ارائه پلتفرمی برای تشخیص بدافزارها/ امکان شناسایی منشا انتشار ویروس‌ها در کشور فراهم شد

 
 
گروهی از محققان کشور پلتفرمی را طراحی کردند که از طریق آن علاوه بر آنکه می‌توان بدافزارهایی که از طریق شبکه‌های اجتماعی منتشر می‌شود را شناسایی کرد، با کمک آن امکان منشا انتشار بدافزارها نیز برای کاربران فراهم می‌شود.
 
امیرگوران اوریمی از محققان این طرح در این باره گفت: در این پروژه پلتفرم تحلیل بدافزار طراحی و پیاده‌سازی شد که قادر است یک فایل را در سطوح مختلف از لحاظ ماهیت فایل (بدافزار یا سالم بودن) مورد ارزیابی قرار دهد.
 
وی بخش اصلی این پلتفرم را هسته آن دانست که شامل پنج زیر سامانه  "ضد بدافزار مرکب" (Multi AV)، "تحلیل ایستا" (Static Analysis)، "تحلیل پویا" (Dynamic Analysis)، "تحلیل تخصصی دستی" (Expert Analysis) و "شناسایی منشا انتشار بدافزار" (Malware Origins) است.
 
گوران اوریمی به بیان مکانیزم عملکردی این پلتفرم اشاره کرد و یادآور شد: فرض کنید که در یک شبکه اجتماعی به فایل مشکوک برخورد کردید که نمی‌دانیم این فایل یک بدافزار است یا خیر. برای بررسی، این فایل به سامانه MALAB.ir ارسال می‌شود و در این سامانه فایل ارسال شده از طریق ۵۹ آنتی ویروس مورد بررسی قرار می‌گیرد.
 
این محقق با بیان اینکه در بخش ضد ویروس مرکب (Multi AV) فایل‌های ارسالی توسط ابزارهای ضد بدافزار مختلف مورد تحلیل و بررسی قرار می‌گیرد، خاطر نشان کرد: یکی از مشکلات موجود در این بخش تحریک ایران توسط شرکت‌های تحلیل بدافزار و عدم ارائه API است که برای رفع این مشکل با مهندسی معکوس ابزارهای ضد بدافزار این API از آنها استخراج شد.
 
وی با تاکید بر اینکه اگر فایل توسط ضدویروس مرکب، مخرب تشخیص داده نشد، فایل در بخش بعدی به صورت ایستا و پویا تحلیل خواهد شد، ادامه داد: پس از آنکه بدافزار بودن این فایل رد شد، به مدت چند دقیقه در محیط ایزوله‌شده اجرا می‌شود و رفتار آن مورد بررسی قرار خواهد گرفت و پس از آن رفتار این فایل اگر همانند رفتار بدافزارها باشد، به عنوان بدافزار معرفی می‌شود.
 
به گفته گوران اوریمی، در این بخش با طراحی و پیاده‌سازی یک جعبه شن (Sand Box) بر اساس فناوری Intel-VT بدافزار در محیط ایزوله، اجرا شده و رفتار آن مورد تحلیل قرار می‌گیرد.
 
وی اضافه کرد: در فرآیند تحلیل فایل، ممکن است ضد ویروس مرکب و جعبه شن قادر به شناسایی آن نباشند؛ از این رو تحلیل توسط متخصصان انسانی صورت می‌گیرد. در این بخش تیمی از تحلیلگران بدافزار جمع‌آوری شده و این تیم می‌توانند تحلیل‌های دستی و نظر خود را درباره فایل‌های ارسالی، ارائه دهند.
 
گوران اوریمی یکی از چالش‌های موجود در این فناوری را نبود گروه تحلیل در شرکت‌ها و یا سربار مالی زیاد آنها در ایران ذکر کرد و گفت: برای حل این مشکل در این پلتفرم تمام تحلیلگران بدافزار سراسر دنیا امکان ثبت‌نام، درج گزارش تحلیل فایل و دریافت مبلغ را دارند. به عبارت دیگر این پلتفرم بستری برای حضور و درآمدزایی تحلیلگران تهیه کرده است.
 
وی با تاکید بر اینکه در این پلتفرم امکان شناسایی منشا انتشار بدافزار پیش‌بینی شده است، ادامه داد: در این بخش پروفایلی برای کانال‌های شبکه‌های اجتماعی همانند تلگرام و غیره، تهیه و از این طریق مشخص می‌شود که منشا انتشار بدافزار کجا بوده است.
 
گوران اوریمی با اشاره به ایجاد یکسری "کراولر" و "هانی‌پات" (Honeypot) در این پلتفرم، یادآور شد: این بخش هر روز شبکه‌های اجتماعی مانند گپ، آی گپ و تلگرام، پیام‌رسان‌ها و مارکت‌ها را مورد بررسی قرار می‌دهد و فایل‌هایی که در این شبکه‌ها منتشر می‌شود، به این سامانه ارسال می‌کنند تا در صورتی که این فایل‌ها حاوی بدافزار باشند، قبل از آنکه از طریق این شبکه‌ها بیشتر منتشر شوند، اطلاع رسانی خواهد شد تا کاربران از طریق این بدافزارها آلوده نشوند.
 
وی با تاکید بر اینکه این سامانه، پلتفرمی برای شناسایی و تحلیل بدافزارها است، اظهار کرد: این سامانه دارای دو حالت است؛ در حالت اول اگر تعداد کاربران کم باشد و نیازی به اسکن بیش از ۱۰ فایل در روز نباشد، کاربران می‌توانند از خدمات رایگان این سامانه بهره‌مند شوند. 
 
این محقق افزود: ولی اگر نیاز به اسکن بیشتر از ۱۰ فایل در روز باشد، نسخه‌های تجاری این سامانه در دسترس است.
 
به گفته وی سرور این پلتفرم در اختیار کاربران قرار می‌گیرد و آنها می‌توانند این سرور را در سازمان مربوطه نصب کنند.
 
گوران اوریمی، عدم وابستگی این سامانه به سیستم عامل خاصی را از مزایای این پلتفرم دانست و گفت: این پلتفرم قابل نصب برای انواع سیستم عامل تلفن همراه و ویندوز است؛ ولی بخش کراول آن بیشتر برای شناسایی بدافزارهای اندروید فعال شده است.
 
وی بدافزارها و یا ویروس‌ها را فایل‌هایی توصیف کرد که با هدف نفوذ به کامپیوتر مورد استفاده قرار می‌گیرند و ادامه داد: زمانی که این بدافزارها وارد کامپیوتری می‌شوند، آسیب‌هایی را به دستگاه وارد می‌کنند، به گونه‌ای که ممکن است فایلی را پاک و یا "رمز" کنند و برای باز کردن رمز فایل‌ها پولی را دریافت کنند و یا از سیستم کاربر برای نفوذ به سیستم دیگری بهره‌برداری کنند.
 
گوران اوریمی با بیان اینکه اینها مواردی از آسیب‌هایی است که یک بدافزار می‌تواند به سیستم کامپیوتری وارد کند، افزود: بدافزارها انواع مختلفی دارند که از جمله آنها می‌توان به ویروس‌ها، کرم‌ها و یا تروجان‌ها اشاره کرد.
 
به گفته محقق این طرح، این سامانه فعال شده است و نسخه رایگان این پلتفرم قابل دسترسی است.