محدودیت روشهاى تحلیل پویا با گسترده شدن دامنه فعالیت بدافزارها

تیم های امنیتی در مواجه شدن با یک تهدید سایبری با یک سؤال مهم و اساسی روبه رو می شوند. اولین بار حمله از چه مکانی به وقوع پیوسته ست؟ نزدیک به دو ماه از شناسایی و پیدایش باج افزار واناکرای می گذرد. در این مدت باج افزار فوق موفق شد به سامانه های کامپیوتری در ۱۵۰ کشور جهان حمله و آنها را قربانی خود کند. در این مدت شرکت های امنیتی و حتی نهادهای دولتی درباره توسعه دهندگان اصلی و مبداً انتشار این باج افزار اقدام به انتشار گزارش های مختلفی کردند. با وجود آنکه شرکت های امنیتی در آن زمان تلاش کردند تا گزارش های دقیقی در ارتباط با باج افزار فوق ارائه کنند، اما گزارش های منتشر شده موفق نشدند به شرکتها و سازمان ها به منظور مقابله با باج افزار فوق کمک چندانی کنند. همین موضوع نشان میدهد که هیچ یک از تکنیک های تحلیلی که برای آماده سازی این گزارش ها به کار گرفته شده بود، در عمل کارآمد نبودند و در زمان مناسب نیز منتشر نشدند. در نتیجه، شرکت های بسیاری به واسطه آلودگی متحمل خسارت شدند. کارشناسان امنیتی سرانجام به این نتیجه رسیدند که برای انجام تحلیل های پویای منابع مختلف مجبور هستند به طور دستی کدهای مخرب را مورد ارزیابی قرار دهند. همین موضوع باعث شد تا کارشناسان امنیتی در ارتباط با پیدا کردن سرنخ های اولیه در ارتباط با این باج افزار چند روز زمان از دست بدهند و جالب تر آنکه کارشناسان اعلام داشتند برای تحلیل های قوی تر و دقیق تر به هفته ها زمان نیاز دارند.

مشکلی که امروزه کارشناسان حوزه امنیت با آن دست به گریبان هستند این است که برای مقایسه هزاران نمونه کد مرتبط با انواع مختلفی از عامل های مخرب به زمان نسبتاً زیادی نیاز دارند و الگوریتم های یادگیری ماشینی نیز در این زمینه با محدودیت های مختلفی روبه رو هستند. این مشکل از آن جهت به وجود آمده است که هر روزه بر تعداد بدافزارها افزوده می شود و هکرها با یک تغییر کوچک در کدهای یک بدافزار قادرند همه چیز را به کلی تغییر دهند. از طرفی، تحلیل های پویا در مقطع زمانی فوق این توانایی را ندارند با گسترش روزافزون بدافزارها و تهدیدات خود را وفق دهند. به عبارت ساده تر، در این زمینه گسترش پذیر نیستند. گزارشی که به تازگی از سوی مؤسسه AV-TEST منتشر شده است نشان می دهد این مؤسسه روزانه ۳۹۰ هزار برنامه مخرب را شناسایی می کند. این رقم خیره کننده نشان می دهد هر روزه شرایط بدتر از روز قبل می شود و تحلیل های پویا این توانایی را ندارند تا در سریع ترین زمان ممکن ریشه مشکلات و قطعات بدافزاری جدید را تشخیص دهند.

به رغم انکه تحلیل های پویا در بعضی شرایط این پتانسیل را دارند تا میزان تأثیرگذاری اجرای یک قطعه کد مخرب را به صورت بی درنگ ارزیابی کنند و نتیجه را اعلام دارند، اما با وجود ظهور فناوری های تشخیصی همچون جعبه شنی و مکانیسم های مشابه، تحلیلهای پویا به حاشیه رفته اند. از طرفی، با مقایسه و ارزیابی کدهای بدافزاری به دست آمده به طور دقیق نمی توان درباره عملکرد کدهای مخربی همچون باج افزارها با صراحت سخن گفت. به واسطه آنکه باید از روشهای مختلفی برای ارزیابی کدها استفاده کنیم تا در نهایت به یک جمع بندی واحد برسیم. همچنین، تکنیک مقایسه در هم سازی (Hash) نیز همیشه راهگشا نیستند و هکرها در اغلب موارد از تکنیک های چندریختی استفاده می کنند تا هر نمونه شناسایی شده از یک بدافزاری با مقادیر درهم سازی شده دیگر کاملاً متفاوت باشد. تکنیک درهم سازی که این روزها به شکل فزاینده از سوی کارشناسان امنیتی مورد استفاده قرار می گیرد، سعی می کند شباهت های دو فایل باینری را مورد ارزیابی قرار دهد. اما مشکلی که در این بین وجود دارد این است که ابزارهای درهم سازی فازی همچون SSdeep یک فایل واحد را مورد بررسی قرار می دهند و این توانایی را ندارند تا شباهت های موجود میان یک فایل با سایر فایلها را تشخیص دهند. اما کارشناسان حوزه امنیت اعلام داشته اند این امکان وجود دارد تا راهکارهای درهم سازی فازی را به منظور پیدا کردن شباهت های میان فایل ها در سطوح جزئی تر و سطح پایین تری به کار گرفت. اگر چنین ایدهای محقق شود، گام مهمی در زمینه شناسایی نمونه کدهای مخرب برداشته خواهد شد. اگر از طریق تکنیک فوق بتوانیم به مقایسه تکه های مختلف یک بدافزار بپردازیم، این توانایی را به دست خواهیم اورد تا نمونه جدیدی از یک بدافزار را ایجاد و به شکل دقیق و کارآمدی عملکرد یک بدافزار را درک کنیم. جالب آنکه از طریق تکنیک فوق می توانیم چند ابزار ضد بدافزاری را با یکدیگر ادغام و ابزار قدرتمندتری را عرضه كنيم.

منبع: ماهنامه شبکه