الكشف والتحديد القائم على العينات

حالة استخدام

لديك عينة ملف وتحتاج إلى تحديد ما إذا كان ضارًا وربما يكون قد تم إرساله إلى الهدف عن طريق البريد الإلكتروني أو وسائل التواصل الاجتماعي أو المراسلة الفورية أو تم نقله عبر الوسائط القابلة للإزالة أو غير ذلك. قد يكون الملف نفسه ملفًا ثنائيًا أو أرشيفًا مضغوطًا أو صفحة ويب تم التقاطها أو تنسيقات ملفات أخرى. يتمثل الهدف الأساسي في تحديد ما إذا كان الملف ضارًا أم لا. بالإضافة إلى ذلك، قد تتمكن من تحديد بعض المعلومات الإضافية المفيدة التي تُميز الملف ولكن لمزيد من الإرشادات راجع مسار تعلم تحليل البرمجيات الضارةMalware Analysis Learning Path.

الأهداف

بعد استكمال هذا الموضوع الفرعي، يجب أن يكون الممارسون قادرين على القيام بما يلي:

• فحص الملفات المشبوهة باستخدام منصات البرمجيات الضارة
• استخدام بيئات الاختبار المعزولة للمساعدة في تحديد ما إذا كانت العينة ضارة وما تفعله

العرض

إذا كنت بحاجة إلى تقييم متعمّق لعدد من الملفات المعينة، فهناك خدمات عبر الإنترنت ستقوم بفحص ملف معين أو مجموعة من الملفات بحثًا عن البرمجيات الضارة. إذا كان لديك ملف تشتبه أنه ضار، يمكنك تحميله إلى خدمة فحص ولاحظ أن هذه الخدمات لا تحافظ على سرية محتويات الملفات التي تقوم بتحميلها. يجب عدم تحميل أي ملفات تحتوي على معلومات حساسة فقد تأتي هذه الملفات من مرفقات البريد الإلكتروني، أو يتم تنزيلها مؤخرًا على جهاز الضحية. لاحظ أنه في كثير من الحالات، قد يكون التنزيل الأولي عبارة عن حامل فيروس حصان طروادة (ملف قابل للتنفيذ يُثبّت البرمجيات الضارة الفعلية، وغالبًا ما يكون من الأسهل تخصيصه مقارنة بالبرمجيات الضارة “الحقيقية”) وقد لا تعرفه أدوات مكافحة البرمجيات الضارة. إذا كان ذلك ممكنًا، قم بتحليل تواريخ إنشاء/تعديل/تنزيل الملف لتحديد الملفات التي ربما تم تنزيلها بواسطة حامل فيروس حصان طروادة الأولي.

إذا كنت تفضل عدم مشاركة ملف كامل على خدمة عبر الإنترنت ولكنك لا تزال ترغب في التحقق مما إذا كان قد تم إرساله سابقًا، فيمكنك ببساطة تحميل شفرة تجزئة الملف. تُشبه شفرة التجزئة بصمة إصبع صغيرة للملف ويمكن استخدامها لتحديد ملف فريد دون الكشف عن محتوياته. لمزيد من المعلومات حول شفرة التجزئة، انتقل إلى قسم “شفرات التجزئة” في الفصل 7 من الدليل الميداني للاستجابة لحوادث المجتمع المدني ووسائل الإعلامField Guide to Incident Response for Civil Society and Media. يُفترض نشاط الدليل أن المستخدم يتعلم على نظام تشغيل لينوكس، ولذلك ستحتاج إلى البحث عن الأداة المساعدة لسطر الأوامر لاستخدامها للحصول على مجموع SHA على المنصة التي اخترتها، على سبيل المثال باستخدام shasum أو openssl على ماك أو إس أو باستخدام Get-FileHash أو certutil في باور شل (PowerShell).

إحدى الخدمات الشائعة لجمع المعلومات عن البرمجيات الضارة الشائعة هي فايروستوتالVirusTotal من Google والتي تقوم بفحص الملف باستخدام عدد من أدوات مكافحة البرمجيات الضارة وثم الإبلاغ عن النتائج. يمكنها أيضًا أن تفحص باستخدام شفرة تجزئة الملفات أو عناوين مواقع الويب وهي مجانية للاستخدام وتخضع لقيود الحجم. للحصول على وصف ونشاط مفصلين أكمل قسم “استخدام فايروستوتال” في الفصل 7 من دليل إنترنيوز الميداني للاستجابة لحوادث المجتمع المدني ووسائل الإعلامField Guide to Incident Response for Civil Society and Media.

‼️ بعد الانتهاء من الفصل أعلاه، ستكون قادرًا على:

• فهم ما ينجم عن تحميل عينتك إلى فايروستوتال (تتم مشاركة عينتك مع عملاء فايروستوتال الذين يدفعون لقاء الاشتراك)، والتمكن من تقرير ما إذا كان من المناسب القيام بذلك
• أرسل ملفًا أو تحقق من سجل عن شفرة التجزئة واقرأ علامات التبويب الاكتشافات والتفاصيل والعلاقات والسلوك والمجتمع على فايروستوتال

بيئات الاختبار المعزولة

تُوفر بيئات الاختبار المعزولة بيئة ظاهرية تحاكي جهاز كمبيوتر عادي يُسجل سجلات مفصلة للأنشطة التي تحدث في الذاكرة وعلى القرص. يسمح هذا عمومًا بطريقة آمنة وآلية لتمهيد بدء تحليل البرمجيات الضارة وفهم إجراءات ونوايا الملف. تشمل العديد من خدمات بيئة الاختبار المعزولة التجارية المتاحة مجانًا هايبرد أناليسس Hybrid Analysis وأني دوت رن Any.Run وجو ساندبوكس Joe Sandbox وترياجTriage. تُشغل هذه الخدمات الملفات التي ترسلها وتُجري تحليلًا ديناميكيًا ولهذا مزايا كبيرة في القدرة على كشف البرمجيات الضارة الجديدة بشكل إرشادي وكذلك القدرة على تقييم مراحل البرمجيات الضارة المتعددة. لاحظ أنه سيتم جمع العينات المقدمة وستُصبح متاحة للعملاء والمحللين الذين يدفعون رسوم الاشتراك.

تعد كوكو ساندبوكس (Cuckoo Sandbox) أداة تحليل برمجيات ضارة مجانية ومفتوحة المصدر يمكنك استضافتها بنفسك. تُقدم سي إي آر تي إي إي في إستونيا نسخة مستضافة مجانية عبر الإنترنت: كوكو الإصدار 2 Cuckoo V2، كوكو الإصدار 3Cuckoo V3 (Beta) (بيتا).

لمعرفة المزيد حول استخدام بيئات الاختبار المعزولة للكشف عن العينات، أكمل قسم “بيئات الاختبار المعزولة” في الفصل 10 من دليل إنترنيوز الميداني للاستجابة لحوادث المجتمع المدني ووسائل الإعلام Field Guide to Incident Response for Civil Society and Media والذي يستخدم بيئة اختبار معزولة التصنيف كمثال

بعد إكمال هذا الفصل ستصبح لديك القدرة على القيام بما يلي:

• إرسال ملف إلى بيئة اختبار معزولة
• تحديد أو تكوين بيئة تشغيل مناسبة لبيئة اختبار معزولة
• قرر ما إذا كان ينبغي تعطيل الشبكات أو محاكاتها
• قراءة نظرة عامة على النتائج بما في ذلك الاكتشافات الآلية
• فهم عام لفئات المعلومات الأخرى التي يتم تقديمها في تحليل وضع بيئة الاختبار المعزولة. لغرض الكشف ليس الفهم التفصيلي ضروريًا ولكن لتحليل البرمجيات الضارة أو مطاردة التهديدات وستحتاج إلى فهمها بشكل أكبر.

يمكنك التعمّق أكثر في بيئات الاختبار المعزولة في مسار تعلم إنفيوز (Infuse) لتحليل البرمجيات الضارة.

لاحظ أن البرمجيات الضارة المتقدمة قد تبدأ عمليات فحص لاكتشاف ما إذا كانت في بيئة ظاهرية/بيئة اختبار معزولة، وبالتالي قد تتصرف بشكل مختلف اعتمادًا على البيئة مما يعني أنه لا توجد بيئة اختبار معزولة موثوقة بنسبة 100٪. لمعرفة المزيد حول أنواع التقنيات التي تستخدمها أداة هايبرد أناليسس، يمكنك تعلم إجراء تحليل البرمجيات الضارة الهجين (الثابت والديناميكي) الخاص بك في مسار تعلّم تحليل البرمجيات الضارة.

الممارسة

1. ابحث عن ملف نصي عادي أو قم بإنشائه على نظامك ثم احسب شفرة تجزئته sha256. بعد القيام بذلك، غيّر الملف عن طريق تحريره في محرر نص عادي وإلحاق حرف واحد به، ثما عاود حساب تجزئة sha256 مرة أخرى. احصل على ملف غامض قابل للتنفيذ على ويندوز من شيء مثل download.cnet.com. قم بتحميله إلى فايروستوتال أو قم بتحليله باستخدام هايبرد أناليسس. لاحظ أن المثبتات قد تُحدد بشكل غير صحيح على أنها ضارة بسبب طبيعة طريقة 2. عملها وفكر في سبب حدوث ذلك وناقشه إذا أمكن مع نظير أو مُرشِد.
2. بحث عن شفرة التجزئة لبرمجية ضارة معروفة (يمكنك القيام بذلك عن طريق تصفح موقع يحتوي على شفرة تجزئة البرمجيات الضارة، ولا حاجة لتنزيل العينة وحساب تجزئتها بنفسك!) وقم بتحميلها إلى فايروستوتال، ثم اشرح ما تراه وما حدث.

اختبار مهارة

بشكل مستقل (أو مع مُرشِد) تصفح عينات البرمجيات الضارة التي تم إرسالها مؤخرًا إلى مالوير بازار وانسخ شفرة تجزئة 3-5 عينات اكتشفتها إلى مربع بحث فايروستوتال. ما النتائج التي تحصل عليها؟ يجب أن تُكتشف كل واحدة من شفرات التجزئة على أنها ضارة من قبل اثنين على الأقل من محركات كشف البرمجيات الضارة لدى فايروستوتال. إذا لم تُكتشف أي من شفرات التجزئة على أنها ضارة أو لم يتعرف عليها فايروستوتال، فمن المحتمل أنك ارتكبت خطأ في مكان ما ويستحق الأمر قضاء بعض الوقت لمراجعة خطواتك!

مع نظير أو مُرشِد اطلب من أحد النظراء أو مُرشِد تحديد حوالي 10 ملفات عشوائية التي يمكن أن تكون صورًا على سبيل المثال. يأخذون بعد ذلك شفرة تجزئة sha256 لثلاث ملفات تم اختيارها عشوائيًا ويرسلون لك كلًا من الملفات وشفرة التجزئة. اكتشف أي من هذه الملفات العشرة يرتبط بشفرة التجزئة، واطلب من النظير أو المرشد التحقق من عملك.

موارد التعلّم