إنشاء ومشاركة مؤشرات الاختراق

حالة استخدام

بمجرد تحليل البرمجية الضار، يمكنك مساعدة المجتمع (وأيضًا نفسك وبقية العالم) من خلال مشاركة النتائج التي توصلت إليها. تُعدّ البرمجيات الضارة الجديدة نادرة نسبيًا وبمجرد استخدامها عادة ما يتم إعادة استخدامها على نطاق واسع، ومن خلال مشاركة النتائج التي توصلت إليها، يمكنك مساعدة الجميع بعدة طرق:

• إذا تم استهداف أحد أفراد المجتمع من قبل ممثل تهديد، فمن المحتمل أن يستهدف ممثل التهديد أعضاء آخرين في المجتمع. ومن خلال مشاركة النتائج التي توصلت إليها، يمكنك المساعدة في زيادة الوعي ونأمل أن تساعد المدافعين الرقميين على منع الهجمات الأخرى أو التخفيف من حدتها.
• يُعدّ تحليل البرمجيات الضارة الجديدة إنجازًا مهمًا ويجب أن تفخر بذلك وأن تكافأ أيضًا على جهودك. من خلال مشاركة عمليتك ونتائجك من المرجح أن يتم تقديرك لخبرتك مما يزيد من فرصك للعمل والتعاون لاهتمامك في هذا المجال.
• أخيرًا من خلال إنشاء ومشاركة مؤشرات الاختراق، يمكنك المساعدة في الكشف التلقائي عن البرمجيات الضارة قيد البحث. إذا قام منشئ برامج الكشف والوقاية بدمج مؤشرات الاختراق هذه في قواعد بياناتهم سيجعل ذلك البرمجيات الضارة أقل فائدة بكثير لممثلي التهديد ويعزز أمن الناس في جميع أنحاء العالم.

الأهداف

بعد استكمال هذا الموضوع الفرعي، يتوقع من الممارسين أن يكونوا قادرين على:

• فهم الأنواع المختلفة لمؤشرات الاختراق وكيفية مشاركتها
• فهم قواعد يارا (YARA) وسنورت (Snort)
• إنشاء ومشاركة تقرير موجز عن البرمجيات الضارة التي عثروا عليها

العرض

أنواع مؤشرات الاختراق

يمكننا تقسيم مؤشرات الاختراق على نطاق واسع إلى مقروءة من قبل الإنسان ومقروءة من قبل الآلة، ويمكن أن تكون مؤشرات الاختراق المقروءة من قبل الآلة أي شيء يمكن أن يستخدمه الكمبيوتر للكشف عن البرمجيات الضارة، وهناك العديد من التنسيقات التي تحاول إظهار تمثيل فعلي لتعقيد سلوك البرمجيات الضارة. لكن هناك العديد من التنسيقات البسيطة التي يسهل إنشاؤها واستخدامها والتي تحظى بشعبية كبيرة:

• شفرات تجزئة MD5 أو خوارزمية التجزئة الآمنة لملفات البرمجيات الضارة
• قواعد يارا للتعرّف على ملفات البرمجيات الضارة من خلال كشف سلاسل نصية أو سلاسل ثنائية محددة داخل ملف
• مواصفات الخادم (عناوين بروتوكول الإنترنت أو أسماء المضيف مع أو بدون أرقام المنافذ وعناوين مواقع الويب وما إلى ذلك) للتعرّف على حركة مرور البرمجيات الضارة على الشبكة
• قواعد سنورت للتعرّف على حركة مرور البرمجيات الضارة على الشبكة

شفرات تجزئة الملفات ومواصفات الخادم هي الأسهل من حيث الإنشاء والاستخدام. ولكن في بعض الأحيان يكون التعقيد الإضافي لقواعد يارا أو سنورت مطلوبًا للتعرّف على البرمجيات الضارة. على سبيل المثال، قد تتصل البرمجيات الضارة بخادم الأوامر والتحكم الخاص بها على أي مضيف ومنفذ، ولكنها ترسل رسالة محددة إلى الخادم وبالتالي ستحتاج إلى شيء مثل قاعدة سنورت. وبالمثل، قد يحتوي ملف البرمجيات الضارة على محتوى مختلف مع كل إصابة ولكنه يحتوي دائمًا على سلسلة نصية فريدة محددة وبالتالي تحتاج إلى شيء مثل قاعدة يارا.

تُعدّ مؤشرات الاختراق المقروءة من قبل الإنسان وصفًا للأشياء التي تقوم بها البرمجيات الضارة والتي تكون مفيدة للأشخاص الذين يحققون في اختراق محتمل ولكن أقل من ذلك بالنسبة لأجهزة الكمبيوتر، وهي تأتي بشكل أوصاف سردية لأنشطة البرمجيات الضارة وتتميز هذه بأنها عادة ما تكون أسهل من حيث الإنشاء والفهم، ويمكن تحويلها إلى مؤشرات اختراق مقروءة من قبل الآلة لمجموعة متنوعة من أنظمة الكشف.

يحتوي تقرير تحليل البرمجيات الضارة الجيد عمومًا على وصف يمكن أن يقرأه البشر حول البرمجيات الضارة وقدراتها، إلى جانب بعض مؤشرات الاختراق التي يمكن أن تقرأها الآلة في ملحق مما يضمن أن يكون التقرير مفيدًا لأوسع جمهور.

إنشاء مؤشرات الاختراق

تُقلل مؤشرات الاختراق الجيدة من كل من النتائج الإيجابية الخاطئة والنتائج السببية الخاطئة. نظرًا لأن البرمجيات الضارة نادرة على الأرجح في معظم الأنظمة، فإن كشف الملفات السليمة على أنها ضارة (نتائج إيجابيات خاطئة) يمكن أن تولد إحساسًا زائفًا بوجود خطر وتفضي إلى حذف الملفات السليمة. وبالمثل يمكن أن تكون مؤشرات الاختراق التي تفشل في اكتشاف جزء كبير من تلك البرمجيات الضارة (النتائج السلبية الخاطئة) خطيرة لأنها تولد شعورًا زائفًا بالأمان لدى المدافعين.

لكن مع مراعاة هذه الأمور، دعونا نتناول بعض تنسيقات مؤشرات الاختراق البسيطة الشائعة.

شفرات تجزئة الملفات

تُعدّ شفرات تجزئة الملفات هي من بين أبسط مؤشرات الاختراق حيث كل ما عليك القيام به هو حساب شفرة التجزئة التشفيرية (أو اثنتين)cryptographic hash الخاصة بملف والتي تكون فريدة في البرمجيات الضارة. تقليديًا تُستخدم شفرات تجزئة MD5 وخوارزمية التجزئة الآمنة 256 وعلى الرغم من وجود العديد من نقاط الضعف في MD5، ليست ذات أهمية بشكل عام في سياق مؤشرات الاختراق. تتمثل الجوانب السلبية الرئيسية لشفرات تجزئة الملفات في أن أي تغيير في الملف سيسمح للبرمجيات الضارة بتجاوز الكشف القائم على مؤشرات الاختراق. ومن السهل جدًا في معظم الحالات إلحاق بايت بالملف مما يتسبب في توليد شفرات تجزئة مختلفة تمامًا لكن لا تزال شفرات تجزئة الملفات فعالة بشكل مدهش في اكتشاف البرمجيات الضارة.

قواعد يارا (YARA)

تُعدّ قواعد يارا هي الخطوة متطورّة من حيث التعقيد بعد شفرة تجزئة الملفات حيث تجمع قواعد يارا معًا معلومات حول البرمجيات الضارة، وقائمة بالتسلسلات الثنائية أو السلاسل النصية في الملف وقواعد حول السلاسل النصية/التسلسلات التي يجب أن تكون في الملف (على سبيل المثال، السلسلة النصية 1 أو السلسلة النصية 2، وكذلك السلسلة النصية 3). تحافظ هذه القواعد على توازن جيد بين البساطة والمرونة. لمزيد من المعلومات حول يارا، راجع الموقع الرسمي، وأيضًا منشور المدونة هذا الذي يشرح إنشاء قواعد يارا لملف البرمجيات الضارة.

إحدى الأشياء التي يجب مراعاته عند العمل مع يارا هو التأكد من أن قاعدتك خالية من النتائج الإيجابية الخاطئة. على سبيل المثال، يمكن لقاعدة تنص على أنه “لا يمكن تشغيل هذا البرنامج في وضع دوس (DOS)” أن توافق كل ملف قابل للتنفيذ في نظام ويندوز.ما بعد إنشاء قواعد يارا الخاصة بك لبعض البرمجيات الضارة، من المحبذ تشغيلها على عدة أنظمة نأمل أن تكون غير مصابة للتأكد من أنها لا تُحدد الملفات غير الضارة. هناك أدوات للمساعدة في إنشاء قواعد يارا مثل يارجن yarGen التي تُحلل ملف البرمجيات الضارة وتنشئ نقطة بداية لقاعدة يارا التي لا تتضمن سلاسل نصية جيدة معروفة. تأكد من قراءة ريد مي (README) ومنشورات المدونة المرفقة قبل استخدام الأداة.

معرّفات الخادم

غالبًا ما تتصل البرمجيات الضارة بخادم القيادة والتحكم عن بُعد لتلقي التعليمات وتنزيل مراحل البرمجيات الضارة اللاحقة وما إلى ذلك. إذا كان من الممكن التنبؤ بالخوادم التي ستتصل بها البرمجيات الضارة (على سبيل المثال، موجودة في التعليمات البرمجية في الملف الثنائي)، فمن الممكن إنشاء مؤشرات الاختراق التي تتعرف على حركة مرور الشبكة الضارة ويمكن أن تشمل على (على سبيل المثال):

• عنوان بروتوكول الإنترنت لخادم أو لبعض الخوادم
• اسم مضيف خادم واحد أو أكثر
• أرقام المنافذ التي تستخدمها البرمجيات الضارة عند الاتصال بالخادم (ثمانية منها بمفردها أو بالاقتران مع عناوين بروتوكول الإنترنت أو أسماء المضيف)
• عناوين مواقع الويب أو أجزاء عناوين مواقع الويب التي تطلبها البرمجيات الضارة

تتشابه معرّفات الخادم مع شفرات تجزئة الملفات من حيث أنها بسيطة للغاية ولكنها أيضًا هشة للغاية ولكن مثل شفرات تجزئة الملفات تُعدّ أيضًا فعّالة جدًا.

قواعد سنورت (Snort)

إذا كانت معرّفات الخادم تشبه شفرات تجزئة الملفات لحركة مرور الشبكة، فإن قواعد سنورت تُشبه قواعد يارا لحركة المرور. تُعد قواعد سنورت نظامًا مفتوح المصدر للكشف عن التطفل ولديها محرك قواعد متطور ومستعمل على نطاق واسع. قواعد سنورت أكثر تعقيدًا من قواعد يارا ولكن لا يزال من الممكن التعامل معها إلى حد ما. يمكن أن تكون وثائق المستخدم الرسمية مُضنية إلى حد ما ولكن معظم قواعدها بسيطة إلى حد ما. تصف هذه الصفحة بنية قواعد سنورت وتُقدم بعض الأمثلة البسيطة. أخيرًا، إليك مجموعة من قواعد سنورت لبعض البرمجيات الضارة الحقيقية.

كما هو الحال مع قواعد يارا يمكن أن يكون من السهل جدًا توليد نتائج إيجابية خاطئة عن طريق الخطأ. يمكنك تسجيل بيانات بضعة أيام من حركة مرور شبكتك وتشغيل أي قواعد سنورت تُنشئها لفحص لقطات الحزمة هذه.

اختيار مؤشرات الاختراق المناسبة

عند التفكير في إنشاء مؤشرات الاختراق، عليك البحث عن المكون الجوهري في البرمجيات الضارة بشكل عام مقابل ما يخص العينة التي قمت بتحليلها وفيما يلي بعض الأمثلة:

• إذا كانت المرحلة الأولى من البرمجيات الضارة هي ملف PDF يحتوي على محتوى مخصص للضحية ولكن يحوي أيضًا ثغرة لتنزيل وتثبيت مرحلة ثانية، فسيكون من غير المناسب استخدام شفرة تجزئة ملف PDF وقد ترغب بدلاً من ذلك في إنشاء قاعدة يارا تُحدد التعليمات البرمجية للثغرة في ملف PDF.
• إذا قامت برمجية ضارة بإعادة استخدام أجزاء من بعض البرمجيات الضارة الموجودة مسبقًا والمعروفة ولكن أيضًا مع تضمين مكون جديد، فستحتاج إلى إنشاء مؤشرات الاختراق تضم ذلك المكون الجديد، وسيساهم ذلك في منع التصنيف الخاطئ.
• إذا أتت البرمجية الضارة مع إعدادات تكوين للخادم الذي تتصل به، فسيكون من غير المناسب إنشاء مؤشرات اختراق باستخدام هذا الخادم لأنه من المحتمل أن تستخدم حملات الهجمات المختلفة خوادم مختلفة. وفي حال تحديد خادم الأوامر والتحكم للبرمجيات الضارة من خلال اسم المضيف في البرمجية الضارة، فإن إنشاء قاعدة اكتشاف على الشبكة بناءً على عنوان بروتوكول الإنترنت سيؤدي إلى نتائج إيجابية خاطئة ونتائج سلبية خاطئة ويجب بدلاً من ذلك أن تستخدم قاعدة الشبكة اسم المضيف.

إنشاء تقرير

في هذه المرحلة، يجب أن تعرف كيف تلقيت البرمجيات الضارة وماذا تفعله وكيفية كشفها. تُفصّل هذه المقالة المقالة بعض الأشياء التي يجب أن يحتوي عليها تقرير تحليل البرمجيات الضارة، ويُقدم منشور المدونة هذا من قبل مدرب معهد سانز التكنولوجي SANS instructor بعض النصائح للتقرير العام. من المفيد أيضًا أن تشرح سلسلة أفكارك في الأقسام السردية، حيث يمكن لذلك أن يُعلّم متعلمي تحليل البرمجيات الضارة وأن يساعد أيضًا محللي البرمجيات الضارة الأكثر خبرة في مساعدتك في حالة فاتك شيء ما.

يُعدّ تنسيب البرمجيات الضارة إلى ممثل تهديد معين نشاطًا شائعًا بين محللي البرمجيات الضارة ولكن من الصعب الحصول على نتائج دقيقة. لا تشعر بالحاجة إلى تنسيب الملفات إذا لم تكن متأكدًا فإن أهم شيء هو نشر مؤشرات الاختراق.

في مسار تعلّم فحص البنية الأساسية الضارة وتتبعها وكشفها، أنشأنا أيضًا قسمًا حول عمليات الكتابة والتقارير التي يمكن أن تكون مفيدة. created a section on write-ups and reports

يمكن لمنشورات المدوّنات العلنية التالية أن تلهمك في كتابة تقاريرك الخاصة، حيث تستخدم جميعها أشكال وتنسيقات مختلفة ولكنها تحتوي جميعها أيضًا على مؤشرات الاختراق.

• مؤشرات الاختراق الخاصة بمنظمة العفو الدولية للبرمجيات الضارة الجديدة التي تعمل بنظام أندرويدAmnesty Tech’s IoCs for novel Android malware
• منشور سيتيون لاب (Citizen Lab) حول ثغرات كوادريم (QuaDream)Citizen Lab’s post on QuaDream’s Exploits
• تقرير تحقيق هيومن رايتس ووتش (Human Rights Watch) حول حملة تصيد احتياليHuman Rights Watch’s investigation report of a phishing campaign
• تحقيق بيلنغكات (Bellingcat) في حملة تصيد تستهدف مستخدمي بروتون ميل (ProtonMail)Bellingcat’s investigation into a phishing campaign targeting ProtonMail users
• تقرير مؤسسة الحدود الإلكترونية Electronic Frontier) Foundation) حول إصدار باندوك (Bandook) جديدEFF’s report on a new Bandook version
• تحليل برمجية الفدية الضارة ميراج فوكس (MirageFox)Analysis of the MirageFox ransomware
• تحليل البرنامج السارق لبيانات ويندوز المسمى نون (Krown)Analysis of the Windows data stealer called Krown

مشاركة التقرير

بمجرد إنشاء تقرير، هناك عدة الأشياء يمكنك القيام بها:

• مشاركته مع زملائك من المدافعين الرقميين من المجتمع المدني
• نشره بصورة علنية
• مشاركة عينات البرمجيات الضارة مع شركات مكافحة البرمجيات الضارة

يمكنك القيام بواحد من هذه الأشياء أو جميعها أو يمكنك حتى ألا تقوم بأي منها. إذا كنت تعمل مع عميل تعرض جهازه للاختراق، فستحتاج بالطبع إلى التأكد من أنه لا يمانع بمشاركة التقرير ومن الأفضل الحصول على موافقته كتابيًا.

إذا كنت عضوًا في منظمة مثل سيفيسيرتCiviCERT فهي من الأمكنة الرائعة لمشاركة النتائج التي توصلت إليها ومن المرجح أن يقرأ الأعضاء الآخرون تقريرك ويقدموا ملاحظات ويتخذوا إجراءات بناء عليه.

يمكنك أيضًا نشر النتائج التي توصلت إليها على مدونتك أو في مكان ما مثل غيت هاب (GitHub)، وهو أمر يتطلب القليل من الجهد ولكن يمكن أيضًا أن يكون محدودًا في تأثيره. لكن قد يكون تقريرك لا يقدر بثمن لشخص يبحث في الإنترنت عن شفرة تجزئة خوارزمية التجزئة الآمنة للملف أو معرّف خادم.

أخيرًا، إذا كان لديك عينات من البرمجيات الضارة، فيمكنك إرسالها إلى كبرى شركات مكافحة الفيروسات. من غير المرجح أن يقرؤوا تقريرًا ولكنهم قد يحللون البرمجيات الضارة ويدرجون توقيعاتها في منتجهم. لمزيد من المعلومات حول إرسال البرمجيات الضارة، تُوفر هذه الصفحة روابط تضم معلومات الإرسال لمختلف الشركاتthis page provides links to the submission information for various companies..

الممارسة

أجب عن السؤال 7.3 وأكمل التمرين 7.3 من الدليل الميداني للاستجابة للحوادث the field guide to incident response.

اختبار مهارة

ناقش مع مُرشِدك أو نظيرك كيف ستتعامل مع كل عنوان من عناوين بروتوكول الإنترنت هذه في تقريرك حول البرمجيات الضارة. هل يمكن أن تكون بعضها مؤشرات اختراق أفضل من غيرها؟

• عنوان بروتوكول الإنترنت على موقع خدمات أمازون Amazon) Web Services) يستضيف برمجيات ضارة
• عنوان بروتوكول إنترنت لعقدة خروج Tor
• عنوان بروتوكول إنترنت سكني يبحث عن نقاط الضعف في موقع ويب
• عنوان بروتوكول إنترنت على شبكة تسليم محتوى (CDN) مثل كلاود فلير (Cloudflare)

موارد التعلّم