كشف البرمجيات الضارة من خلال تحليل حركة المرور

حالة استخدام

ستقوم معظم البرمجيات الضارة بإجراء اتصال بالشبكة سواء كان ذلك للاتصال بخادم الأوامر والتحكم للحصول على مزيد من التعليمات أو تسريب البيانات من جهاز الكمبيوتر. في حين يمكن استخدام تكتيكات مختلفة من قبل البرمجيات الضارة لتجنب اكتشافها بواسطة فاحصات مكافحة الفيروسات، يمكن للمحلل في كثير من الحالات الوصول إلى كامل حركة مرور الشبكة من الجهاز لاكتشاف اتصالات الشبكة المشبوهة هذه وتحليلها بحثًا عن علامات النشاط الضار.

استخدمه عندما تكون قادرًا على إعداد حل لتحليل حركة المرور عبر الإنترنت، على سبيل المثال باستخدام جهاز نقطة اتصال واي فاي يعمل على رازبيري باي كما هو الحال في بعض الأدوات التي تمت مناقشتها هنا. يمكن أن تشمل الخيارات الأخرى استخدام منافذ اختبار الوصول أو محلل المنافذ المبدل لتسجيل حركة مرور جميع مستخدمي الشبكة المحلية كما هو الحال في المساحات المكتبية.

ملاحظة للمتعلمين: يفترض هذا الموضوع الفرعي أنه لديك رازبيري باي ولكن إذا لم يكن هذا هو الحال يمكنك تخطيه والانتقال إلى الخطوة التالية.

الأهداف

بعد استكمال هذا الموضوع الفرعي، يجب أن يكون الممارسون قادرين على القيام بما يلي:

• ناقش مع العميل النهج المقترح لتحليل حركة المرور بما في ذلك شرح العملية والمخاطر والقيود المفروضة على الإجراء
• حدد أداة مناسبة لتحليل حركة مرور الشبكة وقم بتنفيذها باستخدام تكوين الأجهزة أو البرامج ذات الصلة
• فحص وفهم مجموعات القواعد أو التحليلات التجريبية المستخدمة في كل نهج تحليل شبكة معين وفهم نقاط قوتها أو ضعفها
• قراءة نتائج تدفقات الشبكة التي تم الإبلاغ عنها والتمكّن من تصنيف النتائج التي تتطلب الفحص الإضافي أو إجراءات معالجة المخاطر

العرض

بدلًا من النظر إلى الملفات والعمليات التي تعمل على جهاز ما، يمكن أيضًا تحديد البرمجيات الضارة من خلال اتصالات الشبكة التي تباشرها أو تستجيب لها، ويتمتع هذا النهج بالعديد من المزايا مقارنة بالتحليل القائم على الجهاز حيث يصعب على البرمجيات الضارة تجنب إجراء اتصالات الشبكة في مرحلة ما وفي بعض الحالات يسمح لك بفحص أجهزة متعددة في وقت واحد.

تسجيل حركة المرور باستخدام رازبيري باي

في هذا القسم، سنلقي نظرة على أداتين هما مجموعة أدوات باي روغ (PiRogue) وسباي غارد (SpyGuard) وكلتاهما تتطلبان أجهزة إضافية (كمبيوتر صغير ومنخفض التكلفة يسمى رازبيري باي وبطاقة إس دي (SD)). ‼️ بعد تعلّم المهارات على أي من هاتين الأداتين، يجب أن تكون قادرًا على:

• تثبيت الأداة المحددة على بطاقة إس دي لجهاز رازبيري باي وإجراء التكوين الأولي
• الوصول إلى لوحة تحكم الأداة
• توصيل الأجهزة بنقطة اتصال واي فاي
• تحديد الأجهزة المتصلة بنقطة الاتصال (في حالة توصيل أجهزة متعددة في وقت واحد)
• قراءة وتفسير النتائج المشبوهة والتصنيف التي تتطلب معالجة المخاطر/الفحص الإضافي
• متقدم: تكوين التسجيل والإشعارات على الأداة المحددة
• متقدّم: التقاط حركة المرور لإجراء فحوص إضافية

مجموعة أدوات باي روغ

تُعدّ مجموعة أدوات باي روغ هي مجموعة من الأدوات البرمجية التي تحول رازبيري باي إلى محطة لتحليل البرمجيات الضارة وهي أداة طورتها دفنسف لاب إيجنسي (Defensive Lab Agency) وهي بمثابة جهاز راوتر وسيط يقع بين جهاز تشتبه بأنه قد يكون مصابًا وبين الإنترنت، ويسجل ويحلل جميع الخوادم والخدمات التي يحاول الجهاز المصاب الاتصال بها. يمكن استخدامها للكشف عن نشاط البرمجيات الضارة المحتملة.

إذا كنت مهتمًا بتشغيل هذه الأدوات، اطلّع على الوثائق الممتازةexcellent documentation التي كتبها المنشئ. نوصي بالبدء بدليل المبتدئين الذي يبحث في كيفية إعداد باي روغhow to set up a PiRogue وكيفية إجراء تحليلاتك الأولىhow to conduct your first analyses.

سباي غارد

أداة بديلة تسمى سباي غارد تعمل أيضًا على رازبيري باي أو أجهزة لينوكس الأخرى وتؤدي أيضًا وظيفة راوتر وسيط وعلى النقيض من مجموعة أدوات باي روغ التي تركز بشكل أساسي على تحليل الشبكة الأكثر تقدمًا، تُركز سباي غارد على فحص حركة مرور الشبكة بحثًا عن مؤشرات الاختراق المعروفة والسلوك المشبوه المحتمل potentially suspicious behavior مثل الاتصال بالنطاقات المسجلة مؤخرًا أو استخدام منافذ غير معتادة. تعد أداة سباي غارد فرعًا من مشروع آخر يسمى تايني تشك (TinyCheck) الذي صُمم في الأصل لمأوى للنساء الفرنسيات للكشف عن آثار برمجيات المطاردة (البرمجيات الضارة المستخدمة للتجسس على الأشخاص دون موافقتهم التي غالبًا ما يتم تثبيتها من قبل شركاء مسيئين) على الأجهزة المحمولة. لكن قدراته توسّعت ويمكن استخدامه الآن لاختبار العديد من أنواع البرمجيات الضارة الأخرى ويمكنك قراءة المزيد عن سباي غارد على صفحة غيت هب on its github page.

مقاربات أخرى

جدران حماية الاتصالات الصادرة

يُعدّ من المفيد استخدام جدار حماية جهاز “متطلّب” يطلب الإذن في كل مرة تطلب فيها عملية إرسال حركة مرور عبر الإنترنت حتى لو كان ذلك مرهقًا لأجل تحديد العمليات التي تجري اتصالات بالشبكة وربما تحدد الاتصالات المشبوهة. يتطلب ذلك مستوى إلمام بالعمليات الشائعة على المنصة التي اخترتها من أجل كشف العمليات غير المشبوهة بالإضافة إلى القدرة على البحث عن كتل بروتوكول الإنترنت وعمليات بحث نظام أسماء المجالات. قد لا يكون تركه نشطًا على كمبيوتر العميل هو أفضل نهج دائمًا لأنه من الصعب فحص كل عملية بصورة صحيحة، ولكن بصفتك ممارس أمن رقمي من المفيد أن تكون قادرًا على إجراء هذا العمل وقد يكون الأمر يستحق القيام به على جهازك الخاص أو عند فحص جهاز العميل. تشمل بعض جدران حماية نقاط النهاية في هذه الفئة ما يلي:

• ماك أو إس
  • لولوLuLu (مفتوح المصدر، مجانًا)
  • ليتل سنيتش Little Snitch (مدفوع) أو ليتل سنيتش ميني Little Snitch Mini (خاص، مجانًا)
• ويندوز
  • بورت ماستر PortMaster (مفتوح المصدر، إصدار مجاني/مدفوع متاح مع ميزات سجل الشبكة/فحص)
  • غلاس واير GlassWire (نسخة مجانية/مدفوعة متاحة)
• أندرويد
  • نت غارد NetGuard (نسخة مجانية مفتوحة المصدر/فريميوم متوفرة مع تسجيل/سجل حركة المرور)
  • إيه إف وول+ AFWall+ ](https://github.com/ukanth/afwall)(مفتوح المصدر، مجانًا)
• لينوكس
  • أوبن سنيتش OpenSnitch (مفتوح المصدر، مجانًا)

قد يكون من الصعب بعض الشيء التمكّن من جدران حماية الاتصالات الصادرة في البداية لأن نسبة المعلومات المطلوبة مقابل غير المطلوبة بعيدة عن المثالية ونوصي أولًا بالعمل جنبًا إلى جنب مع الآخرين الذين لديهم خبرة في مثل هذه الأدوات قبل الاعتماد عليها بشكل كبير في تحليلك الخاص.

تحليل حركة مرور الطرف الثالث

يمكن التقاط حركة المرور وتصفيتها أو تحليلها من قبل أطراف ثالثة وإحدى هذه الخدمات شبه الآلية هي إميرجنسي في ب إن Emergency VPN التي يديرها مشروع سيفيل سفير (Civilsphere) في الجامعة التقنية التشيكية (Czech Technical University). يمكن إنشاء ملف تعريف شبكة ظاهرية خاصة وتثبيته على أي منصة وبعد الاتصال بالشبكة الافتراضية الخاصة وتمرير حركة مرور الجهاز خلالها لمدة 24 ساعة، ستقوم خدمة إميرجنسي في ب إن تلقائيًا بإرسال تحليل تم إنشاؤه آليًا للإبلاغ عن أي نتائج أولية. تُحفظ بعدها بحركة المرور المسجلة من الجهاز وتُحلل يدويًا من قبل أحد الموظفين المحللين ويُرسل تقرير يدوي في حالة وجود نتائج ضارة. هذه طريقة استعانة بمصادر خارجية لمهارات التحليل عند الحاجة وعليك أن تتأكد من أنك أنت أو عميلك تفهمان الآثار المترتبة على الخصوصية وأنكما مرتاحان للمخاطر المرتبطة بتسجيل حركة المرور الخارجية.

إذا كانت لديك الوقت للقيام بذلك وكنت لا تمانع التبعات المترتبة على الخصوصية نتيجة مشاركة بياناتك مع فريق إميرجنسي في ب إن، فإننا نوصيك بقراءة المزيد عن الخدمة وتشغيلها لبضعة أيام وتحليل البيانات التي تتلقاها بعد ذلك، وبمجرد قيامك بذلك يجب أن تكون قادرًا على:

• فهم كيفية عمل خدمة إميرجنسي في ب إن في حالات الطوارئ
• طلب ملف تعريف إميرجنسي في ب إن وبتثبيته على المنصة التي اخترتها
• قراءة وفهم أول تقرير إميرجنسي في ب إن تلقائي وتحليل النتائج لتحديد أي نتائج مشبوهة لإجراء فحوص إضافية

في حالات أخرى، إذا كنت تعمل مع محلل خارجي فقد يُطلب منك إجراء عملية مماثلة تجري من خلال شبكة ظاهرية خاصة أو تشغيل أداة مساعدة لتسجيل حركة مرور الشبكة كما جرت العادة في ملف ب سي إيه ب (PCAP) لمشاركته ومراجعته خارجيًا.

التحليل اليدوي لحركة المرور والمراقبة التنظيمية

إذا كنت مستعدًا لتطوير هذه المهارة أكثر، فستحتاج إلى تطوير مهارات متعلقة بالتقاط حركة المرور وتصفيتها وتحليلها باستخدام أدوات مثل سوريكاتا (Suricata) وزيك (Zeek) وواير شارك (Wireshark)، ويمكنك الاطلاع على بعض الموارد المقترحة لمعرفة ما يلي:

يضم موقع Malware-traffic-analysis.net سنوات من المدوّنات والأدلة التعليمية المكتوبة بما في ذلك ملفات ب سي إيه ب للتمرن على مهارات الكشف والتحليل دورة: مراقبة أمن الشبكة باستخدام سوريكاتاNetwork Security Monitoring with Suricata (بلورالسايت (Pluralsight)، مجانًا) دورة: دورة تدريبية لصيد التهديدات Threat Hunting Training course (تدابير مضادة نشطة، تستخدم إيه سي هنتر سي إي (AC-Hunter CE)، وتقدم شهريًا بصورة مباشرة)

يجب أن تُراعي أيضًا تعلم عمليات النشر التنظيمية لهذه الأدوات عبر فئات مختلفة، على سبيل المثال باستخدام سيكيوريتي أنيون Security Onion وب إف سينس (pfsense)/أوبن سنس pfsense/Opensense وإيه سي هنتر سي إي AC-Hunter CE و آر إيه تي إيه RITA ووازو (Wazuh.

راعي القيود والخصوصية

كما هو الحال مع جميع المقاربات في مسار التعلّم هذا، توجد نقاط قوة وضعف لكل طريقة كشف عن البرمجيات الضارة ولن تكون فعالة إلا عند استخدامها مع المهارات والخبرات المناسبة وتتطلب أحيانًا الوصول إلى خلاصات التهديد أو مجموعات القواعد الصحيحة ولا يختلف تحليل الشبكة.

تجمع مناهج تحليل حركة المرور بين القواعد الصارمة مثل “عنوان بروتوكول الإنترنت هذا يعرف بأنه ضار” جنبًا إلى جنب مع قواعد التحليل التجريبي مثل “كمية غير عادية من حركة المرور الصادرة إلى عنوان بروتوكول إنترنت جديد” أو “استخدام غير متوقع للمنفذ/البروتوكول”. نظرًا لاعتماد النهج الأول على مؤشرات الاختراق، لا يمكنه إلا التقاط البرمجيات الضارة المعروفة والموثقة جيدًا. في حين أن الأساليب الاستكشافية الأخيرة قد تكون قادرة على التقاط برمجيات ضارة جديدة، إلا أنها غالبًا ما تتطلب مهارات تحليل إضافية لالتقاط حركة المرور ومراجعتها يدويًا في أداة مثل وايرشارك أثناء استخدام قواعد إضافية ومؤشرات الاختراق للبحث عن تهديدات محددة. توجد روابط لعدد من موارد تعلم مهارات تحليل إضافية في جدول الموارد أدناه.

يمكن لبعض البرمجيات الضارة المتطورة تسريب البيانات أو الاتصال بالخوادم بطرق خفية أو شديدة الطمس مما يزيد من تعقيد التحليل.

عليك أن تفهم أيضًا أن اعتراض حركة مرور جهاز العميل قد يكشف الأنشطة عبر الإنترنت أو غيرها من المعلومات الخاصة بالشخص. سيجري تشفير معظم حركة مرور الجهاز بنوع بروتوكول أمان طبقة النقل (TLS) وهذا يعني أن المحلل لن يكون قادرًا على التقاط الرسائل الخاصة أو كلمات المرور. لكن لا يزال هناك قدر كبير من المعلومات الخاصة التي يمكن التقاطها بما في ذلك الخدمات التي يستخدمها شخص ما والنطاقات التي يزورها والصفحات الحساسة التي يتصفحها أو الخدمات التي يستخدمها. ستعرض بعض الأدوات تدفقات حركة المرور المباشرة على لوحة المعلومات أثناء استخدام الأداة والتي من المحتمل أن تظهر معلومات خاصة في إعداد المجموعة. تأكد من أن عميلك يفهم العملية التي تقدمها له وأنك تتعامل مع أي معلومات يتم جمعها بأقصى قدر من السرية والأمان التشغيلي.

اختبار مهارة

أعد جهاز باي روغ على رازبيري باي وتحقق من حركة المرور من جهاز واحد ومن الناحية المثالية يجب أن يكون هذا جهاز اختبار قمت بتثبيت الكثير من التطبيقات العشوائية عليه. حاول أن تفهم المعطيات والتنبيهات التي تقدمها أداة باي روغ. دوِّن ثلاثة أنواع مختلفة على الأقل من المعطيات واشرح ما تعتقد أنها تعنيه ثم ناقشها مع مرشد أو زميل.

موارد التعلّم