس شبکه و امنیت سایبری و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

معرفی 13 ابزار تجزیه و تحلیل بدافزار و تشخیص فایل مشکوک

امروزه بدافزارها یکی از تهدیدات بزرگ برای سازمان ها و دارای های ما میباشد. شناسایی و شکار این بدافزارها یکی از موضوعات مهم در حوزه امنیت میباشد. در این مقاله ما قصد داریم در رابطه با 10 ابزار پرکاربرد برای شناسایی و تحلیل بدافزارها صحبت کنیم.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

تجزیه و تحلیل بدافزار ( Malware Analysis ) چیست؟

تجزیه و تحلیل بدافزار به روند و تکنیک ها و ابزارهای اشاره دارد که به واسطه آنها ما میتوانیم رفتار و نحوه کار یک بدافزار را شناسایی کنیم و از طریق آن برای شکار و شناسایی کردن آن در محیط یک سیستم یا شبکه استفاده کنیم. فرآيند تحلیل بدافزار دارای دو حالت میباشد که عبارتند از:

  • تحلیل ایستا ( Static Analysis ) یا تحلیل رفتاری ( Behavioral Analysis )
  • تجزیه و تحلیل تحلیل پویا ( Dynamic Analysis )

تحلیل ایستا ( Static Analysis ) یا تحلیل رفتاری ( Behavioral Analysis ) چیست؟

تجزیه و تحلیل Static دراصل روندی است که از طریق آن ما به واسطه رفتارهای یک بدافزار میتوانیم آن را شناسایی کنیم. این رفتارها شامل Module ها و DLL های مورد استفاده توسط بدافزار میباشد، مقدار Hash و موارد دیگری که میتوان از طریق آن بدافزار را به واسطه رفتارهای آن شناسایی کنیم.
نکته: در تجزیه و تحلیل Static بدافزار در سیستم اجرا سازی نمیشود.

تجزیه و تحلیل تحلیل پویا ( Dynamic Analysis ) چیست؟

در تجزیه و‌ تحلیل Dynamic برعکس تجزیه و تحلیل Static ما بدافزار را اجرا سازی میکنیم و رفتارهای آن را بررسی میکنیم. این رفتارها شامل جست و جو کردن در فایل های مورد استفاده توسط بدافزار، تغییرات ایجاد شده در Registry، رفتارهای مربوط به ارتباطات شبکه مانند نحوه ارتباطات با C2 Sever و آدرس آن و... .

ابزار PEStudio

ابزار PEStudio به مراتب میشه گفت یکی از ابزارهای پرکاربرد در حوزه Malware Analysis و SOC میباشد. این ابزار با دریافت فایل مربوط به بدافزار می‌تواند اطلاعات کاملی از تمامی رفتارها، فایل های مورد استفاده توسط بدافزار و رشته های مربوط به بدافزار را برای ما استخراج کند. این فرآيند می‌تواند به ما کمکی زیادی در شناسایی و کشف فایل ها و کدهای مخرب درون بدافزار کند. به دست اوردن کدها و String های موجود در بدافزار همچنين می‌تواند موجب کشف C2 Server نیز شود. هرچند امروزه آدرس C2 Server به صورت مستقیم در کدبدافزارها قرار نمی‌گیرد.

معرفی 13 ابزار تجزیه و تحلیل بدافزار و تشخیص فایل مشکوک

ابزار Process Hacker

این ابزار یکی از ابزارهای پرکاربرد در نظارت بر روی فرآيند های روی سیستم میباشد. به واسطه ابزار Process Hacker ما میتوانیم در هنگام اجرا شدن یک بدافزار رفتارهای که در سطح Memory و بر روی Process ها انجام میدهد را شناسایی کنیم. بدافزارها اغلب پس از اجراسازی معمولا از یک Process دیگر برای پنهان کردن خودشان استفاده میکنند که ما با استفاده از Process Hacker میتوانیم این فرآيند را شناسایی و Process مخرب بدافزار که توسط یک Process دیگر پنهان شده است را شناسایی کرد.

معرفی 13 ابزار تجزیه و تحلیل بدافزار و تشخیص فایل مشکوک

ابزار Process Explorer

ابزار Process Explorer یکی از ابزارهای مجموعه Microsoft Sysinternals میباشد. این ابزار به Process Hacker شباهت دارد و اغلب برای شناسایی بدافزارها و Process های مخرب و پنهان شده مورد استفاده قرار میگیرد. این ابزار امکانات زیادی را در اختيار ما قرار میدهد که بتوانیم Process های پنهان شده و یا حملات مختلفی که رخ داده اند را شناسایی کنیم.

معرفی 13 ابزار تجزیه و تحلیل بدافزار و تشخیص فایل مشکوک

ابزار ProcMon

یکی از ابزارهای پرکاربرد نظارت بر روی فعالیت های سیستم ProcMon میباشد. این ابزار نظارت دقیق و در لحظه را از فعالیت های یک سیستم را به ما نشان میدهد. این فعالیت ها شامل File System و Registry Key ها و Process های موجود بر روی سیستم میشود. این نرم افزار هم می‌تواند بر روی Linux هم بر روی Windows اجرا سازی شود.

معرفی 13 ابزار تجزیه و تحلیل بدافزار و تشخیص فایل مشکوک

ابزار Cuckoo

زمانی که قصد داشته باشیم یک بدافزار که شامل نوع های مختلفی از جمله کرم ها ( Worms ) و Rootkit ها و... شود نیاز داریم که درک بسیار خوبی از این بدافزار داشته باشیم. برای اینکه این موضوع به انجام برسد و درک خوبی از بدافزار به دست بیاوریم نیاز به یک محیط جداسازی شده از سیستم داریم که به اصطلاح به آن Sandbox میگویند. ابزار Cuckoo یک Sandbox بسیار قوی جهت تحلیل بدافزارها میباشد.

ابزار PE-Bear

ابزار PE-Bear یکی از ابزارهای کاربردی برای مهندسی معکوس فایل های PE میباشد. این ابزار به راحتی میتواند برای تحلیل فایل های PE32 و PE64 مورد استفاده قرار بگیرد.

معرفی 13 ابزار تجزیه و تحلیل بدافزار و تشخیص فایل مشکوک

ابزار YARA

درواقع YARA یکی از ابزار های پرکاربرد و پر استفاده در بین افرادی است که قصد و هدف شناسایی بد افزار های موجود درون یک سیستم را دارند. این ابزار که به صورت رایگان و Open Source ارائه شده است این امکان را به ما میدهد که تحت خط فرمان به واسطه Script های آن و Script های Python شروع به نوشتن قوانینی برای شناسایی این بد افزار ها کنیم. ابزار YARA این فرآيند به صورت Signature Based (و یا همان String Based) انجام میدهد که همانند ویژگی اولیه AntiVirus ها برای شناسایی بد افزار ها میباشد.

معرفی 13 ابزار تجزیه و تحلیل بدافزار و تشخیص فایل مشکوک

ابزار Wireshark

ابزار Wireshark یکی از ابزارهای معروف و پرکاربرد برای نظارت و تحلیل ترافیک های شبکه میباشد. از طریق این ابزار و قابلیت های آن ما به راحتی میتوانیم ارتباطات و رفتارهای شبکه ای یک بدافزار را شناسایی و بررسی کنیم. این ابزار در شناسایی C2 Server و بررسی حمله کمک زیادی به ما میکند.

معرفی 13 ابزار تجزیه و تحلیل بدافزار و تشخیص فایل مشکوک

ابزار Fiddler

ابزار Fiddler را میتوان به عنوان یک Debugger برای ترافیک های وب درنظر گرفت که میتواند به عنوان یک Web Proxy عمل کند و واسطی بین سیستم ما و ترافیک های وب باشد. بدافزارها اغلب از پروتکل های مانند HTTP/HTTPS برای ارتباط با C2 Server و یا دانلود فایل های مخرب و Macro ها استفاده میکنند. ابزار Fiddler با رصد و نظارت بر روی این ترافیک ها میتواند ترافیک های مخرب را شناسایی و کشف کند.

معرفی 13 ابزار تجزیه و تحلیل بدافزار و تشخیص فایل مشکوک

ابزار Dependency Walker

این ابزار یکی از ابزارهای میباشد که برای نمایش دادن وابستگی ها و توابع مورد استفاده یک نرم افزار میباشد.

معرفی 13 ابزار تجزیه و تحلیل بدافزار و تشخیص فایل مشکوک

ابزار X64dbg

ابزار X64dbg یکی از محبوب ترین Debugger ها و ابزارهای تحلیل بدافزار میباشد. این ابزار با رابط کاربری ساده امکانات زیاد میتواند به تحلیلگران در تحلیل بدافزارها و مهندسی معکوس فایل های اجرایی کمک زیادی کند.

معرفی 13 ابزار تجزیه و تحلیل بدافزار و تشخیص فایل مشکوک

ابزار Autoruns

این ابزار یکی از ابزارهای مجموعه Sysinternals میباشد که توسط Microsoft ارائه شده است. این ابزار لیستی از تمامی نرم افزارها و فایل های که درهنگام اجرا شدن سیستم راه اندازی و اجرا میشوند را نمایش میدهد. بدافزارها برای اینکه دسترسی خود را پایدار سازی کند از تکنیک‌های استفاده میکند که در هنگام اجرا شدن سیستم بدافزار نیز مجددا اجرا شود. ابزار Autoruns به راحتی میتواند این پایدارسازی های مربوط به نرم افزارهای مخرب را شناسایی کند.

معرفی 13 ابزار تجزیه و تحلیل بدافزار و تشخیص فایل مشکوک

ابزار Hybrid-Analysis

این ابزار دراصل یک بستر آنلاین و رایگان برای تحلیل فایل های اجرایی مخرب میباشد. این بستر توسط Crowdstrike Falcon Sandbox پشتیبانی میشود و با دریافت فایل های مربوط به بدافزارها میتواند آنهارا تحلیل و گزارشی در رابطه با آنها ارائه کند. این بستر از قابلیت های دیگری همچون بررسی IOC ها و گزارش ها نیز پشتیبانی میکند. Hybrid-Analysis با ارائه API های رایگان میتواند با بسترهای دیگر ادغام شود یا که ابزارهای متنوعی با استفاده از آن ایجاد و توسعه یابد.

معرفی 13 ابزار تجزیه و تحلیل بدافزار و تشخیص فایل مشکوک

g


امیرحسین تنگسیری نژاد
امیرحسین تنگسیری نژاد

مهندس و مدرس شبکه و امنیت سایبری و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

متخصص امنیت اطلاعات و کارشناس شکار تهدیدات بانک ملی ایران ، دارای مدارک مختلف از Splunk و AWS و Fortinet و Huawei حوزه اصلی فعالیت بنده در زمینه شبکه مباحث R&S و Service Provider می‌باشد و در زمینه امنیت نیز در موقعیت های مختلفی مانند PenTest و SoC فعالیت داشته و دارم. سابقه همکاری با بعضی سازمان های در قالب پروژه و... را داشته ام الان به عنوان تحلیلگر امنیت سایبری در زیرساخت بانک ملی مشغول به کار هستم. لینکداین: https://www.linkedin.com/in/amirhoseintangsirinezhad/

نظرات