عرضه پلتفرمی برای تشخیص بدافزارها
به گزارش تعمیر تلفن تعدادی از پژوهشگران كشور پلتفرمی را طراحی كردند كه از راه آن علاوه بر آنكه می توان بدافزارهایی كه از راه شبكه های اجتماعی منتشر می شود را شناسایی كرد، با كمك آن امكان منشا انتشار بدافزارها هم برای كاربران فراهم می شود.
امیرگوران اوریمی از محققان این طرح در گفتگو با ایسنا در این باره اظهار داشت: در این پروژه پلت فرم تحلیل بدافزار طراحی و پیاده سازی شد كه می تواند یك فایل را در سطوح مختلف از لحاظ ماهیت فایل (بدافزار یا سالم بودن) مورد ارزیابی قرار دهد.
وی بخش اصلی این پلت فرم را هسته آن دانست كه شامل پنج زیر سامانه "ضد بدافزار مركب" (Multi AV)، "تحلیل ایستا" (Static Analysis)، "تحلیل پویا" (Dynamic Analysis)، "تحلیل تخصصی دستی" (Expert Analysis) و "شناسایی منشا انتشار بدافزار" (Malware Origins) است.
گوران اوریمی به بیان مكانیزم عملكردی این پلت فرم اشاره نمود و خاطرنشان كرد: فرض كنید كه در یك شبكه اجتماعی به فایل مشكوك برخورد كردید كه نمی دانیم این فایل یك بدافزار است یا خیر. جهت بررسی، این فایل به سامانه MALAB.ir ارسال می شود و در این سامانه فایل ارسال شده از راه ۵۹ آنتی ویروس مورد بررسی قرار می گیرد.
این محقق با اشاره به اینكه در بخش ضد ویروس مركب (Multi AV) فایل های ارسالی توسط ابزارهای ضد بدافزار مختلف مورد تحلیل و بررسی قرار می گیرد، تصریح كرد: یكی از اشكالات موجود در این بخش تحریك ایران توسط شركت های تحلیل بدافزار و عدم عرضه API است كه برای رفع این مشكل با مهندسی معكوس ابزارهای ضد بدافزار این API از آنها استخراج شد.
وی با تاكید بر اینكه اگر فایل توسط ضدویروس مركب، مخرب تشخیص داده نشد، فایل در بخش بعدی به صورت ایستا و پویا تحلیل خواهد شد، افزود: بعد از آنكه بدافزار بودن این فایل رد شد، به مدت چند دقیقه در محیط ایزوله شده اجرا می شود و رفتار آن مورد بررسی قرار خواهد گرفت و بعد از آن رفتار این فایل اگر همانند رفتار بدافزارها باشد، بعنوان بدافزار معرفی می شود.
به قول گوران اوریمی، در این بخش با طراحی و پیاده سازی یك جعبه شن (Sand Box) بر مبنای فناوری Intel-VT بدافزار در محیط ایزوله، اجرا شده و رفتار آن مورد تحلیل قرار می گیرد.
وی افزود: در فرایند تحلیل فایل، امكان دارد ضد ویروس مركب و جعبه شن قادر به شناسایی آن نباشند؛ ازاین رو تحلیل توسط متخصصان انسانی صورت می گیرد. در این بخش تیمی از تحلیل گران بدافزار جمع آوری شده و این تیم می توانند تحلیل های دستی و نظر خویش را درباره فایل های ارسالی، عرضه كنند.
گوران اوریمی یكی از چالش های موجود در این فناوری را نبود گروه تحلیل در شركت ها و یا سربار مالی زیاد آنها در ایران ذكر كرد و اظهار داشت: برای حل این مشكل در این پلت فرم تمام تحلیل گران بدافزار سراسر دنیا امكان ثبت نام، درج گزارش تحلیل فایل و دریافت مبلغ را دارند. به عبارت دیگر این پلت فرم بستری برای حضور و درآمدزایی تحلیل گران تهیه كرده است.
وی با تاكید بر اینكه در این پلت فرم امكان شناسایی منشا انتشار بدافزار پیشبینی شده است، افزود: در این بخش پروفایلی برای كانال های شبكه های اجتماعی همانند تلگرام و غیره، تهیه و از این طریق مشخص می شود كه منشا انتشار بدافزار كجا بوده است.
گوران اوریمی با اشاره به ایجاد یكسری "كراولر" و "هانی پات" (Honeypot) در این پلتفرم، خاطرنشان كرد: این بخش هر روز شبكه های اجتماعی مانند گپ، آی گپ و تلگرام، پیام رسان ها و ماركت ها را مورد بررسی قرار می دهد و فایل هایی كه در این شبكه ها منتشر می شود، به این سامانه ارسال می كنند تا در صورتیكه این فایل ها حاوی بدافزار باشند، پیش از آنكه از راه این شبكه ها بیشتر منتشر شوند، اطلاع رسانی خواهد شد تا كاربران از راه این بدافزارها آلوده نشوند.
وی با تاكید بر اینكه این سامانه، پلتفرمی برای شناسایی و تحلیل بدافزارها است، اظهار نمود: این سامانه دارای دو حالت است؛ در حالت اول اگر تعداد كاربران كم باشد و نیازی به اسكن بیشتر از ۱۰ فایل در روز نباشد، كاربران می توانند از خدمات مجانی این سامانه بهره مند شوند.
این محقق اضافه كرد: ولی اگر احتیاج به اسكن بیشتر از ۱۰ فایل در روز باشد، نسخه های تجاری این سامانه در دسترس می باشد.
به قول وی سرور این پلت فرم در اختیار كاربران قرار می گیرد و آنها می توانند این سرور را در سازمان مربوطه نصب كنند.
گوران اوریمی، عدم وابستگی این سامانه به سیستم عامل خاصی را از مزایای این پلت فرم دانست و اظهار داشت: این پلت فرم قابل نصب برای انواع سیستم عامل تلفن همراه و ویندوز است؛ ولی بخش كراول آن بیشتر برای شناسایی بدافزارهای اندروید فعال گشته است.
وی بدافزارها و یا ویروس ها را فایل هایی توصیف كرد كه با هدف نفوذ به كامپیوتر مورد استفاده قرار می گیرند و افزود: زمانی كه این بدافزارها وارد كامپیوتری می شوند، صدمه هایی را به دستگاه وارد می كنند، بگونه ای كه امكان دارد فایلی را پاك و یا "رمز" كنند و برای باز كردن رمز فایل ها پولی را دریافت نمایند و یا از سیستم كاربر برای نفوذ به سیستم دیگری بهره برداری كنند.
گوران اوریمی با اشاره به اینكه اینها مواردی از صدمه هایی است كه یك بدافزار می تواند به سیستم كامپیوتری وارد كند، اضافه كرد: بدافزارها انواع مختلفی دارند كه همچون آنها می توان به ویروس ها، كرم ها و یا تروجان ها اشاره نمود.
به قول محقق این طرح، این سامانه فعال گشته است و نسخه مجانی این پلت فرم قابل دسترسی است.
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب