floppies

ما در آزمایشگاه های F-Secure از کلمه “prevalence” زیاد استفاده می کنیم. اما prevalence یا شیوع به چه معناست؟

شیوع یا نفوذ یک فایل اجرایی، براساس تعداد دفعاتی تعریف می شود که آن فایل در میان کل زیرساخت مشتری دیده شود. تمایل فایل های اجرایی مخرب این است که به ندرت ظهور کنند، اما در همان زمان نیز طولانی زندگی کنند و به سرعت بمیرند، بنابراین تعداد دفعاتی که یک باینری دیده می شود، می تواند نشانه ای از ظهور آن باشد. از آنجایی که تکنولوژی های محافظتی ما به Cloud متصلند و از آن نیز استفاده می کنند، لذا بدست آوردن میزان Prevalence ها ساده است.

برای درک اینکه چرا فایل های اجرایی مخرب، نادر و کمیاب هستند، لازم است سفری به گذشته داشته باشیم.

خیلی از اولین ویروس ها، به واقع اصلا مخرب نبودند. این ویروس ها توسط هکرهایی نوشته شده بودند که صرفا می خواستند Leet Skillz  شان را نشان دهند. (Leet Skillz یک کد یا زبان غیررسمی که در اینترنت استفاده می شود، و حروف استاندارد را اغلب با حروف یا اعداد مشخصی جایگزین می کند.) اگر دوست دارید برخی از آنها در عمل ببینید، می توانید به موزه مخرب ها یا Malware Museum بروید، جایی که Mikko آنها را گرد هم جمع کرده است.

با گذشت زمان، ویروس های بیشتر و بیشتری ایجاد شدند که هدفشان تنها اجرای فعالیت های مخرب بود. زمانی که تعداد فایل های مخرب در سراسر جهان، به حدی زیاد شد که برای عموم به یک مسئله و مشکل تبدیل شد؛ صنعت AV متولد شد (و در نهایت، واژه ” malware یا بدافزار”،  که ترکیبی از کلمات مخرب (Malicious) و نرم افزار (Software) است، ابداع شد).

در آن زمان، هر هفته تنها تعداد انگشت شماری از خانواده یا گروه جدید بدافزارها تولید می شد، و به همین دلیل روش های محافظت واقعا ساده بود. مثلا برخی از این روش ها این بود که تعدادی بایت را از اینجا یا جای دیگر، تطابق دهند؛ یا به دنبال یک رشته به خصوص باشند،  و شما به خوبی می توانستید این کار را انجام دهید. از آنجایی که بدافزار به عنوان یک باینری منفرد (Single Binary) وجود داشت، بنابراین برنامه تشخیص شما (آنتی ویروس) می توانست هر زمان آن را شناسایی کند.

نویسندگان بدافزارها خیلی زود متوجه شدند که کار سخت و دشواری که برای نوشتن محصولات جدید و پرزرق و برق شان انجام می دهند، خیلی زود باطل می شود و تنها چند ساعت بعد از نمونه برداری، آشکار شده و به اشتراک گذاشته می شود. بنابراین برای اینکه بتوانند از روش های تشخیصAV فرار کنند، نیازمند حیله ها و ترفندهای جدیدتر بودند.

یکی از موفقیت آمیزترین ترفندهایی که به کار رفت، اوایل دهه ۹۰ بود، و از کد چندریختی یا Polymorphic  استفاده شده بود. با پیچاندن این کد در لایه ای از رمزنگاری ها، نویسندگان بدافزارها توانستند کپی های جدیدی از Payload یا بارمفید ایجاد کنند، که به لحاظ کاربرد و عملکرد یکسان بود، اما ساختار آن به اندازه کافی متفاوت بود که می توانست از روش های ساده تشخیص AV سر باز زند. هر کپی از این بدافزار، با یک کلید کمی متفاوت ایجاد شده بود، و تولید باینری ها نیز توسط خودشان به صورت اتوماتیک انجام گرفته بود. هر نمونه مخرب جدیدی که تولید می شود، از نقطه توزیع سمت سرور تقاضا شده بود. از آنجایی که هر نمونه جدیدی که یافت می شد، منحصر به فرد بود، لذا روش های تشخیص مبتنی بر فایل که مربوط به اواخر دهه ۸۰ و اوایل دهه ۹۰ بودند، سقوط کردند.

عمل طغیان در جهان (Flooding The World)، مشابه عملکرد چندگانه است، اما باینری های متفاوت به لحاظ ساختاری، تا امروز همچنان وجود دارند. نویسندگان بدافزارها هنوز هم باید از باینری هایشان در مقابل ساده ترین روش های تشخیص محافظت کنند (مانند روش های مبتنی بر امضا). نویسندگان بدافزارهایی که این هدف را دارند و شرکت AV که دنبال متوقف کردن آنهاست، همگی بخشی از موش و گربه بازی مهاجمان و مدافعان هستند و تا امروز همچنان به بازی کردن آن مشغولند.

پس چرا Prevalence به خوبی کار می کند؟ اصولا Prevalenceها یا شیوع، فایل ها را پاک می کنند. نرم افزارهای قانونی زیادی وجود دارد که مورد استفاده قرار می گیرد، و می توان گفت آنهایی که توسط مشتریان ما به کار می رود، نسبتا شناخته شده هستند. ما نیز دائما اینترنت را جستجو می کنیم، و نرم افزارهای معتبر و قانونی پاک کردن فایل ها را پیدا می کنیم، و تا جایی که توانیم آنها را به لیست باینری های قابل اعتماد خود اضافه می کنیم. از جمله خیلی از آن باینری های معتبر و قانونی که توسط تامین کنندگان معتبر به ثبت رسیده اند، نسبتا راحت تر در لیست سفید قرار می گیرند. این مجموعه فایل های ” Known-Clean (شناخته شده و پاک)” ، نسبتا به ندرت تغییر می کنند. در مقابل، هر روز شاهد سیل عظیمی از باینری های مخرب هستیم (ده ها هزار). هر باینری که به داخل مجموعه های Known-Clean یا Known-Malicious نیفتاده باشد، به سادگی به عنوان ناشناخته لحاظ می شود. و از میان این ناشناخته ها نیز، فایل نایاب تر، با احتمال بیشتری مخرب است. تجزیه و تحلیل های رفتاری نقاط پایانی نیز اغلب این گفته را تایید می کنند.

به عنوان یک مثال، براساس آمارهای تولید شده از سیستم های داخلی F-Secure، که بر تهدیدهای شناخته شده نظارت می کنند، در یک نمونه تصادفی از برنامه های مخربی که در چهارماه اول سال ۲۰۱۳ یافت شده است، ۹۹.۷% از تهدیدهای واقعی، به ندرت در زیرساخت کلی کاربران ما دیده شده است.

همانطور که احتمالا می توانید تصور کنید، Prevalence در متوقف کردن نوع منحصر به فردی از باینری هایی که در حملات هدفمند و پیچیده به کار می روند، موثر هستند. معمولا در مقابل تهدیدهای جهان واقعی، ترکیبی از Prevalence و تجزیه و تحلیل های رفتاری را به کار می گیریم، و به این ترتیب کارمان را به خوبی انجام می دهیم.

0 پاسخ

دیدگاه خود را ثبت کنید

تمایل دارید در گفتگوها شرکت کنید؟
در گفتگو ها شرکت کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *