ارائه پلتفرمی برای تشخیص بدافزارها

ارائه پلتفرمی برای تشخیص بدافزارها

به گزارش سئو مئو تعدادی از محققان كشور پلتفرمی را طراحی كردند كه بوسیله آن علاوه بر آنكه می توان بدافزارهایی كه بوسیله شبكه های اجتماعی منتشر می شود را شناسایی كرد، با كمك آن امكان منشا انتشار بدافزارها نیز برای كاربران فراهم می شود.
امیرگوران اوریمی از پژوهشگران این طرح در گفت و گو با ایسنا در این باره اظهار داشت: در این پروژه پلت فرم تحلیل بدافزار طراحی و پیاده سازی شد كه قادر می باشد یك فایل را در سطوح مختلف از لحاظ ماهیت فایل (بدافزار یا سالم بودن) مورد ارزیابی قرار دهد.
وی بخش اصلی این پلت فرم را هسته آن دانست كه شامل پنج زیر سامانه “ضد بدافزار مركب” (Multi AV)، “تحلیل ایستا” (Static Analysis)، “تحلیل پویا” (Dynamic Analysis)، “تحلیل تخصصی دستی” (Expert Analysis) و “شناسایی منشا انتشار بدافزار” (Malware Origins) است.
گوران اوریمی به بیان مكانیزم عملكردی این پلت فرم اشاره نمود و تصریح كرد: فرض كنید كه در یك شبكه اجتماعی به فایل مشكوك برخورد كردید كه نمی دانیم این فایل یك بدافزار است یا خیر. جهت بررسی، این فایل به سامانه MALAB.ir ارسال می شود و در این سامانه فایل ارسال شده بوسیله ۵۹ آنتی ویروس مورد بررسی قرار می گیرد.
این محقق با اشاره به اینكه در بخش ضد ویروس مركب (Multi AV) فایل های ارسالی توسط ابزارهای ضد بدافزار مختلف مورد تحلیل و بررسی قرار می گیرد، اشاره كرد: یكی از اشكالات موجود در این بخش تحریك ایران توسط شركت های تحلیل بدافزار و عدم ارائه API است كه برای رفع این مشكل با مهندسی معكوس ابزارهای ضد بدافزار این API از آنها استخراج شد.
وی با تاكید بر اینكه اگر فایل توسط ضدویروس مركب، مخرب تشخیص داده نشد، فایل در بخش بعدی به صورت ایستا و پویا تحلیل خواهد شد، افزود: بعد از آنكه بدافزار بودن این فایل رد شد، به مدت چند دقیقه در محیط ایزوله شده اجرا می شود و رفتار آن مورد بررسی قرار خواهد گرفت و بعد از آن رفتار این فایل اگر همانند رفتار بدافزارها باشد، بعنوان بدافزار معرفی می شود.
بگفته گوران اوریمی، در این بخش با طراحی و پیاده سازی یك جعبه شن (Sand Box) برمبنای فناوری Intel-VT بدافزار در محیط ایزوله، اجرا شده و رفتار آن مورد تحلیل قرار می گیرد.
وی افزود: در پروسه تحلیل فایل، ممكنست ضد ویروس مركب و جعبه شن قادر به شناسایی آن نباشند؛ بدین جهت تحلیل توسط متخصصان انسانی صورت می گیرد. در این بخش تیمی از مفسرین بدافزار جمع آوری شده و این تیم می توانند تحلیل های دستی و نظر خودرا درباره فایل های ارسالی، عرضه كنند.
گوران اوریمی یكی از چالش های موجود در این فناوری را نبود گروه تحلیل در شركت ها و یا سربار مالی زیاد آنها در ایران ذكر كرد و اظهار داشت: برای حل این مشكل در این پلت فرم تمام مفسرین بدافزار سراسر دنیا امكان ثبت نام، درج گزارش تحلیل فایل و دریافت مبلغ را دارند. به عبارت دیگر این پلت فرم بستری برای حضور و درآمدزایی مفسرین تهیه كرده است.
وی با تاكید بر اینكه در این پلت فرم امكان شناسایی منشا انتشار بدافزار پیش بینی شده است، افزود: در این بخش پروفایلی برای كانال های شبكه های اجتماعی همانند تلگرام و غیره، تهیه و از این طریق مشخص می شود كه منشا انتشار بدافزار كجا بوده است.
گوران اوریمی با اشاره به ایجاد یكسری “كراولر” و “هانی پات” (Honeypot) در این پلتفرم، تصریح كرد: این بخش هر روز شبكه های اجتماعی مانند گپ، آی گپ و تلگرام، پیام رسان ها و ماركت ها را مورد بررسی قرار می دهد و فایل هایی كه در این شبكه ها منتشر می شود، به این سامانه ارسال می كنند تا در صورتیكه این فایل ها حاوی بدافزار باشند، پیش از آنكه بوسیله این شبكه ها بیشتر منتشر شوند، اطلاع رسانی خواهد شد تا كاربران بوسیله این بدافزارها آلوده نشوند.
وی با تاكید بر اینكه این سامانه، پلتفرمی برای شناسایی و تحلیل بدافزارها است، اظهار نمود: این سامانه دارای دو حالت است؛ در حالت اول اگر تعداد كاربران كم باشد و نیازی به اسكن بیشتر از ۱۰ فایل در روز نباشد، كاربران می توانند از خدمات رایگان این سامانه بهره مند شوند.
این محقق اضافه كرد: ولی اگر نیاز به اسكن بیشتر از ۱۰ فایل در روز باشد، نسخه های تجاری این سامانه دردسترس است.
بگفته وی سرور این پلت فرم در اختیار كاربران قرار می گیرد و آنها می توانند این سرور را در سازمان مربوطه نصب كنند.
گوران اوریمی، عدم وابستگی این سامانه به سیستم عامل خاصی را از مزایای این پلت فرم دانست و اظهار داشت: این پلت فرم قابل نصب برای انواع سیستم عامل تلفن همراه و ویندوز است؛ ولی بخش كراول آن بیشتر برای شناسایی بدافزارهای اندروید فعال گردیده است.
وی بدافزارها و یا ویروس ها را فایل هایی توصیف كرد كه با هدف نفوذ به كامپیوتر مورد استفاده قرار می گیرند و افزود: زمانی كه این بدافزارها وارد كامپیوتری می شوند، لطمه هایی را به دستگاه وارد می كنند، به شكلی كه ممكنست فایلی را پاك و یا “رمز” كنند و برای باز كردن رمز فایل ها پولی را دریافت نمایند و یا از سیستم كاربر برای نفوذ به سیستم دیگری بهره برداری كنند.
گوران اوریمی با اشاره به اینكه اینها مواردی از لطمه هایی است كه یك بدافزار می تواند به سیستم كامپیوتری وارد كند، اضافه كرد: بدافزارها انواع مختلفی دارند كه همچون آنها می توان به ویروس ها، كرم ها و یا تروجان ها اشاره نمود.
بگفته محقق این طرح، این سامانه فعال گردیده است و نسخه رایگان این پلت فرم قابل دسترسی است.