کمیته رکن چهارم – ابزار آنالیز بدافزار به کاربران کمک میکند تا در سریعترین زمان ممکن، تهدیدهای ممکن برای سیستم را تشخیص دهند.
ابزارهای آنالیز بدافزار زیادی در جهان وجود دارند که باید برای استفاده از آنها مقداری پول داد و شاید برخی از آنها چندان برای مورد استفاده ما قوی نباشند، اما به هر حال میتوانند برای درک کردن میزان تهدید یک بدافزار مفید باشند.
ابزارهای آنالیز بدافزار به ما اجازه میدهند تا به یک روش سریع و تأثیرگذار، بفهمیم که یک تهدید چه کارهایی را روی سیستم انجام میدهد. با این روش، میتوانید به راحتی تمام اطلاعات را درباره فایلهای ساخته شده، ارتباطات شبکه، تغییرها در رجیستری و بسیاری موارد دیگر را جمعآوری کنید.
به همین منظور، منابع و ابزار زیادی در دسترس است که این را ممکن میسازند تا یک تهدید را از طریق رویکردهای مختلف آنالیز کنیم.
آنالیز یا تحلیل بدافزار چیست؟
آنالیز بدافزار فرآیندی است که طی آن عملکرد، اصالت و اثر گونههای بدافزارها که شامل ویروسها، کرمها، باجافزارها، تبلیغافزارها و جاسوسافزارها هستند، تشخیص داده میشود.
همه ما به خوبی میدانیم که بدافزار در گردش یکی از مشاغل شناخته شده و بزرگ در دنیای اینترنت است و گستردگی بدافزارها در سالهای آینده رو به افزایش است.
با تجاریسازی جرایم سایبری، انواع بدافزارها با سرعت هشدار دهندهای به رشد خود ادامه میدهند و این باعث میشود چندین محافظ بر روی پای آنها قرار گیرد. مفاهیم تجزیه و تحلیل بدافزار به ترکیبی پیچیده از فناوریها در علم داده و درک انسان تبدیل شده است.
این مسئله باعث شده است که هزینه مالکیت ابزارهای تجزیه و تحلیل کد بدافزار به طور کلی برای سازمانها و گروههای تجاری معمولی خارج از محدوده باشد. از این رو، با استفاده از ابزارهای تجزیه و تحلیل بدافزار منبع باز، تحلیلگر میتواند به راحتی تمامی اسناد لازم انواع مختلف فعالیتهای بدافزار را آزمایش و شناسایی کند و در عین حال در مورد حملات مختلف در چرخه حیات اطلاعاتی کسب کند.
به همین دلیل، برخی از بهترین ابزارهای تجزیه و تحلیل بدافزار را با شما به اشتراک میگذاریم که باید هنگام کشف اینکه کد مخرب چه کاری انجام میدهد، آنها را در نظر بگیریم، بنابراین اکنون بدون اتلاف وقت زیاد، بیایید شروع کنیم و به سادگی فهرستی را که در زیر ذکر کردهایم، بررسی کنیم.
Cuckoo Sandbox
این ابزار تحلیل بدافزار در پروژه تابستان کد گوگل در سال ۲۰۱۰ طراحی شد و اساسا، یک ابزار منبع باز است که تجزیه و تحلیل دادههای مخرب را برای ویندوز، OS X، لینوکس و اندروید خودکار به صورت خودکار انجام میدهد.
علاوه بر این، بازخورد خاص و ضروری در مورد نحوه عملکرد هر فایل ارائه شده در محیطهای راه دور ارائه میکند، بنابراین، شرکتهای محافظت از بدافزار و قرار گرفتن در معرض بدافزار از Cuckoo برای کاهش فشار ناوبری دستی در میان دادههای احتمالاً مخرب استفاده میکنند.
چیدمان ماژولار آن را به راحتی برای هر دو مرحله نوشتن و پردازش قابل تنظیم میکند و به طور منطقی، به یکی از رایجترین ابزارهای متن باز در سالهای اخیر تبدیل شده است.
ویژگیها:
- هضم خودکار کدها
- تجزیه و تحلیل تمام دادههای مشکوک
- شناسایی و جداسازی تهدیدات روز صفرATP
- شناسایی مهاجمان
- ضد جاسوسی و جنگ سایبری
Zeek
ابزار تحلیل بدافزار Zeek یک ابزار تحلیل امنیت رایگان و منبع باز است که در سال ۱۹۹۴ توسط Vern Paxson توسعه یافت. میتوان از آن به عنوان یک سیستم تشخیص نفوذ شبکه استفاده کرد، اما با یک تفسیر زنده جدید از رویدادهای شبکه، و جالبترین نکته در مورد این ابزار امنیتی این است که تحت مجوز BSD منتشر شده است.
این ابزار ترافیک شبکه زنده یا ثبت شده را تجزیه و تحلیل و فایلها را برای ایجاد رویدادهای نامشخص ردیابی میکند. با این حال، برای انجام اقدامات متعددی مانند ارسال ایمیل، بالا بردن یک هشدار، اجرای یک فرمان سیستم، بهروزرسانی یک متریک داخلی و حتی فراخوانی اسکریپتهای مختلف Zeek ساخته شده است.
ویژگیها:
- منبع داده بهتر
- سنسور Corelight
- چهارچوب منبع باز
Netcat
Netcat ابزاری است که برای مطالعه و نوشتن اتصالات شبکه با استفاده از TCP و UDP استفاده میشود. این ابزار به دلیل ویژگیهای مختلفی مانند اسکن پورت، ارسال پورت، تونلسازی، پروکسی و بسیاری موارد دیگر که ارائه میکند، به عنوان چاقوی ارتش سوئیس (چاقوی سوئیسی) نیز شناخته میشود.
این ابزار تجزیه و تحلیل بدافزار پویا را انجام میدهد زیرا میتواند تقریباً هر اتصال شبکهای را در زمانی که یک تحلیلگر بدافزار به آن نیاز داشته باشد، اجرا کند. علاوه بر این، میتوان از آن برای ایجاد اتصالات ورودی و خروجی در هر پورتی استفاده کرد و حتی میتوان آن را در حالت مشتری به سادگی برای اتصال و در حالت سرور نیز اعمال کرد.
ویژگیها:
- اسکن پورت
- تانلینگ
- فروارد کردن پورت
- پروکسی کردن
منبع: افتانا
