خبرکاو:

بدافزار ناشناخته یک تهدید امنیت سایبری قابل توجه است و می تواند به سازمان ها و افراد به طور یکسان آسیب جدی وارد کند. زمانی که کد مخرب شناسایی نشود، می‌تواند به اطلاعات محرمانه دسترسی پیدا کند، داده‌ها را خراب کند و به مهاجمان اجازه دهد کنترل سیستم‌ها را به دست آورند. بیابید که چگونه از این شرایط اجتناب کنید و رفتار مخرب ناشناخته را به طور موثر تشخیص دهید.

چالش های شناسایی تهدیدات جدید

در حالی که خانواده‌های بدافزار شناخته‌شده قابل پیش‌بینی‌تر هستند و می‌توان آنها را راحت‌تر شناسایی کرد، تهدیدات ناشناخته می‌توانند اشکال مختلفی داشته باشند و چالش‌هایی را برای شناسایی آنها ایجاد کنند:

توسعه دهندگان بدافزار از پلی مورفیسم استفاده می کنند که به آنها امکان می دهد کد مخرب را تغییر دهند تا انواع منحصر به فرد همان بدافزار را تولید کنند.

بدافزاری وجود دارد که هنوز شناسایی نشده است و قوانینی برای شناسایی ندارد.

برخی از تهدیدها می توانند برای مدتی کاملاً غیرقابل شناسایی (FUD) باشند و امنیت محیطی را به چالش بکشند.

کد اغلب رمزگذاری شده است و تشخیص آن توسط راه حل های امنیتی مبتنی بر امضا را دشوار می کند.

نویسندگان بدافزار ممکن است از رویکرد "کم و آهسته" استفاده کنند، که شامل ارسال مقدار کمی کد مخرب در طول یک شبکه برای مدت طولانی است که شناسایی و مسدود کردن آن را دشوارتر می کند. این می تواند به ویژه در شبکه های شرکتی آسیب زا باشد، جایی که فقدان دید در محیط می تواند منجر به فعالیت مخرب شناسایی نشده شود.

شناسایی تهدیدات جدید

هنگام تجزیه و تحلیل خانواده‌های بدافزار شناخته شده، محققان می‌توانند از اطلاعات موجود در مورد بدافزار مانند رفتار، بارگذاری‌ها و آسیب‌پذیری‌های شناخته‌شده برای شناسایی و پاسخ به آن استفاده کنند.

اما در مواجهه با تهدیدات جدید، محققان باید با استفاده از راهنمای زیر از صفر شروع کنند:

مرحله 1. از مهندسی معکوس برای تجزیه و تحلیل کد بدافزار برای شناسایی هدف و ماهیت مخرب آن استفاده کنید.

مرحله 2 . از تجزیه و تحلیل استاتیک برای تحلیل کدهای بدافزار برای شناسایی رفتار، بارگذاری‌ها و آسیب‌پذیری‌های آن استفاده کنید.

مرحله 3. از تحلیل پویا برای مشاهده رفتار بدافزار در حین اجرا استفاده کنید.

مرحله 4. از sandboxing برای اجرای بدافزار در یک محیط ایزوله استفاده کنید تا رفتار آن را بدون آسیب رساندن به سیستم مشاهده کنید.

مرحله 5. از روش های اکتشافی برای شناسایی کدهای بالقوه مخرب بر اساس الگوها و رفتارهای قابل مشاهده استفاده کنید.

مرحله 6. تجزیه و تحلیل نتایج مهندسی معکوس، تجزیه و تحلیل استاتیک، تجزیه و تحلیل دینامیک، جعبه شنود، و اکتشافی برای تعیین اینکه آیا کد مخرب است.

ابزارهای زیادی از Process Monitor و Wireshark گرفته تا ANY.RUN وجود دارد که به شما کمک می کند تا 5 مرحله اول را طی کنید. اما چگونه برای نتیجه گیری دقیق، در هنگام داشتن این همه داده به چه نکاتی باید توجه کنید؟

پاسخ ساده است - تمرکز بر شاخص های رفتار مخرب.

نظارت بر فعالیت های مشکوک برای شناسایی موثر

برای شناسایی تهدیدها از امضاهای مختلفی استفاده می شود. در اصطلاحات امنیتی کامپیوتر، امضا یک ردپای یا الگوی معمولی است که با یک حمله مخرب به یک شبکه یا سیستم کامپیوتری مرتبط است.

بخشی از این امضاها، امضاهای رفتاری است. غیرممکن است که کاری در سیستم عامل انجام دهید و هیچ ردیابی را پشت سر نگذارید. ما می‌توانیم از طریق فعالیت‌های مشکوک آن‌ها، آن نرم‌افزار یا اسکریپت را شناسایی کنیم.

برای مشاهده رفتار بدافزار و شناسایی هرگونه رفتار مخرب، مانند:

فعالیت غیر طبیعی فایل سیستم،

ایجاد و خاتمه فرآیند مشکوک

فعالیت غیرعادی شبکه

خواندن یا اصلاح فایل های سیستم

دسترسی به منابع سیستم

کاربران جدید ایجاد کنید

به سرورهای راه دور متصل شوید

دستورات مخرب دیگر را اجرا کنید

از آسیب پذیری های شناخته شده در سیستم سوء استفاده کنید

مایکروسافت آفیس PowerShell را راه اندازی می کند - مشکوک به نظر می رسد، درست است؟ یک برنامه خود را به وظایف برنامه ریزی شده اضافه می کند - قطعاً به آن توجه کنید. یک فرآیند svchost از رجیستری موقت اجرا می شود - قطعاً چیزی اشتباه است.

شما همیشه می توانید هر تهدیدی را با رفتار آن تشخیص دهید، حتی بدون امضا.

بیایید ثابت کنیم.

استفاده از مورد شماره 1

اینم یه نمونه از دزد. چه کار میکند؟ اطلاعات کاربر، کوکی ها، کیف پول و غیره را سرقت می کند. چگونه می توانیم آن را تشخیص دهیم؟ به عنوان مثال، زمانی که برنامه فایل Login Data مرورگر کروم را باز می کند، خود را نشان می دهد.

رفتار مشکوک دزد

فعالیت در ترافیک شبکه نیز اهداف مخرب تهدید را اعلام می کند. یک برنامه کاربردی قانونی هرگز اعتبار، ویژگی های سیستم عامل و سایر داده های حساس جمع آوری شده به صورت محلی را ارسال نمی کند.

در مورد ترافیک، بدافزار را می توان با ویژگی های شناخته شده شناسایی کرد. عامل تسلا در برخی موارد داده های ارسال شده از یک سیستم آلوده را مانند این نمونه رمزگذاری نمی کند.

فعالیت مشکوک در ترافیک شبکه

استفاده از مورد شماره 2

برنامه های قانونی زیادی وجود ندارد که نیاز به توقف Windows Defender یا سایر برنامه ها برای محافظت از سیستم عامل یا ایجاد یک استثنا برای خود داشته باشد. هر بار که با این نوع رفتار روبرو می شوید - این نشانه فعالیت مشکوک است.

رفتار مشکوک

آیا برنامه کپی های سایه را حذف می کند؟ شبیه باج افزار است. آیا کپی های سایه را حذف می کند و یک فایل TXT/HTML با متن readme در هر دایرکتوری ایجاد می کند؟ این یک مدرک دیگر برای آن است.

اگر اطلاعات کاربر در این فرآیند رمزگذاری شده باشد، می توانیم مطمئن باشیم که باج افزار است. مانند آنچه در این مثال مخرب رخ داد. حتی اگر خانواده را نشناسیم، می‌توانیم تشخیص دهیم که این نرم‌افزار چه نوع تهدید امنیتی ایجاد می‌کند و سپس بر اساس آن عمل کرده و اقداماتی را برای حفاظت از ایستگاه‌های کاری و شبکه سازمان انجام دهیم.

رفتار مشکوک

بر اساس رفتار مشاهده شده در جعبه شنی می توانیم تقریباً در مورد انواع بدافزارها نتیجه گیری کنیم. سرویس تعاملی آنلاین ANY.RUN را برای نظارت بر آن امتحان کنید - می‌توانید بلافاصله اولین نتایج را دریافت کنید و همه اقدامات بدافزار را در زمان واقعی مشاهده کنید. دقیقاً همان چیزی است که برای گرفتن هرگونه فعالیت مشکوک به آن نیاز داریم.

بسته شدن

مجرمان سایبری می توانند از تهدیدهای ناشناخته برای اخاذی از کسب و کارها برای کسب پول و راه اندازی حملات سایبری در مقیاس بزرگ استفاده کنند. حتی اگر خانواده بدافزار شناسایی نشود - همیشه می‌توانیم عملکرد تهدید را با در نظر گرفتن رفتار آن نتیجه‌گیری کنیم. با استفاده از این داده ها می توانید امنیت اطلاعات را برای جلوگیری از هرگونه تهدید جدید ایجاد کنید. تجزیه و تحلیل رفتار توانایی شما را برای پاسخگویی به تهدیدات جدید و ناشناخته افزایش می دهد و حفاظت از سازمان شما را بدون هزینه اضافی تقویت می کند.

خبرکاو