متطلبات الأمان التشغيلي للكشف عن البرمجيات الضارة

حالة استخدام

قبل البدء في تحليل أي برمجيات ضارة، تحتاج إلى إعداد بيئة آمنة للقيام بذلك لأن البرمجيات الضارة كما يتضح من اسمها تسبب ضررًا للأنظمة التي تعمل عليها، لذا لا تقم بتشغيلها على نظامك الأساسي. بالإضافة إلى ذلك، من المحتمل أن ترغب في منع البرمجيات الضارة من إجراء اتصالات فعلية بخوادم الأوامر والتحكم الخاصة بممثل التهديد. كلا هذين الأمرين يعنيان أنه يجب عليك إعداد آلة افتراضية لاستخدامها عند إجراء تحليل البرمجيات الخبيثة.

الأهداف

بعد الانتهاء من هذا الموضوع الفرعي، يجب أن يكون الممارس قادرًا على ضمان سرية وسلامة البيانات ويشمل ذلك:

• التشفير أثناء التخزين والنقل
• إجراء المجموع الاختباري بعد الحصول على البيانات
• عدم استخدام أجهزة يشتبه في تعرضها للاختراق
• استخدام بيئات غير متصلة
• ضمان أمن الأجهزة والخوادم المستخدمة في العملية
• تقدير التهديدات والمخاطر
• إجراء النسخ الاحتياطي وتصوير الأقراص

العرض

يمكن تقسيم الأمن التشغيلي للكشف عن البرمجيات الضارة إلى مخاوف تتعلق بسيناريوهات محددة تشمل:

• التفاعل المباشر مع جهاز مجهول الحالة
• استخدام جهاز “سليم” منفصل للتفاعل مع جهاز غير معروف الحالة
• التفاعل مع الملفات أو الروابط ذات الحالة غير المعروفة

استخدام جهاز غير ذو حالة غير معروفة

في كثير من الحالات، سيتم تسليمك جهازًا ويطلب منك فحصه بحثًا عن البرمجيات الضارة (أو قد تحتاج إلى القيام بذلك على جهازك الخاص).

مراعاة أنه في حالة تعرض الجهاز للخطر، قد تتم مراقبة أنشطتك مما قد يؤثر على المخاطر والسلامة لعميلك. قد تُلتقط أي ضغطات على المفاتيح بما في ذلك الوصول إلى الحسابات أو المراسلات عبر الإنترنت. قد تُصبح أجهزة التخزين الخارجية مثل محركات الأقراص الثابتة أو محركات أقراص يو إس بي المحمولة أهدافًا لنقل التعليمات البرمجية الضارة ويمكن استخدام أي اتصالات شبكة لزيادة نشر التعليمات البرمجية الضارة أو سحبها.

لاحظ أيضًا أن إدخال أدوات التحليل يمكن أن يؤدي إلى تشغيل “مفتاح الإيقاف” على بعض البرمجيات الضارة التي تم تصميمها للتهرب من الكشف والتحليل وفي مثل هذه الحالات قد تكون صورة القرص وسجلات التحليل الجنائية الأخرى ضرورية لإجراء التحاليل الإضافية. لا يُغطى ذلك في مسار التعلّم هذا ولكنه مشمول في تحليل البرمجيات الضارةAnalyzing Malware

استخدام جهاز “سليم” منفصل أثناء عملية كشف البرمجيات الضارة

إذا كنت تشك في إصابة جهاز ببرمجيات ضارة، فيجب أن تقلل تفاعلك معه إلى أقل قدر ممكن معه حتى تعرف المزيد عن حالته. لهذا السبب يجب عليك دائمًا استخدام جهاز لا تشك في وجود أي إصابة برمجيات ضارة عليه للتعامل مع أي معلومات حساسة.

على سبيل المثال، إذا كان الشخص الذي تدعمه يشتبه بأن جهاز كمبيوتره المحمول أو المكتبي قد تعرض للاختراق، فاطلب منه فقط استخدام هاتفه المحمول للتواصل معك. عادة ما تكون فكرة جيدة أن يتم إيقاف تشغيل الكمبيوتر المحمول أو سطح المكتب الذي يُحتمل تعرضه للاختراق أو على الأقل فصله عن الإنترنت. إذا كان المستفيد قد ربط حساباته على سيغنال (Signal) ووتسآب (WhatsApp) وغيرها بالجهاز الذي يحتمل أن يكون قد تعرض للاختراق، فقد يكون من الجيد إلغاء ربطها (القيام بذلك من جهاز لا تشك في تعرضه للاختراق) أثناء عملية الكشف جارية.

التفاعل مع الملفات أو الروابط ذات الحالة غير المعروفة

عند المرور بعملية كشف البرمجيات الضارة، قد تواجه روابط أو ملفات (إما ملفات عادية أو ملفات قابلة للتنفيذ) لست متأكدًا منها وتشتبه في أنها قد تقدم حمولات برمجيات ضارة. إذا كنت تنسخ هذه الروابط أو الملفات من جهاز يحتمل أن يكون مخترقًا إلى جهاز تحليل، هناك دائمًا خطر بأن يصيب أيضًا جهاز التحليل الخاص بك، ولتقليل فرص حدوث ذلك، نوصي بما يلي:

• استخدام جهاز افتراضي على جهاز التحليل الخاص بك وفتح الملفات هناك فقط. وبهذه الطريقة حتى لو فتحت رابطًا أو ملفًا ضارًا وأصاب نظامك، فسيتم احتواء الضرر الذي يلحق بجهازك الافتراضي.
• استخدام الخدمات المستندة إلى الويب وبيئات الاختبار المعزولة التي سنغطيها أكثر لاحقًا في مسار التعلّم هذا.
• إزالة الضرر من جميع عناوين مواقع الويب (انظر القسم ذي الصلة تحت الموضوع الفرعي 3 في مسار تعلّم التحتية الأساسية الضارة).
• تخزين جميع الملفات التي يحتمل أن تكون مشبوهة في مجلدات مضغوطة ومحمية بكلمة مرور. يمنع ذلك فتحها عن طريق الصدفة أو مسحها بواسطة أدوات نظام التشغيل عندما تقوم على سبيل المثال بفهرسة المجلدات. لا داعي لتكون كلمة المرور معقدة ويمكن أن تكون بسيطة مثل “ABC”. كل ما عليك فعله هو منع الفتح التلقائي للملف أو فتحه مصادفة.

لإلقاء نظرة أعمق على الموضوع، راجع دليل وكالة المختبرات الدفاعية (Defensive Lab Agency) حول كيفية التعامل مع جهاز يحتمل أن يكون مخترقًا، وعلى وجه الخصوص:

• عزل أجهزة أندرويد وآي أو إس.
• إجراءات إرسال واستقبال الأجهزة المخترقة فعليًا للتحليل في حال كنت تعمل مع فريق تحليل فني عن بُعد أو كنت أنت من يقوم بالتحليل.
• نصائح تمهيدية حول تسلسل العُهدة أثناء تحليل الجهاز

يشير هذا المصطلح الأخير في سلسلة العُهدة إلى أفضل الممارسات في التحليل الجنائي الرقمي والاستجابة للحوادث لتسجيل التعامل مع الجهاز من أجل الحفاظ على الأدلة والسماح باستخدام الأدلة التي تم جمعها في أي إجراءات قانونية محتملة. تُوفر المقالة الموفر رابطها مقدمة جيدة إلى أفضل الممارسات للأغراض العامة التي يمكنك اتباعها في حال كنت في وضع يسمح لك بالتعامل مع الأدلة التي يمكن استخدامها في سيناريو مع عبء إثبات أعلى على الأدلة.

الممارسة

إعداد جهاز افتراضي يعمل بنظام ريمنوكس، مع الخطوات الموضحة في الدليل الميداني للاستجابة لحوادث المجتمع المدني ووسائل الإعلام (الفصل 6، بدءًا من الصفحة 30)..

اختبار مهارة

بعد إعداد الجهاز الظاهري وعليه توزيعة ريمنوكس، ثبّت تطبيق شبكة ظاهرية خاصة ذات سمعة طيبة واتصل من خلاله، وتأكد من أن نظامك الرئيسي إما غير متصل بشبكة ظاهرية خاصة أو بخادم مختلف عن مثيل ريمنوكس خاصتك. اطلب من نظيرك أو مرشِدك أن يرسل لك الرمز المميز لقيمة الكاناري لخطأ الويب والذي ستفتحه فقط في ريمنوكس من خلال متصفح ويب تختاره. (إذا لم تكن على دراية بالرمز المميز لقيمة الكاناري بعد، راجع هذا الدليل الذي أنشأناه حول كيفية استخدامها في التدريبات الأمنية.)

ما عنوان بروتوكول الإنترنت (IP) الذي ظهر؟ وأي وكيل مستخدم؟

تحدث إلى نظيرك / مرشِدك حول أي بيانات تبقى أو لا تبقى على جهازك الافتراضي. وإذا قمت بتشغيل برمجية ضارة في جهازك الظاهري الذي اتصل بخادم، فهل سيتصل من خلال شبكة ظاهرية خاصة أو اتصال شبكة منزلية/مكتبية

موارد التعلّم