بدافزار ناشناخته یک تهدید سایبری قابل توجه است و می تواند به سازمان ها و افراد به طور یکسان آسیب جدی وارد کند. زمانی که کد مخرب شناسایی نشود، می‌تواند به اطلاعات محرمانه دسترسی پیدا کند، داده‌ها را خراب کند و به مهاجمان اجازه دهد کنترل سیستم‌ها را بدهد. با ما آموزش ببینید که چگونه از این شرایط اجتناب کنید و رفتار مخرب ناشناخته را به طور موثر تشخیص دهید.

چالش های شناسایی تهدیدات جدید

در حالی که خانواده‌های بدافزارهای  شناخته‌شده قابل پیش‌بینی‌تر هستند و می‌توان آنها را راحت‌تر شناسایی کرد، تهدیدات ناشناخته می‌توانند اشکال مختلفی داشته باشند و چالش‌هایی را برای شناسایی آنها ایجاد کنند:

  1. توسعه دهندگان بدافزار از پلی مورفیسم استفاده می کنند که به آنها امکان می دهد کد مخرب را تغییر دهند تا انواع منحصر به فرد همان بدافزار را تولید کنند.
  2. بدافزاری که هنوز شناسایی نشده، قوانینی هم برای شناسایی ندارد.
  3. برخی از تهدیدات می توانند برای مدتی کاملاً غیرقابل کشف (FUD) باشند و امنیت را به چالش بکشند.
  4. نویسندگان بدافزار ممکن است از رویکرد “کم و آهسته” استفاده کنند، که شامل ارسال مقدار کمی کد مخرب در طول یک شبکه برای مدت طولانی است که شناسایی و مسدود کردن آن را دشوارتر می کند. این کار می تواند به ویژه در شبکه های شرکتی آسیب زا باشد.

شناسایی تهدیدات جدید

هنگام تجزیه و تحلیل خانواده‌های بدافزار شناخته‌شده، محققان می‌توانند از اطلاعات موجود در مورد بدافزار مانند رفتار، بارگذاری‌ها و آسیب‌پذیری‌های شناخته‌شده برای شناسایی و پاسخ به آن بهره ببرند. اما در مواجهه با تهدیدات جدید، محققان باید با استفاده از راهنمای زیر از صفر شروع کنند:

  1. از مهندسی معکوس برای تجزیه و تحلیل کد بدافزار برای شناسایی هدف و ماهیت مخرب آن استفاده کنند.
  2. از تجزیه و تحلیل استاتیک برای بررسی کدهای بدافزار برای شناسایی رفتار، بارگذاری‌ها و آسیب‌پذیری‌های آن استفاده کنند.
  3. از تحلیل پویا برای مشاهده رفتار بدافزار در حین اجرا استفاده کنند.
  4. از sandboxing برای اجرای بدافزار در یک محیط ایزوله استفاده کنند تا رفتار آن را بدون آسیب رساندن به سیستم مشاهده کنند.
  5. از روش های اکتشافی برای شناسایی کدهای بالقوه مخرب بر اساس الگوها و رفتارهای قابل مشاهده استفاده کنند.
  6. نتایج مهندسی معکوس، تجزیه و تحلیل استاتیک، تجزیه و تحلیل پویا، جعبه شنی و اکتشافی را برای تعیین اینکه آیا کد مخرب است، تجزیه و تحلیل کنند.

ابزارهای زیادی از Process Monitor و Wireshark گرفته تا ANY.RUN وجود دارد که به شما کمک می کند تا 5 مرحله اول را طی کنید. اما چگونه برای نتیجه گیری دقیق، به چه نکاتی باید توجه کنید؟

پاسخ ساده است – تمرکز بر شاخص های رفتاری مخرب.

نظارت بر فعالیت های مشکوک برای شناسایی موثر

برای شناسایی تهدیدها از امضاهای مختلفی استفاده می شود. در اصطلاحات امنیتی کامپیوتر، امضا یک ردپا یا الگوی معمولی است که با یک حمله مخرب به یک شبکه یا سیستم کامپیوتری مرتبط است.

بخشی از این امضاها، امضاهای رفتاری است. غیرممکن است که کاری در سیستم عامل انجام دهید و هیچ ردیابی را پشت سر نگذارید. ما می‌توانیم از طریق فعالیت‌های مشکوک آن‌ها را تشخیص دهیم که چه نرم‌افزار یا اسکریپتی استفاده شده است.

شما می توانید با اجرای نرم افزار مشکوک در یک سندباکس، رفتارهای مخرب آنها را از قبیل موارد زیر شناسایی کنید:

  • فعالیت غیر طبیعی فایل سیستم
  • ایجاد و خاتمه فرآیند مشکوک
  • فعالیت غیرعادی شبکه
  • خواندن یا تغییر فایل های سیستم
  • دسترسی به منابع سیستم
  • ایجاد کاربران جدید
  • اتصال ریموت به سرورهایی خاص
  • اجرای دستورات مخرب
  • اکسپلویت کردن آسیب پذیری های شناخته شده در سیستم

شما همیشه می توانید هر تهدیدی را با رفتار آن تشخیص دهید، حتی بدون امضای شناخته شده آن.

بیایید ثابت کنیم:

استفاده از مورد شماره 1

اینم یه نمونه از نرم افزار مخرب. چه کار میکند؟ اطلاعات کاربر، کوکی ها، کیف پول و غیره را سرقت می کند. چگونه می توانیم آن را تشخیص دهیم؟ به عنوان مثال، زمانی که برنامه فایل Login Data مرورگر کروم را باز می کند، خودش را نشان می دهد.

1 2
behavior activities

فعالیت در ترافیک شبکه نیز اهداف مخرب را نشان می دهد. یک برنامه کاربردی قانونی هرگز اعتبار، ویژگی های سیستم عامل و سایر داده های حساس جمع آوری شده به صورت محلی را ارسال نمی کند.

1 1 1
network stream

استفاده از مورد شماره 2

.برنامه های قانونی زیادی وجود ندارد که نیاز به توقف Windows Defender یا سایر برنامه هایی که برای محافظت از سیستم عامل هستند، داشته باشند. هر بار که با این نوع رفتار روبرو می شوید – این یک نشانه فعالیت مشکوک است.

2 1
behavior activities

اگر اطلاعات کاربر در این فرآیند رمزگذاری شود، می توانیم مطمئن باشیم که باج افزار است. مانند آنچه در این مثال مخرب رخ داد. حتی اگر خانواده باج افزار را نشناسیم، می‌توانیم تشخیص دهیم که این نرم‌افزار چه نوع تهدید امنیتی ایجاد می‌کند و سپس بر اساس آن عمل کرده و اقداماتی را برای حفاظت از ایستگاه‌های کاری و شبکه سازمان انجام دهیم.

image3 1
network

بر اساس رفتار مشاهده شده در سندباکس می توانیم تقریباً در مورد انواع بدافزارها نتیجه گیری کنیم. سرویس تعاملی آنلاین ANY.RUN را برای نظارت بر آن استفاده کنید – می‌توانید بلافاصله اولین نتایج را دریافت کنید و همه اقدامات بدافزار را در زمان واقعی مشاهده کنید.

این دقیقاً همان چیزی است که در هنگام دیدن هرگونه فعالیت مشکوک به آن نیاز داریم.

موفق باشید

علیرضا چوبفروشی

جدیدتر تست نفوذ : چرا سازمان شما به آن نیاز دارد
بازگشت به لیست
قدیمی‌تر مهندسی اجتماعی (Social Engineering)

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *