کمیته رکن چهارم – گروههای امنیتی وقتی یک حادثه را بررسی میکنند با یک سؤال بسیار مهم روبهرو میشوند: منشأ اولیهی حمله کجا بوده است؟ در حال حاضر هفتهها از ظهور باجافزار گریه میگذرد که در ۱۵۰ کشور صدها هزار رایانه را آلوده کرده است. اینک شاهد هستیم که گزارشهای مختلفی منتشر شده و عوامل مختلفی را عامل اصلی این حمله عنوان کردهاند. با اینحال هیچیک از این دیدگاهها و نظرات بهقدری سریع نبود که در فرآیند مقابله با باجافزار کمککننده باشد. متأسفانه روش تحلیل که در هریک از این گزارشها مورد استفاده قرار گرفته مناسب و سریع نبوده است. خبر خوش اینکه همچنان روشهای دیگری نیز وجود دارد که میتوان آنها را اجرا کرد.
تحلیلهای پویا از باجافزار گریه و منابع آن، به تحلیل دستی کد نیاز دارد. بنابراین برای بدست آرودن سرنخهای اولیه از این باجافزار به چند روز زمان نیاز است و برای دیدگاههای قویتر شاید هفتهها وقت لازم باشد. مشکل اصلی در این تحلیلها این است که نیاز به مقایسهی هزاران قسمت از کد متعلق به دهها عامل مخرب است. به دلیل اینکه تعداد بدافزارها رو به افزایش است، این مسئله مشکلتر میشود. تحلیلهای پویا به خوبی با افزایش تعداد بدافزارها و تهدیدها مقیاسپذیر نیستند.
تحلیلهای پویا میتواند به تشخیص و تعیین تأثیر زمان اجرای یک قطعه تروجان کمک کند ولی با ظهور فناوریهای تشخیص جعبه شنی و دور زدن راهحلهای امنیتی، این تحلیلها رو به افزایش بوده ولی مقادیر آن محدود است. علاوه بر این با مقایسهی مشابهتهای بین کد بدافزارها، نمیتوان متوجه عملکرد یک باجافزار شد و نیاز داریم دهها روش را مورد بررسی قرار دهیم تا به این نتایج برسیم. مقایسهی بین پروندههای درهمسازی همواره مفید نیست و مهاجمان همواره از روشهای چندریختی استفاده میکنند تا هر نمونه از بدافزار دارای مقادیر درهمسازی متفاوتی باشند. در مورد درهمسازی فازی چه میدانید که برای تحلیل مشابهتهای بین پروندهها مورد استفاده قرار میگیرد؟ این روش بهطور افزایشی برای اندازهگیری مشابهت بین دو پروندهی باینری مورد استفاده قرار میگیرد. چالش اصلی که وجود دارد این است که ابزارهای درهمسازی فازی مانند ssdeep، بر روی کل پرونده اعمال میشوند و نمیتواند شباهتهای بین یک پرونده با دیگر پروندهها را مشخص کند.
اما باید بررسی کنیم که آیا میتوان از روشهای درهمسازی فازی برای پیدا کردن مشابهت بین پروندهها در سطح ریزدانهتری استفاده کنیم یا خیر؟ این مسئله باعث شده تا RSA به روشهای تحلیل ایستا برای مقایسهی مشابهت بین پروندهها روی بیاورد. این روش همچنین میتواند برای مقایسهی مشابهت چند تکه از بدافزار با تکههای دیگر از بدافزارها مورد استفاده قرار بگیرد. با این رویکرد میتوانیم نمونهای جدید از بدافزار را ایجاد کنیم. اگر بتوانیم این کار را انجام دهیم میتوانیم بهخوبی عملکرد بدافزار را بفهیمم و چندین ابزار بدافزاری را با یکدیگر ادغام کنیم.
