به گزارش عاشق وب تعدادی از پژوهشگران کشور پلتفرمی را طراحی کردند که از راه آن علاوه بر آنکه می توان بدافزارهایی که از راه شبکه های اجتماعی منتشر می شود را شناسایی کرد، با کمک آن امکان منشا انتشار بدافزارها هم برای کاربران فراهم می شود.
امیرگوران اوریمی از محققان این طرح در گفتگو با ایسنا در این باره اظهار داشت: در این پروژه پلت فرم تحلیل بدافزار طراحی و پیاده سازی شد که می تواند یک فایل را در سطوح مختلف از لحاظ ماهیت فایل (بدافزار یا سالم بودن) مورد ارزیابی قرار دهد.
وی بخش اصلی این پلت فرم را هسته آن دانست که شامل پنج زیر سامانه “ضد بدافزار مرکب” (Multi AV)، “تحلیل ایستا” (Static Analysis)، “تحلیل پویا” (Dynamic Analysis)، “تحلیل تخصصی دستی” (Expert Analysis) و “شناسایی منشا انتشار بدافزار” (Malware Origins) است.
گوران اوریمی به بیان مکانیزم عملکردی این پلت فرم اشاره نمود و خاطرنشان کرد: فرض کنید که در یک شبکه اجتماعی به فایل مشکوک برخورد کردید که نمی دانیم این فایل یک بدافزار است یا خیر. جهت بررسی، این فایل به سامانه MALAB.ir ارسال می شود و در این سامانه فایل ارسال شده از راه ۵۹ آنتی ویروس مورد بررسی قرار می گیرد.
این محقق با اشاره به اینکه در بخش ضد ویروس مرکب (Multi AV) فایل های ارسالی توسط ابزارهای ضد بدافزار مختلف مورد تحلیل و بررسی قرار می گیرد، تصریح کرد: یکی از اشکالات موجود در این بخش تحریک ایران توسط شرکت های تحلیل بدافزار و عدم عرضه API است که برای رفع این مشکل با مهندسی معکوس ابزارهای ضد بدافزار این API از آنها استخراج شد.
وی با تاکید بر اینکه اگر فایل توسط ضدویروس مرکب، مخرب تشخیص داده نشد، فایل در بخش بعدی به صورت ایستا و پویا تحلیل خواهد شد، افزود: بعد از آنکه بدافزار بودن این فایل رد شد، به مدت چند دقیقه در محیط ایزوله شده اجرا می شود و رفتار آن مورد بررسی قرار خواهد گرفت و بعد از آن رفتار این فایل اگر همانند رفتار بدافزارها باشد، بعنوان بدافزار معرفی می شود.
به قول گوران اوریمی، در این بخش با طراحی و پیاده سازی یک جعبه شن (Sand Box) بر مبنای فناوری Intel-VT بدافزار در محیط ایزوله، اجرا شده و رفتار آن مورد تحلیل قرار می گیرد.
وی افزود: در فرایند تحلیل فایل، امکان دارد ضد ویروس مرکب و جعبه شن قادر به شناسایی آن نباشند؛ ازاین رو تحلیل توسط متخصصان انسانی صورت می گیرد. در این بخش تیمی از تحلیل گران بدافزار جمع آوری شده و این تیم می توانند تحلیل های دستی و نظر خویش را درباره فایل های ارسالی، عرضه کنند.
گوران اوریمی یکی از چالش های موجود در این فناوری را نبود گروه تحلیل در شرکت ها و یا سربار مالی زیاد آنها در ایران ذکر کرد و اظهار داشت: برای حل این مشکل در این پلت فرم تمام تحلیل گران بدافزار سراسر دنیا امکان ثبت نام، درج گزارش تحلیل فایل و دریافت مبلغ را دارند. به عبارت دیگر این پلت فرم بستری برای حضور و درآمدزایی تحلیل گران تهیه کرده است.
وی با تاکید بر اینکه در این پلت فرم امکان شناسایی منشا انتشار بدافزار پیشبینی شده است، افزود: در این بخش پروفایلی برای کانال های شبکه های اجتماعی همانند تلگرام و غیره، تهیه و از این طریق مشخص می شود که منشا انتشار بدافزار کجا بوده است.
گوران اوریمی با اشاره به ایجاد یکسری “کراولر” و “هانی پات” (Honeypot) در این پلتفرم، خاطرنشان کرد: این بخش هر روز شبکه های اجتماعی مانند گپ، آی گپ و تلگرام، پیام رسان ها و مارکت ها را مورد بررسی قرار می دهد و فایل هایی که در این شبکه ها منتشر می شود، به این سامانه ارسال می کنند تا در صورتیکه این فایل ها حاوی بدافزار باشند، پیش از آنکه از راه این شبکه ها بیشتر منتشر شوند، اطلاع رسانی خواهد شد تا کاربران از راه این بدافزارها آلوده نشوند.
وی با تاکید بر اینکه این سامانه، پلتفرمی برای شناسایی و تحلیل بدافزارها است، اظهار نمود: این سامانه دارای دو حالت است؛ در حالت اول اگر تعداد کاربران کم باشد و نیازی به اسکن بیشتر از ۱۰ فایل در روز نباشد، کاربران می توانند از خدمات مجانی این سامانه بهره مند شوند.
این محقق اضافه کرد: ولی اگر احتیاج به اسکن بیشتر از ۱۰ فایل در روز باشد، نسخه های تجاری این سامانه در دسترس می باشد.
به قول وی سرور این پلت فرم در اختیار کاربران قرار می گیرد و آنها می توانند این سرور را در سازمان مربوطه نصب کنند.
گوران اوریمی، عدم وابستگی این سامانه به سیستم عامل خاصی را از مزایای این پلت فرم دانست و اظهار داشت: این پلت فرم قابل نصب برای انواع سیستم عامل تلفن همراه و ویندوز است؛ ولی بخش کراول آن بیشتر برای شناسایی بدافزارهای اندروید فعال گشته است.
وی بدافزارها و یا ویروس ها را فایل هایی توصیف کرد که با هدف نفوذ به کامپیوتر مورد استفاده قرار می گیرند و افزود: زمانی که این بدافزارها وارد کامپیوتری می شوند، صدمه هایی را به دستگاه وارد می کنند، بگونه ای که امکان دارد فایلی را پاک و یا “رمز” کنند و برای باز کردن رمز فایل ها پولی را دریافت نمایند و یا از سیستم کاربر برای نفوذ به سیستم دیگری بهره برداری کنند.
گوران اوریمی با اشاره به اینکه اینها مواردی از صدمه هایی است که یک بدافزار می تواند به سیستم کامپیوتری وارد کند، اضافه کرد: بدافزارها انواع مختلفی دارند که همچون آنها می توان به ویروس ها، کرم ها و یا تروجان ها اشاره نمود.
به قول محقق این طرح، این سامانه فعال گشته است و نسخه مجانی این پلت فرم قابل دسترسی است.
