گروههای امنیتی وقتی یک حادثه را بررسی میکنند با یک سؤال بسیار مهم روبهرو میشوند و آن اینکه منشأ اولیه حمله کجاست.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، درحالحاضر هفتهها از ظهور باجافزار واناکرای میگذرد که در ۱۵۰ کشور صدها هزار رایانه را آلوده کردهاست. اینک شاهد هستیم که گزارشهای مختلفی منتشر شده و عوامل مختلفی را عامل اصلی این حمله عنوان کردهاند. با اینحال هیچیک از این دیدگاهها و نظرات بهقدری سریع نبود که در فرایند مقابله با باجافزار کمککننده باشد. متأسفانه روش تحلیل که در هریک از این گزارشها مورد استفاده قرار گرفت مناسب و سریع نبود. خبر خوش اینکه همچنان روشهای دیگری نیز وجود دارد که میتوان آنها را اجرا کرد.
تحلیلهای پویا از باجافزار واناکرای و منابع آن به تحلیل دستی کد نیاز دارد، بنابراین برای بهدست آوردن سرنخهای اولیه از این باجافزار به چند روز زمان نیاز است و برای دیدگاههای قویتر شاید هفتهها وقت لازم باشد. مشکل اصلی در این تحلیلها این است که نیاز به مقایسه هزاران قسمت از کد متعلق به دهها عامل مخرب است. به دلیل اینکه تعداد بدافزارها رو به افزایش است، این مسئله مشکلتر میشود. تحلیلهای پویا بهخوبی با افزایش تعداد بدافزارها و تهدیدها مقیاسپذیر نیستند.
تحلیلهای پویا میتواند به تشخیص و تعیین تأثیر زمان اجرای یک قطعه تروجان کمک کند، ولی با ظهور فناوریهای تشخیص سندباکس و دور زدن راهحلهای امنیتی، این تحلیلها رو به افزایش بوده ولی مقادیر آن محدود است. علاوهبر این با مقایسه مشابهتهای بین کد بدافزارها، نمیتوان متوجه عملکرد یک باجافزار شد و نیاز داریم دهها روش را مورد بررسی قرار دهیم تا به این نتایج برسیم. مقایسه بین پروندههای درهمسازی همواره مفید نیست و مهاجمان همواره از روشهای چندریختی استفادهمیکنند تا هر نمونه از بدافزار دارای مقادیر درهمسازی متفاوتی باشند. در مورد درهمسازی فازی چه میدانید که برای تحلیل مشابهتهای بین پروندهها مورد استفاده قرار میگیرد؟ این روش بهطور افزایشی برای اندازهگیری مشابهت بین دو پرونده باینری مورد استفاده قرار میگیرد.
چالش اصلی که وجود دارد این است که ابزارهای درهمسازی فازی، مانند ssdeep بر روی کل پرونده اعمال میشوند و نمیتواند شباهتهای بین یک پرونده با دیگر پروندهها را مشخص کند؛ اما باید بررسی کنیم که آیا میتوان از روشهای درهمسازی فازی برای پیدا کردن مشابهت بین پروندهها در سطح ریزدانهتری استفادهکنیم یا خیر؟ این مسئله باعث شده تا RSA به روشهای تحلیل ایستا برای مقایسه مشابهت بین پروندهها روی بیاورد. این روش همچنین میتواند برای مقایسه مشابهت چند تکه از بدافزار با تکههای دیگر از بدافزارها مورد استفاده قرار بگیرد. با این رویکرد میتوانیم نمونهای جدید از بدافزار را ایجاد کنیم. اگر بتوانیم این کار را انجام دهیم میتوانیم بهخوبی عملکرد بدافزار را بفهیمم و چندین ابزار بدافزاری را با یکدیگر ادغام کنیم.