- بواسطة x32x01 ||
يعني إيه Malware Analysis؟
قبل ما ندخل في التفاصيل، لازم نعرف إن مش كل Malware شبه التاني.كل نوع من أنواع البرمجيات الخبيثة ليه طريقة مختلفة في العمل والاكتشاف، يعني ممكن تلاقي فيروس جديد بيقعد شهور من غير ما يكون ليه حل واضح، زي الـ Zeus Malware اللي تسبب في خسائر ضخمة قبل ما يتم تحليله وظهرت له حلول.
تخيل إن شركتك اتصابت بحاجة زي دي!
البيانات كلها ممكن تقع في إيد تكنولوجيا كنت معتمد عليها تحميك!
دور الـ Blue Team في مواجهة الـ Malware
لو البرمجية الخبيثة نجحت وعدّت كل طبقات الحماية زي الـ Firewall وبدأت تنفّذ أوامرها، هنا في حلين:- تفتح Ticket مع الشركة المصنعة للأداة الأمنية (Vendor Support) عشان تبلغهم، بس ده بياخد وقت طويل والـ Malware ممكن يكون سرق كل بياناتك في الوقت ده.
- أو يكون عندك Malware Analyst داخل فريق الـ Incident Response، وده الشخص اللي بيقدر يحلل البرمجية الخبيثة ويوقفها قبل ما تعمل كوارث.
طب ودور الـ Red Team؟
على الناحية التانية، الـ Red Team أو الـ Offensive Security بيشتغل على إنشاء هجمات تجريبية.الهاكر الأخلاقي هنا ممكن يطوّر Malware بهدف اختبار مدى صلابة النظام الأمني، وده بيدخلنا في جزء مهم جدًا وهو:
إزاي الـ Red Team بتتعلم من الـ Blue Team عشان تعمل Bypass لأنظمة الحماية
وده دور الـ Malware Developer أو زي ما بيتقال عليه “Dark Coder”، اللي بيصمم برمجيات خبيثة قادرة تتفادى الاكتشاف.
أنواع الـ Malware Analysis
في عندنا نوعين أساسيين من تحليل البرمجيات الخبيثة:
أولًا: Static Malware Analysis
في النوع ده، التحليل بيتم من غير تشغيل البرمجية الخبيثة.يعني بتفك شفرتها أو تعملها Reverse Engineering وتشوف الكود الداخلي بتاعها.
يعني إيه Reverse Engineering أو Unpacking؟
- الـ Reverse Engineering: إنك تفك الحاجة وتشوف هي بتشتغل إزاي من جوا، خصوصًا ملفات الـ .exe أو .dll.
- أما الـ Packing فهو زي تغليف الكود عشان يصعب تحليله.
- يعملوا تشويش (Obfuscation) للكود عشان ما يتكشفش بسهولة.
- يعملوا تشفير أو ضغط (Encryption/Compression) للكود.
- يستخدموا طرق تغليف مختلفة زي:
- Single Layer Packing
- Re-Packing
- Multi Layer Packing
ثانيًا: Dynamic Malware Analysis
في النوع ده لازم تشغّل البرمجية الخبيثة فعليًا عشان تلاحظ تصرفاتها.بس طبعًا مش على جهازك الشخصي
الحل إنك تستخدم Virtual Lab أو Sandbox، وده بيكون نظام معزول تمامًا عن الشبكة، تقدر تشغّل عليه أي ملف مشكوك فيه من غير خطر.
لكن خليك عارف إن بعض البرمجيات بقت “ذكية”، لو اكتشفت إنها في بيئة افتراضية مش هتشتغل!
عشان كده لازم الـ Sandbox يكون عامل نفسه كأنه نظام حقيقي، بيقلّد الشبكة والمتصفح وبيئة المستخدم.
خطوات التحليل الديناميكي
أثناء التحليل، الـ Malware Analyst بيراقب كل وظيفة في الكود باستخدام أدوات الـ Disassembling وبيشوف بيتصل بإيه، زي:- APIs
- C&C Servers (Command & Control)
وطبعًا لازم تكون واخد Snapshot للنظام عشان لو حصل عطل ترجع كل حاجة زي ما كانت.
إزاي تبقى Malware Analyst شاطر؟
لو نفسك تدخل المجال ده، لازم تركز على:- لغة Assembly
- مفاهيم الـ Debugging
- أساسيات الـ Network Security
- وفهم عميق لطرق الـ Bypass
GREM- CCMRE
- CPSA
- eCRE
الخلاصة
الـ Malware Analysis مش مجرد شغل فني، ده علم بيساعدك تفهم عقل المهاجم وتتصدى لأي تهديد قبل ما يحصل.سواء كنت في الـ Blue Team أو الـ Red Team، فهمك للموضوع ده هو سلاحك الحقيقي في عالم الـ Cyber Security
