- بواسطة x32x01 ||
ما هو تحليل البرامج الضارة Malware ؟
تحليل البرامج الضارة هو عملية تحليل عينة من البرامج الضارة او binary و استخراج أكبر قدر ممكن من المعلومات منه. المعلومات التي نستخرجها تساعدنا في فهم وظيفة البرامج الضارة ، وكيف أصيب النظام بالبرمجيات الخبيثة وكيفية الدفاع ضد الهجمات المماثلة في المستقبل.
الهدف من malware analysis :
هو دراسة البرمجيات الخبيثة عن طريق تحليل مكوناته المختلفة، ودراسة سلوكها على نظام التشغيل للكمبيوتر المضيف ..
. ما هو هذا الـ malware ؟ RAT او Trojan او ماذا؟
. ماذا يفعل هذا الmalware ؟
. معرفة كيفية وصوله الى النظام لعدم تكرار الخطأ مره ثانية.
. ما هو اثره على النظام والشبكة .
أنواع تحليل البرامج الضارة :
يمكن إجراء التحليل بطريقة ثابتة أو ديناميكية أو مختلطة من الاثنين.
التحليل الساكن Static Analysis
لا يتطلب التحليل الثابت تشغيل الكود بالفعل. بدلاً من ذلك ، يفحص التحليل الثابت الملف بحثًا عن علامات النية الخبيثة. قد يكون من المفيد تحديد البنية التحتية الضارة أو المكتبات أو المحزم.
يتم تحديد المؤشرات الفنية مثل أسماء الملفات ، نوع التشفير ، والمتغيرات, عناوين IP ، ويمكن استخدام بيانات رأس الملف لتحديد ما إذا كان هذا الملف ضارًا أم لا. بالإضافة إلى ذلك ، يمكن استخدام أدوات مثل أدوات التفكيك ومحللات الشبكة لمراقبة البرامج الضارة دون تشغيلها فعليًا من أجل جمع معلومات حول كيفية عمل البرامج الضارة.
ومع ذلك ، نظرًا لأن التحليل الثابت لا يقوم فعليًا بتشغيل الشفرة ، يمكن أن تتضمن البرامج الضارة المعقدة سلوكًا خبيثًا في وقت التشغيل قد لا يتم اكتشافه. على سبيل المثال ، إذا قام ملف بإنشاء امر تقوم بعد ذلك بتنزيل ملف ضار بناءً على ذلك الامر المتكون في الذاكره ، فقد لا يتم اكتشافها بواسطة تحليل ثابت أساسي. لذا تحولت الشركات إلى التحليل الديناميكي من أجل فهم أكثر اكتمالاً لسلوك الملف.
اهداف التحليل الساكن :
.الحصول على قيمه الhash الخاص بالبرنامج الخبيث باستخدام خوارزميه md5 و sha1
. استخدام مضاد فيروسات لنتأكد اذا ما تم اكتشاف البرنامج الخبيث من قبل
.الحصول على معلومات لتركيب ونوع البرنامج الخبيث و لغه البرمجه المتسخدمه واذا ما تم استخدام برامج معينه لتشفير محتواه
.عمل هندسة عكسيه و ارجاع البرنامج من ارقام بلغه الاله الى كود بلغه ال Assembly يمكن فهمه وتتبعه
التحليل الديناميكي Dynamic Analysis
نقصد في التحليل الديناميكي ان طريقه التحليل تكون من خلال تشغيل البرنامج الخبيث واعطائه حريه القيام بما يريده داخل النظام الوهمي الذي يتم تجهيزه ثم بعد ذلك يتم جمع المعلومات عن المهام التي قام بها وهذه الطريقه لديها سلبيات ايضا مثل عدم عمل البرنامج والقيام بمهماته بسبب تجهيزه بخاصية الحماية من التحليل anti-analysis و لا تحتاج لوقت طويل للحصول على المعلومات : لان العملية تتم عن طريق البرامج فلن تاخذ الكثير من الوقت حتى تجمع المعلومات .
اهداف التحليل الديناميكي :
معرفة قدرات البرنامج الخبيث و مستوى الخطورة على الانظمة ومعرفة نوع البرنامج الخبيث وتصنيفه لاحد الانواع الاساسية والحصول على مؤشرات الاصابه.
التحليل الهجين Hybrid Analysis
التحليل الهجين (يشمل كلا الأسلوبين أعلاه)
لا يُعد التحليل الثابت طريقة موثوقة لاكتشاف الشفرات الضارة المعقدة ، ويمكن أن تختبئ البرامج الضارة المعقدة أحيانًا من وجود تقنية وضع الحماية. من خلال الجمع بين تقنيات التحليل الأساسية والديناميكية ، يوفر التحليل الهجين لفريق الأمان أفضل ما في كلا النهجين وأحد الأشياء التي يقوم بها التحليل المهجين هو تطبيق التحليل الثابت على البيانات التي تم إنشاؤها بواسطة التحليل الثابت - مثل عندما يتم تشغيل جزء من التعليمات البرمجية الضارة وتوليد بعض التغييرات في الذاكرة. سيكتشف التحليل الديناميكي ذلك ، وسيتم تنبيه المحللين إلى الرجوع للخلف وإجراء تحليل ثابت على تفريغ الذاكرة هذا. نتيجة لذلك ، سيتم إنشاء المزيد من البيانات لمعرفة الاصابه .
1. حقن DLL الكلاسيكي :
تعد هذه التقنية من أكثر الأساليب المستخدمة شيوعًا لحقن البرامج الضارة في عملية أخرى. وتتمثل الطريقة في أن البرامج الضارة تكتب المسار إلى مكتبة ارتباطات ديناميكية ضارة (DLL) في مساحة العنوان الظاهرية للعملية الأخرى ، وتمريرها في الهدف قم بإنشاء مؤشر ترابط بعيد في العملية للتأكد من أن العملية البعيدة تقوم بتحميله.
2.process injection :
عبارة عن تقنية تستعمل لرفع الصلاحيات داخل النظام او تجاوز برامج الحمايه عن طريق معرفة العمليات التي تعمل في النظام وبعدها الحصول علي اسم العمليه وبعدها يتم ارفاق الصلاحيات معه وحجز مكان بالذاكره .
3.process hollowing :
هذه التقنيه تقوم بالتخفي من العمليات التي تعمل بالنظام والتخفي من الفحص اليدوي وهدفها تفادي اغلاق البرنامج من قبل المستخدم وهذه التقنيه تعتمد علي انشاء عمليه وليس الحقن داخل عمليه موجودة بالفعل.
تحليل البرامج الضارة هو عملية تحليل عينة من البرامج الضارة او binary و استخراج أكبر قدر ممكن من المعلومات منه. المعلومات التي نستخرجها تساعدنا في فهم وظيفة البرامج الضارة ، وكيف أصيب النظام بالبرمجيات الخبيثة وكيفية الدفاع ضد الهجمات المماثلة في المستقبل.
الهدف من malware analysis :
هو دراسة البرمجيات الخبيثة عن طريق تحليل مكوناته المختلفة، ودراسة سلوكها على نظام التشغيل للكمبيوتر المضيف ..
. ما هو هذا الـ malware ؟ RAT او Trojan او ماذا؟
. ماذا يفعل هذا الmalware ؟
. معرفة كيفية وصوله الى النظام لعدم تكرار الخطأ مره ثانية.
. ما هو اثره على النظام والشبكة .
أنواع تحليل البرامج الضارة :
يمكن إجراء التحليل بطريقة ثابتة أو ديناميكية أو مختلطة من الاثنين.
التحليل الساكن Static Analysis
لا يتطلب التحليل الثابت تشغيل الكود بالفعل. بدلاً من ذلك ، يفحص التحليل الثابت الملف بحثًا عن علامات النية الخبيثة. قد يكون من المفيد تحديد البنية التحتية الضارة أو المكتبات أو المحزم.
يتم تحديد المؤشرات الفنية مثل أسماء الملفات ، نوع التشفير ، والمتغيرات, عناوين IP ، ويمكن استخدام بيانات رأس الملف لتحديد ما إذا كان هذا الملف ضارًا أم لا. بالإضافة إلى ذلك ، يمكن استخدام أدوات مثل أدوات التفكيك ومحللات الشبكة لمراقبة البرامج الضارة دون تشغيلها فعليًا من أجل جمع معلومات حول كيفية عمل البرامج الضارة.
ومع ذلك ، نظرًا لأن التحليل الثابت لا يقوم فعليًا بتشغيل الشفرة ، يمكن أن تتضمن البرامج الضارة المعقدة سلوكًا خبيثًا في وقت التشغيل قد لا يتم اكتشافه. على سبيل المثال ، إذا قام ملف بإنشاء امر تقوم بعد ذلك بتنزيل ملف ضار بناءً على ذلك الامر المتكون في الذاكره ، فقد لا يتم اكتشافها بواسطة تحليل ثابت أساسي. لذا تحولت الشركات إلى التحليل الديناميكي من أجل فهم أكثر اكتمالاً لسلوك الملف.
اهداف التحليل الساكن :
.الحصول على قيمه الhash الخاص بالبرنامج الخبيث باستخدام خوارزميه md5 و sha1
. استخدام مضاد فيروسات لنتأكد اذا ما تم اكتشاف البرنامج الخبيث من قبل
.الحصول على معلومات لتركيب ونوع البرنامج الخبيث و لغه البرمجه المتسخدمه واذا ما تم استخدام برامج معينه لتشفير محتواه
.عمل هندسة عكسيه و ارجاع البرنامج من ارقام بلغه الاله الى كود بلغه ال Assembly يمكن فهمه وتتبعه
التحليل الديناميكي Dynamic Analysis
نقصد في التحليل الديناميكي ان طريقه التحليل تكون من خلال تشغيل البرنامج الخبيث واعطائه حريه القيام بما يريده داخل النظام الوهمي الذي يتم تجهيزه ثم بعد ذلك يتم جمع المعلومات عن المهام التي قام بها وهذه الطريقه لديها سلبيات ايضا مثل عدم عمل البرنامج والقيام بمهماته بسبب تجهيزه بخاصية الحماية من التحليل anti-analysis و لا تحتاج لوقت طويل للحصول على المعلومات : لان العملية تتم عن طريق البرامج فلن تاخذ الكثير من الوقت حتى تجمع المعلومات .
اهداف التحليل الديناميكي :
معرفة قدرات البرنامج الخبيث و مستوى الخطورة على الانظمة ومعرفة نوع البرنامج الخبيث وتصنيفه لاحد الانواع الاساسية والحصول على مؤشرات الاصابه.
التحليل الهجين Hybrid Analysis
التحليل الهجين (يشمل كلا الأسلوبين أعلاه)
لا يُعد التحليل الثابت طريقة موثوقة لاكتشاف الشفرات الضارة المعقدة ، ويمكن أن تختبئ البرامج الضارة المعقدة أحيانًا من وجود تقنية وضع الحماية. من خلال الجمع بين تقنيات التحليل الأساسية والديناميكية ، يوفر التحليل الهجين لفريق الأمان أفضل ما في كلا النهجين وأحد الأشياء التي يقوم بها التحليل المهجين هو تطبيق التحليل الثابت على البيانات التي تم إنشاؤها بواسطة التحليل الثابت - مثل عندما يتم تشغيل جزء من التعليمات البرمجية الضارة وتوليد بعض التغييرات في الذاكرة. سيكتشف التحليل الديناميكي ذلك ، وسيتم تنبيه المحللين إلى الرجوع للخلف وإجراء تحليل ثابت على تفريغ الذاكرة هذا. نتيجة لذلك ، سيتم إنشاء المزيد من البيانات لمعرفة الاصابه .
1. حقن DLL الكلاسيكي :
تعد هذه التقنية من أكثر الأساليب المستخدمة شيوعًا لحقن البرامج الضارة في عملية أخرى. وتتمثل الطريقة في أن البرامج الضارة تكتب المسار إلى مكتبة ارتباطات ديناميكية ضارة (DLL) في مساحة العنوان الظاهرية للعملية الأخرى ، وتمريرها في الهدف قم بإنشاء مؤشر ترابط بعيد في العملية للتأكد من أن العملية البعيدة تقوم بتحميله.
2.process injection :
عبارة عن تقنية تستعمل لرفع الصلاحيات داخل النظام او تجاوز برامج الحمايه عن طريق معرفة العمليات التي تعمل في النظام وبعدها الحصول علي اسم العمليه وبعدها يتم ارفاق الصلاحيات معه وحجز مكان بالذاكره .
3.process hollowing :
هذه التقنيه تقوم بالتخفي من العمليات التي تعمل بالنظام والتخفي من الفحص اليدوي وهدفها تفادي اغلاق البرنامج من قبل المستخدم وهذه التقنيه تعتمد علي انشاء عمليه وليس الحقن داخل عمليه موجودة بالفعل.