أخبار تقنية

5 أدوات ضرورية للتحليل الديناميكي للبرامج الضارة

يعد التحليل الديناميكي للبرامج الضارة جزءًا أساسيًا من أي تحقيق في التهديدات. وهو يتضمن تنفيذ عينة من برنامج ضار في البيئة المعزولة

يعد التحليل الديناميكي للبرامج الضارة جزءًا أساسيًا من أي تحقيق في التهديدات. وهو يتضمن تنفيذ عينة من برنامج ضار في البيئة المعزولة لصندوق حماية البرامج الضارة لمراقبة سلوكه وجمع مؤشرات قابلة للتنفيذ. يجب أن يكون التحليل الفعال سريعًا ومتعمقًا ودقيقًا. ستساعدك هذه الأدوات الخمس على تحقيق ذلك بسهولة.

1. التفاعل

تعد القدرة على التفاعل مع البرامج الضارة والنظام في الوقت الفعلي ميزة كبيرة عندما يتعلق الأمر بالتحليل الديناميكي. بهذه الطريقة، لا يمكنك مراقبة تنفيذه فحسب، بل يمكنك أيضًا معرفة كيفية استجابته لمدخلاتك وإثارة سلوكيات محددة.

بالإضافة إلى ذلك، فهو يوفر الوقت من خلال السماح لك بتنزيل العينات المستضافة على مواقع مشاركة الملفات أو فتح تلك المعبأة داخل الأرشيف، وهي طريقة شائعة لتسليم الحمولات إلى الضحايا.

رسالة البريد الإلكتروني التصيدية الأولية التي تحتوي على ملف pdf وكلمة مرور ضارين للأرشيف

تحقق من هذا جلسة رمل في ANY.RUN وضع الحماية يوضح كيفية استخدام التفاعل لتحليل سلسلة الهجمات بأكملها، بدءًا من رسالة البريد الإلكتروني التصيدية التي تحتوي على مرفق PDF. يؤدي الرابط الموجود داخل ملف .pdf إلى موقع ويب لمشاركة الملفات حيث يتم استضافة ملف .zip محمي بكلمة مرور.

التحليل الديناميكي للبرامج الضارة
موقع الويب الذي يستضيف الملف المضغوط

لا يسمح لنا صندوق الحماية بتنزيل الأرشيف فحسب، بل يسمح لنا أيضًا بإدخال كلمة المرور (التي يمكن العثور عليها في البريد الإلكتروني) واستخراج محتوياته لتشغيل الحمولة الضارة.

التحليل الديناميكي للبرامج الضارة
يمكنك إدخال كلمة مرور يدويًا لفتح الأرشيفات المحمية في ANY.RUN

بعد تشغيل الملف القابل للتنفيذ الموجود داخل الأرشيف، يكتشف صندوق الحماية على الفور إصابة النظام بـ AsyncRAT، وهي عائلة برامج ضارة شائعة يستخدمها المهاجمون للتحكم عن بعد في أجهزة الضحايا وسرقة البيانات الحساسة.

التحليل الديناميكي للبرامج الضارة
يوفر ANY.RUN حكمًا قاطعًا على كل عينة

ويضيف العلامات المقابلة إلى الواجهة وينشئ تقريرًا عن التهديد.

قم بتحليل الملفات وعناوين URL في بيئة خاصة وفي الوقت الفعلي لصندوق الحماية ANY.RUN.

احصل على نسخة تجريبية مجانية لمدة 14 يومًا من وضع الحماية لاختبار قدراته.

2. استخراج شركات النفط العالمية

يعد جمع مؤشرات التسوية ذات الصلة (IOCs) أحد الأهداف الرئيسية للتحليل الديناميكي. يؤدي تفجير البرامج الضارة في بيئة حية إلى إجبارها على الكشف عن عناوين خادم C2 ومفاتيح التشفير والإعدادات الأخرى التي تضمن وظائفها وتواصلها مع المهاجمين.

على الرغم من أن هذه البيانات غالبًا ما تكون محمية ومُعتمة بواسطة مطوري البرامج الضارة، إلا أن بعض حلول وضع الحماية مزودة بقدرات متقدمة لجمع بطاقات IOC، مما يجعل من السهل التعرف على البنية التحتية الضارة.

التحليل الديناميكي للبرامج الضارة
كجزء من كل جلسة تحليل في ANY.RUN، تحصل على تقرير IOC شامل

في ANY.RUN، يمكنك جمع مجموعة متنوعة من المؤشرات بسرعة، بما في ذلك تجزئات الملفات وعناوين URL الضارة واتصالات C2 وطلبات DNS والمزيد.

التحليل الديناميكي للبرامج الضارة
تم استخراج نموذج تكوين AsyncRAT بواسطة وضع الحماية ANY.RUN

يذهب صندوق الحماية ANY.RUN إلى أبعد من ذلك ليس فقط من خلال تقديم قائمة بالمؤشرات ذات الصلة التي تم جمعها أثناء جلسة التحليل ولكن أيضًا من خلال استخراج التكوينات لعشرات من عائلات البرامج الضارة الشائعة. راجع مثالاً لتكوين البرامج الضارة فيما يلي جلسة رمل.

تُعد هذه التكوينات المصدر الأكثر موثوقية لبطاقات IOC القابلة للتنفيذ والتي يمكنك استخدامها دون أي تردد لتعزيز أنظمة الكشف الخاصة بك وتحسين فعالية إجراءات الأمان الشاملة لديك.

3. رسم خرائط ميتري ATT&CK

إن منع الهجمات المحتملة على البنية التحتية الخاصة بك لا يقتصر فقط على العثور بشكل استباقي على بطاقات IOC التي يستخدمها المهاجمون. تتمثل الطريقة الأكثر ديمومة في فهم التكتيكات والتقنيات والإجراءات (TTPs) المستخدمة في البرامج الضارة التي تستهدف مجالك حاليًا.

يساعدك إطار عمل MITRE ATT&CK على تعيين TTPs هذه للسماح لك برؤية ما تفعله البرامج الضارة وكيف تتناسب مع صورة التهديد الأكبر. من خلال فهم TTPs، يمكنك بناء دفاعات أقوى مصممة خصيصًا لمؤسستك وإيقاف المهاجمين عند عتبة بابك.

التحليل الديناميكي للبرامج الضارة
TTPs لعينة البرامج الضارة AgentTesla التي تم تحليلها في وضع الحماية ANY.RUN

انظر التحليل التالي الوكيل تسلا. تسجل الخدمة جميع TTPs الرئيسية المستخدمة في الهجوم وتقدم وصفًا تفصيليًا لكل منها.

كل ما تبقى عليك فعله هو أن تأخذ في الاعتبار معلومات التهديد المهمة هذه واستخدامها لتعزيز آليات الأمان لديك.

4. تحليل حركة مرور الشبكة

يتطلب التحليل الديناميكي للبرامج الضارة أيضًا فحصًا شاملاً لحركة مرور الشبكة الناتجة عن البرامج الضارة.

يمكن أن يوفر تحليل طلبات HTTP والاتصالات وطلبات DNS رؤى حول اتصالات البرامج الضارة مع الخوادم الخارجية ونوع البيانات التي يتم تبادلها وأي أنشطة ضارة.

التحليل الديناميكي للبرامج الضارة
تحليل حركة مرور الشبكة في وضع الحماية ANY.RUN

يلتقط صندوق الحماية ANY.RUN كل حركة مرور الشبكة ويتيح لك عرض الحزم المستلمة والمرسلة بتنسيق HEX وتنسيقات نصية.

التحليل الديناميكي للبرامج الضارة
قاعدة Suricata التي تكتشف نشاط استخراج بيانات AgentTesla

وبصرف النظر عن مجرد تسجيل حركة المرور، فمن المهم أن يكتشف وضع الحماية تلقائيًا الإجراءات الضارة. ولتحقيق هذه الغاية، يستخدم ANY.RUN قواعد Suricata IDS التي تفحص نشاط الشبكة وتقدم إشعارات حول التهديدات.

يمكنك أيضًا تصدير البيانات بتنسيق PCAP لإجراء تحليل تفصيلي باستخدام أدوات مثل Wireshark.

جرب التحليل المتقدم لحركة مرور الشبكة من ANY.RUN مع نسخة تجريبية مجانية مدتها 14 يومًا.

5. تحليل العمليات المتقدمة

لفهم تدفق تنفيذ البرامج الضارة وتأثيرها على النظام، يجب أن يكون لديك إمكانية الوصول إلى معلومات مفصلة حول العمليات التي تنتجها. ولمساعدتك في ذلك، يجب أن يوفر صندوق الحماية الذي تختاره تحليلًا متقدمًا للعملية يغطي عدة مجالات.

التحليل الديناميكي للبرامج الضارة
رسم بياني مرئي في وضع الحماية ANY.RUN يُظهر تنفيذ البرامج الضارة AsynRAT

على سبيل المثال، تصور شجرة العملية في ANY.RUN وضع الحماية يسهّل تتبع تسلسل إنشاء العملية وإنهائها وتحديد العمليات الرئيسية التي تعتبر بالغة الأهمية لتشغيل البرامج الضارة.

التحليل الديناميكي للبرامج الضارة
يُعلمك وضع الحماية ANY.RUN بالملفات ذات الشهادات غير الموثوقة

يجب أيضًا أن تكون قادرًا على التحقق من صحة العملية من خلال إلقاء نظرة على تفاصيل الشهادة الخاصة بها، بما في ذلك المُصدر والحالة والصلاحية.

التحليل الديناميكي للبرامج الضارة
عملية تفريغ البرامج الضارة XWorm متاحة للتنزيل في ANY.RUN

ميزة أخرى مفيدة هي عمليات تفريغ العمليات، والتي قد تحتوي على معلومات حيوية، مثل مفاتيح التشفير التي تستخدمها البرامج الضارة. سيسمح لك وضع الحماية الفعال بتنزيل هذه الملفات بسهولة لإجراء المزيد من التحليل الجنائي.

التحليل الديناميكي للبرامج الضارة
يعرض ANY.RUN تفاصيل تفصيلية عن البرامج النصية PowerShell وJavaScript وVBScript

أحد الاتجاهات الحديثة في الهجمات السيبرانية هو استخدام البرامج الضارة الخالية من الملفات والتي يتم تنفيذها في الذاكرة فقط. وللتغلب عليه، يجب أن يكون لديك حق الوصول إلى البرامج النصية والأوامر التي يتم تشغيلها أثناء عملية الإصابة.

التحليل الديناميكي للبرامج الضارة
الملفات المشفرة بواسطة برنامج الفدية LockBit أثناء التحليل في وضع الحماية ANY.RUN

يعد تتبع أحداث إنشاء الملفات وتعديلها وحذفها جزءًا أساسيًا آخر من أي تحقيق في أنشطة البرامج الضارة. يمكن أن يساعدك في الكشف عما إذا كانت إحدى العمليات تحاول إسقاط الملفات أو تعديلها في المناطق الحساسة، مثل دلائل النظام أو مجلدات بدء التشغيل.

التحليل الديناميكي للبرامج الضارة
مثال على XWorm باستخدام مفتاح التسجيل Run لتحقيق الثبات

تعد مراقبة تغييرات التسجيل التي تجريها العملية أمرًا بالغ الأهمية لفهم آليات استمرارية البرامج الضارة. يعد سجل Windows هدفًا شائعًا لاستمرار البحث عن البرامج الضارة، حيث يمكن استخدامه لتشغيل تعليمات برمجية ضارة عند بدء التشغيل أو تغيير سلوك النظام.

تحليل البرامج الضارة وتهديدات التصيد في ANY.RUN Sandbox

يوفر ANY.RUN صندوق حماية سحابيًا لتحليل البرامج الضارة والتصيد الاحتيالي الذي يوفر نتائج سريعة ودقيقة لتبسيط تحقيقاتك. بفضل التفاعل، يمكنك التعامل بحرية مع الملفات وعناوين URL التي ترسلها، بالإضافة إلى النظام لاستكشاف التهديد بعمق.

يمكنك دمج وضع الحماية المتقدم لـ ANY.RUN مع ميزات مثل Windows وLinux VMs والوضع الخاص والعمل الجماعي في مؤسستك.

اترك طلبك التجريبي ل اختبر وضع الحماية ANY.RUN.

وجدت هذه المادة مثيرة للاهتمام؟ هذه المقالة هي مساهمة من أحد شركائنا الكرام. تابعونا على تغريد و ينكدين لقراءة المزيد من المحتوى الحصري الذي ننشره.

إدارة ميكسي نيوز

ميكسي نيوز منصة إخبارية عربية تقدم تغطية شاملة لأهم الأحداث حول العالم، مع التركيز على الاخبار التقنية، والرياضية، والفنية، بتحديث مستمر ومصداقية عالية

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى