ارائه پلتفرمی برای تشخیص بدافزارها/ امکان شناسایی منشا انتشار ویروسها در کشور فراهم شد
گروهی از محققان کشور پلتفرمی را طراحی کردند که از طریق آن علاوه بر آنکه میتوان بدافزارهایی که از طریق شبکههای اجتماعی منتشر میشود را شناسایی کرد، با کمک آن امکان منشا انتشار بدافزارها نیز برای کاربران فراهم میشود.
امیرگوران اوریمی از محققان این طرح در این باره گفت: در این پروژه پلتفرم تحلیل بدافزار طراحی و پیادهسازی شد که قادر است یک فایل را در سطوح مختلف از لحاظ ماهیت فایل (بدافزار یا سالم بودن) مورد ارزیابی قرار دهد.
وی بخش اصلی این پلتفرم را هسته آن دانست که شامل پنج زیر سامانه "ضد بدافزار مرکب" (Multi AV)، "تحلیل ایستا" (Static Analysis)، "تحلیل پویا" (Dynamic Analysis)، "تحلیل تخصصی دستی" (Expert Analysis) و "شناسایی منشا انتشار بدافزار" (Malware Origins) است.
گوران اوریمی به بیان مکانیزم عملکردی این پلتفرم اشاره کرد و یادآور شد: فرض کنید که در یک شبکه اجتماعی به فایل مشکوک برخورد کردید که نمیدانیم این فایل یک بدافزار است یا خیر. برای بررسی، این فایل به سامانه MALAB.ir ارسال میشود و در این سامانه فایل ارسال شده از طریق ۵۹ آنتی ویروس مورد بررسی قرار میگیرد.
این محقق با بیان اینکه در بخش ضد ویروس مرکب (Multi AV) فایلهای ارسالی توسط ابزارهای ضد بدافزار مختلف مورد تحلیل و بررسی قرار میگیرد، خاطر نشان کرد: یکی از مشکلات موجود در این بخش تحریک ایران توسط شرکتهای تحلیل بدافزار و عدم ارائه API است که برای رفع این مشکل با مهندسی معکوس ابزارهای ضد بدافزار این API از آنها استخراج شد.
وی با تاکید بر اینکه اگر فایل توسط ضدویروس مرکب، مخرب تشخیص داده نشد، فایل در بخش بعدی به صورت ایستا و پویا تحلیل خواهد شد، ادامه داد: پس از آنکه بدافزار بودن این فایل رد شد، به مدت چند دقیقه در محیط ایزولهشده اجرا میشود و رفتار آن مورد بررسی قرار خواهد گرفت و پس از آن رفتار این فایل اگر همانند رفتار بدافزارها باشد، به عنوان بدافزار معرفی میشود.
به گفته گوران اوریمی، در این بخش با طراحی و پیادهسازی یک جعبه شن (Sand Box) بر اساس فناوری Intel-VT بدافزار در محیط ایزوله، اجرا شده و رفتار آن مورد تحلیل قرار میگیرد.
وی اضافه کرد: در فرآیند تحلیل فایل، ممکن است ضد ویروس مرکب و جعبه شن قادر به شناسایی آن نباشند؛ از این رو تحلیل توسط متخصصان انسانی صورت میگیرد. در این بخش تیمی از تحلیلگران بدافزار جمعآوری شده و این تیم میتوانند تحلیلهای دستی و نظر خود را درباره فایلهای ارسالی، ارائه دهند.
گوران اوریمی یکی از چالشهای موجود در این فناوری را نبود گروه تحلیل در شرکتها و یا سربار مالی زیاد آنها در ایران ذکر کرد و گفت: برای حل این مشکل در این پلتفرم تمام تحلیلگران بدافزار سراسر دنیا امکان ثبتنام، درج گزارش تحلیل فایل و دریافت مبلغ را دارند. به عبارت دیگر این پلتفرم بستری برای حضور و درآمدزایی تحلیلگران تهیه کرده است.
وی با تاکید بر اینکه در این پلتفرم امکان شناسایی منشا انتشار بدافزار پیشبینی شده است، ادامه داد: در این بخش پروفایلی برای کانالهای شبکههای اجتماعی همانند تلگرام و غیره، تهیه و از این طریق مشخص میشود که منشا انتشار بدافزار کجا بوده است.
گوران اوریمی با اشاره به ایجاد یکسری "کراولر" و "هانیپات" (Honeypot) در این پلتفرم، یادآور شد: این بخش هر روز شبکههای اجتماعی مانند گپ، آی گپ و تلگرام، پیامرسانها و مارکتها را مورد بررسی قرار میدهد و فایلهایی که در این شبکهها منتشر میشود، به این سامانه ارسال میکنند تا در صورتی که این فایلها حاوی بدافزار باشند، قبل از آنکه از طریق این شبکهها بیشتر منتشر شوند، اطلاع رسانی خواهد شد تا کاربران از طریق این بدافزارها آلوده نشوند.
وی با تاکید بر اینکه این سامانه، پلتفرمی برای شناسایی و تحلیل بدافزارها است، اظهار کرد: این سامانه دارای دو حالت است؛ در حالت اول اگر تعداد کاربران کم باشد و نیازی به اسکن بیش از ۱۰ فایل در روز نباشد، کاربران میتوانند از خدمات رایگان این سامانه بهرهمند شوند.
این محقق افزود: ولی اگر نیاز به اسکن بیشتر از ۱۰ فایل در روز باشد، نسخههای تجاری این سامانه در دسترس است.
به گفته وی سرور این پلتفرم در اختیار کاربران قرار میگیرد و آنها میتوانند این سرور را در سازمان مربوطه نصب کنند.
گوران اوریمی، عدم وابستگی این سامانه به سیستم عامل خاصی را از مزایای این پلتفرم دانست و گفت: این پلتفرم قابل نصب برای انواع سیستم عامل تلفن همراه و ویندوز است؛ ولی بخش کراول آن بیشتر برای شناسایی بدافزارهای اندروید فعال شده است.
وی بدافزارها و یا ویروسها را فایلهایی توصیف کرد که با هدف نفوذ به کامپیوتر مورد استفاده قرار میگیرند و ادامه داد: زمانی که این بدافزارها وارد کامپیوتری میشوند، آسیبهایی را به دستگاه وارد میکنند، به گونهای که ممکن است فایلی را پاک و یا "رمز" کنند و برای باز کردن رمز فایلها پولی را دریافت کنند و یا از سیستم کاربر برای نفوذ به سیستم دیگری بهرهبرداری کنند.
گوران اوریمی با بیان اینکه اینها مواردی از آسیبهایی است که یک بدافزار میتواند به سیستم کامپیوتری وارد کند، افزود: بدافزارها انواع مختلفی دارند که از جمله آنها میتوان به ویروسها، کرمها و یا تروجانها اشاره کرد.
به گفته محقق این طرح، این سامانه فعال شده است و نسخه رایگان این پلتفرم قابل دسترسی است.