الوحدة 3
بيئات اختبار معزولة والتحليل الديناميكي
آخر تحديث في: 27 ديسمبر 2024
GitHub تعديل هذه الصفحة علىحالة استخدام
يُعدّ التحليل الديناميكي عملية لتشغيل برمجية ضار ومراقبة ما يفعله، وأسهل طريقة لإجراء التحليل الديناميكي هي تشغيل البرنامج في بيئة اختبار معزولة. تُعد بيئة الاختبار المعزولة بيئة آمنة مستقلة لفتح ملف أو عنوان موقع ويب أو برمجية تحتمل أن تكون ضارة وإنشاء كمية هائلة من البيانات عنه. يبحث هذا الموضوع الفرعي في تحليل بيئة الاختبار المعزولة وما يمكن وما لا يمكن القيام به وكيفية القيام بذلك.
الأهداف
بعد استكمال هذا الموضوع الفرعي، يتوقع من الممارسين أن يكونوا قادرين على:
- فهم حالة الاستخدام وقيود التحليل الديناميكي
- فهم مزايا وقيود بيئات الاختبار المعزولة
- فتح ملف أو عنوان موقع ويب أو برنامج مشبوه في بيئة اختبار معزولة
- إجراء بعض التحليلات الديناميكية الأساسية على ملفات ثنائية لنظام ويندوز أو أندرويد باستخدام أدوات جاهزة
العرض
تحليل ديناميكي
عند إجراء تحليل ديناميكي على ملف يحتمل أن يكون مشبوهًا، ستقوم بفتح الملف وتنفيذه باستخدام أداة متخصصة ومراقبة ما يفعله هذا الملف، سواء كان يحاول الوصول إلى ملفات أخرى، أو إذا كان يقوم بإجراء اتصالات بالشبكة، أو ما شابه ذلك. من ناحية أخرى، يقوم تحليل التعليمات البرمجية بحالتها الثابتة الموضح في الموضوع الفرعي 4 بتفكيك الملف بدلاً من فتحه أو تنفيذه.
حسب الموقف، يمكن أن يكون التحليل الديناميكي أسهل أو أصعب من تحليل التعليمات البرمجية بحالتها الثابتة ويمكن أن يكون أيضًا أكثر أو أقل دقة. من الناحية العملية، من المرجح أن يؤدي الجمع بين التحليلين الثابت والديناميكي إلى أفضل النتائج. يشتمل معظم التحليل الديناميكي أيضًا على القليل من تحليل التعليمات البرمجية بحالتها الثابتة ولذلك غالبًا ما يكون الخط الفاصل بين التقنيتين غير ثابت.
يتضمن الإعداد العام للتحليل الديناميكي بيئة اختبار معزولة تُشغل فيه البرمجيات الضارة ومصحح أخطاء للتحكم في تنفيذ البرمجية ومراقبتها ومراقبة النظام للانتباه إلى التغييرات في حالة نظام بيئة الاختبار المعزولة، بالإضافة إلى الأداة التي تتحكم في الوصول إلى الإنترنت لحظر حركة المرور على الشبكة ومراقبتها و/أو تعديلها. يمكن أن تكون جميعها موجودة على نظام واحد أو قد تكون أجهزة ظاهرية أو مادية منفصلة. على سبيل المثال، يمكنك استخدام iPhone مكسور الحماية ليكون بيئة الاختبار المعزولة الخاصة بك مع أداة واحدة لتصحيح الأخطاء عن بُعد ومراقبة النظام وأداة أخرى للتحكم في الوصول إلى الإنترنت. لا يمكن استخدام جميع الأنظمة في كل حالة، على سبيل المثال قد تلتقط فقط حركة مرور الشبكة وتراقب تغييرات النظام دون استخدام مصحح أخطاء.
هناك العديد من الطرق المختلفة التي يمكننا من خلالها إجراء تحليل ديناميكي بما فيها فتح الملف التنفيذي في بيئة اختبار معزولة والتحقق من اتصالات الشبكة التي يقوم بها. وللحصول على مورد رائع حول اكتشاف البرمجيات الضارة من خلال حركة مرور الشبكة التي تولدها، راجع هذا الدليل.
من الناحية النظرية، يمكن للتحليل الديناميكي أن يُحذر ممثل تهديد من أنك تقوم بتحليل برمجياته الضارة، ولكن من الناحية العملية غالبًا ما يتوقع المخترقون تحليل برمجياتهم الضارة ومن النادر جدًا مواجهة برمجيات ضارة جديدة تمامًا في حياتك المهنية، وباستثناء بعض الحالات الحساسة للغاية لا داعي للقلق بشأن هذا الخطر.
بيئات الاختبار المعزولة
بيئة الاختبار المعزولة (للبرمجيات الضارة) هي بيئة آمنة يمكنك من خلالها فتح وتشغيل ملف أو عنوان موقع ويب، وهي في الأساس جهاز ظاهري مصمم خصيصًا يتم تشغيله قبل فتح الملف أو عنوان موقع الويب، ثم يتم إيقاف تشغيله بعد فترة زمنية معينة.
تُسجل جميع الأنشطة في بيئة الاختبار المعزولة مثل الملفات التي يتم فتحها أو إنشاؤها وكذلك اتصالات الشبكة التي يتم إجراؤها ويمكن الوصول إليها من خلال تقرير النشاط. يمكن أن يساعدك تقرير النشاط في فهم ما إذا كان الملف أو عنوان موقع الويب ضارًا. يمكن أن يساعدك أيضًا في ربط البرمجيات الضارة بالأنشطة التي سبق أن شهدتها، على سبيل المثال، استنادًا إلى اتصالات شبكة محددة أو ملفات تم إنشاؤها.
يمكن أن يكون تشغيل البرمجيات الضارة المعروفة داخل بيئة الاختبار المعزولة مفيدًا جدًا أيضًا لأنك تتعلم المزيد عن البرمجيات الضارة. ويساعدك على فهم ما تفعله البرمجيات الضارة والتغييرات التي تجريها على النظام. على سبيل المثال، تحاول الكثير من البرمجيات الضارة عند تشغيلها في البداية ضمان البقاء بحيث تستمر في العمل بعد إعادة التشغيل، وطرق البقاء هذه هي شيء يمكنك البحث عنه عند إجراء التحليل الجنائي اليدوي على جهاز تشك بأنه مخترق.
تحتوي الكثير من البرمجيات الضارة على ميزات مضمّنة لمكافحة بيئات الاختبار المعزولة: حيث عندما تكتشف البرمجيات الضارة أنها تعمل داخل بيئة اختبار معزولة ستقوم بالتوقف عن العمل أو في بعض الأحيان تفعل شيئًا غير ضار للعبث بالتحليل. كما تُصمم بعض البرمجيات الضارة لتعمل فقط إذا تم استيفاء شروط محددة، على سبيل المثال وجود إصدار معين من نظام التشغيل أو عنوان بروتوكول الإنترنت موجود في بلد معين. غالبًا ما تُحدث بيئات الاختبار المعزولة للرد على طرق مكافحتها وتتيح لك العديد من بيئات الاختبار المعزولة اختيار خصائص معينة. وهذا أمر مهم يجب مراعاته عند قراءة تقرير بيئة الاختبار المعزولة حيث إن عدم وجود نشاط ضار لا يعني تلقائيًا أن الملف أو عنوان موقع الويب غير ضار. ومن ناحية أخرى، إذا ظهر نشاط ضار يمكنك التأكد من أن الملف أو عنوان موقع الويب ضار.
راجع الفصل 10 من الدليل الميداني للاستجابة للحوادث للمجتمع المدني ووسائل الإعلام للتعرّف بتعمّق أكبر على بيئات الاختبار المعزولةChapter 10 of the Field Guide to incident response for civil society and media.
من الممكن تشغيل بيئة الاختبار المعزولة محليًا ومن بينهاCuckoo مفتوحة المصدر الموجود منذ سنوات عديدة ويجري حاليًا تطوير نسخة جديدة ولكنها غير متوفرة اعتبارًا من وقت الكتابة (فبراير 2024). في حين أن تشغيل بيئة الاختبار المعزولة محليًا يمنحك التحكم الكامل في البيئة ويعني أنه يمكنك الحفاظ على الخصوصية التامة لملفاتك وعناوين مواقع الويب الخاصة بك، قد يتطلب إعدادها وصيانتها الكثير من العمل. لحسن الحظ، تُتاح العديد من بيئات الاختبار المعزولة عبر الإنترنت مثل إني ران ANY.RUN وهايبرد اناليسيس Hybrid Analysis وجو ساندبوكس Joe Sandbox و تصنيف الترياجTriage وحتى إصدار على الإنترنت من كوكو Cuckoo. وتحتوي جميعها على إصدارات مجانية تسمح لك بتحميل البرمجيات الضارة وعناوين مواقع الويب ولكن بعضها يتطلب التسجيل. يجب مراعاة أنك إذا كنت تستخدم إصدارًا مجانيًا فإن أي شيء تقوم بتشغيله داخل بيئة الاختبار المعزولة سيكون متاحًا للعامة وقد يكون هذا مصدر قلق إذا كنت لا ترغب في إعلام المتطفل أو في حال كنت تتعامل مع بيانات خاصة للغاية مثل المستندات السرية التي يحتمل أن تكون مصابة.
التحليل الديناميكي للملفات الثنائية على ويندوز
نوصي بالبدء بفصل يُقدم نظرة عامة هذه المرة من OpenSecurityTraining يتضمن فصل التحليل الديناميكي للبرمجيات الضارةMalware Dynamic Analysis شرائح ومواد مختبرية ومقاطع فيديو ويغطي الإعداد والتحليل وإنشاء مؤشرات الاختراق.
التحليل الديناميكي للملفات الثنائية لنظام أندرويد
يمكن استخدام العديد من الأدوات لإجراء تحليل ديناميكي للملفات الثنائية لنظام أندرويد وتشمل هذه بعض بيئات الاختبار المعزولة الموضحة أعلاه وFrida (اطلّع على هذه الأداة التي توفر واجهة مستخدم رسومية لاستخدام Frida). يمكن لمجموعة أدوات بيروج (الموضحة في مسار تعلّم اكتشاف البرمجيات الضارة) أيضًا إجراء تحليل ديناميكي ممتازللملفات الثنائية لنظام أندرويد ولكن بعض طرق التحليل هذه تتطلب منك أولاً الحصول على صلاحيات الجذر في جهازك (الروت).
اختبار مهارة
عام
1- انتقل إلى قسم “بيئة الاختبار المعزولة” في الفصل 10 من الدليل الميداني للاستجابة للحوادث للمجتمع المدني ووسائل الإعلامField Guide to incident response for civil society and media وأكمل التمارين 10.2 حتى 10.4. في التمرين الأخير، تأكد من تشغيل عينة واحدة على الأقل من ر الضارة لنظامي التشغيل ماك أو إس (macOS) وأندرويد. 2- في نفس الفصل، انتقل إلى القسم الفرعي “تحليل الروابط” وأكمل التمرين 10.12.
خاص بنظام ويندوز
أجر تحليلًا ديناميكيًا على برنامج ويندوز غير ضار الذي ربما يتضمن برنامج تثبيت يقوم بتنفيذ إجراءات مماثلة البرمجيات الضارة. ما هي الملفات التي ينشئها؟ ما هي مُدخلات السجل التي ينشئها؟ ما هي حركة مرور الشبكة التي يرسلها؟
موارد التعلّم
الفصل 10
مجانيتُقدّم الصفحات الأولى من هذا الفصل نظرة متعمّقة حول كيفية استخدام بيئات الاختبار المعزولة لتحليل الحمولات المنقولة عبر البريد الإلكتروني.
اللغات: اللغة الإنجليزية
زيارة الموقعإني ران (ANY.RUN)
مجانية فقط للاستخدام غير التجاريبيئة اختبار معزولة مدفوعة
اللغات: اللغة الإنجليزية
زيارة الموقعجو ساندبوكس
مجاني للحسابات العامة (سيتم نشر نتائج التحليل على الموقع الإلكتروني)بيئة اختبار معزولة مدفوعة أخرى
اللغات: اللغة الإنجليزية
زيارة الموقعكوكو ساندبوكس
مجانيخدمة بيئة اختبار معزولة يديرها فريق الاستجابة لطوارئ الكمبيوتر الإستوني (CERT)
اللغات: اللغة الإنجليزية
زيارة الموقعكوكو ساندبوكس
مجانيالوصف:خدمة بيئة اختبار معزولة يديرها فريق الاستجابة لطوارئ الكمبيوتر الإستوني (CERT)
اللغات: اللغة:اللغة الإنجليزية
زيارة الموقعهايبرد اناليسيس
مجانيخدمة بيئة اختبار معزولة من CrowdStrike تجمع بين التحليلين الثابت والديناميكي
اللغات: اللغة الإنجليزية
زيارة الموقعبيئة الاختبار المعزولة Triage
تستلزم التسجيلبيئة الاختبار المعزولة يقودها أفراد المجتمع
اللغات: اللغة الإنجليزية
زيارة الموقعفصل دراسي عبر الإنترنت حول التحليل الديناميكي البرمجيات الضارة
تستلزم التسجيلفي حين أن الفصل الدراسي قد يعتمد على نظام تشغيل ويندوز XP، فإن كل ما يهم في هذه المرحلة من تحليل البرمجيات الضارة هو تنسيق الملفات الثنائية للبرنامج. لم تتغير هذه الأساسيات خلال العقد الماضي مما يجعل الفصل لا يزال ذا صلة.
اللغات: اللغة الإنجليزية
زيارة الموقعدراسة حالة 1: تحليل ديناميكي لملف ثنائي خبيث ذاتي الانتشار على نظام ويندوز
مجانييُوضح منشور المدونة هذا الذي تستغرق قراءته 15 دقيقة التحليل الديناميكي لملف ثنائي على ويندوز بما في ذلك حركة مرور الشبكة وحركة مرور القيادة والتحكم.
اللغات: اللغة الإنجليزية
زيارة الموقعدراسة حالة 2: تكوين مجال ويندوز لإجراء تحليل ديناميكي لأداة انتشار جانبية مطموسة
مجانيالتحقيق في البرمجيات الضارة التي تحتوي على آليات قوية لإزالة الطمس ويشرح كيف يمكن لمحللي الأمن استخدام التحليل الديناميكي لمعرفة المزيد عنها وتتضمن أقسامًا حول كيفية بناء بيئة اختبار وإجراء تحليل ديناميكي حول مجال معين.
اللغات: اللغة الإنجليزية
زيارة الموقعدراسة حالة 3: بدء التحليل الديناميكي على أداة جذور خفية لنظام ويندوز x64
مجانينظرة متعمّقة على التحليل الديناميكي لأدوات الجذور الخفية لنظام ويندوز بما في ذلك نظرة عامة على كيفية إعداد جهاز ظاهري خصيصًا لجمع البيانات عنه وتوضح أيضًا كيفية الجمع بين التحليلين الثابت والديناميكي.
اللغات: اللغة الإنجليزية
زيارة الموقعتحليل حركة مرور البرمجيات الضارة
مجانيمورد رائع يبحث في كيفية استخدام حزم الشبكة الملتقطة لاكتشاف البرمجيات الضارة وتحليلها.
اللغات: اللغة الإنجليزية
زيارة الموقعدورة هاك ذا بوكس (Hack The Box) حول اختبار اختراق الأجهزة المحمولة
مجانيالأدوات والتقنيات المستخدمة للتحليل الديناميكي للبرمجيات الخبيثة المحمولة هي إلى حد كبير نفس الأدوات والتقنيات المستخدمة لاختبار اختراق تطبيقات الهاتف المحمول. توفر هذه المقالة (والتمارين المرتبطة بها) مقدمة قوية إلى هذه الممارسة.
اللغات: اللغة الإنجليزية
زيارة الموقعدورة هاك ذا بوكس (Hack The Box) حول اختبار اختراق الأجهزة المحمولة
مجانيالوصف:الأدوات والتقنيات المستخدمة للتحليل الديناميكي للبرمجيات الخبيثة المحمولة هي إلى حد كبير نفس الأدوات والتقنيات المستخدمة لاختبار اختراق تطبيقات الهاتف المحمول. توفر هذه المقالة (والتمارين المرتبطة بها) مقدمة قوية إلى هذه الممارسة.
اللغات: اللغة الإنجليزية
زيارة الموقعFridaلأنظمة أندرويد
مجانيتُعدّ Frida إطار تصحيح أخطاء متعدد المنصات مفتوح المصدر وعلى الرغم من أنه لا يحتوي على واجهة مستخدم رسومية، إلا أنه قوي للغاية مما يتيح مراقبة سلوك التطبيق ديناميكيًا. هناك أداة تسمى House وهي عبارة واجهة لاستخدام Frida مما يجعل استخدامها أسهل
اللغات: اللغة الإنجليزية
زيارة الموقعHouse لأنظمة أندرويد
مجانيتُعدّ Frida إطار تصحيح أخطاء متعدد المنصات مفتوح المصدر وعلى الرغم من أنه لا يحتوي على واجهة مستخدم رسومية، إلا أنه قوي للغاية مما يتيح مراقبة سلوك التطبيق ديناميكيًا. هناك أداة تسمى House وهي عبارة واجهة لاستخدام Frida مما يجعل استخدامها أسهل
اللغات: اللغة الإنجليزية
زيارة الموقعدليل متقدم - كيفية استخدام بيروج لاعتراض حركة مرور بروتوكول أمان طبقة النقل لتطبيق الهاتف المحمول
مجانيسلسلة من التعليمات حول كيفية استخدام مجموعة أدوات بيروج من أجل إجراء تحليل ديناميكي على الملفات الثنائية لنظام أندرويد المشتبه بأنها ضارة
اللغات: اللغة الإنجليزية
زيارة الموقعتهانينا على إنهائك الوحدة 3!
حدد خانة الاختيار لتأكيد إكمالك والمتابعة إلى الوحدة التالية.
تحديد الوحدة الحالية على أنها مكتملة وحفظ التقدم للمستخدم.
🎉
تهانينا!
لقد أكملت جميع الوحدات في مسار التعلم هذا.