با استفاده از پورتال هوشِ خطر، کاراگاه سایبریِ خودتان شوید

05 آبان 1397 با استفاده از پورتال هوشِ خطر، کاراگاه سایبریِ خودتان شوید

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ به محض اینکه سر و کله‌ی بدافزار جدیدی پیدا می‌شود، مقالات تحلیل امنیتی سریع شروع به نوشتن درباره‌ی آن می‌کنند. در این مقالات می‌توان اطلاعات زیادی در مورد خواستگاه این بدافزار، روش‌های نفوذ و اهداف سازنده‌ی آن بدست آورد. البته همچنین برای مسدود کردن راهِ تهدید، سعی می‌کنید همیشه پایگاه اطلاعاتی سیستم‌های امنیتی خود را به روز نگه دارید، هر چند اگر از قبل مورد حمله‌ی تهدیدی قرار گرفته باشید دیگر برای این کارها دیر است (خصوصاً اگر این خطر از نوع تهدیدهای پیشرفته و مستمر -APT- چند مرحله‌ای باشد).

حال تصور کنید روزی برسد که دیگر نیازی به تحقیقات و پژوهش سازمان‌ها و افراد دیگر نداشته باشید. در عوض خود بتوانید به محض پیدا کردن فایل مشکوک، تحقیقات و بررسی خود را روی بدافزار شروع کنید. بدین‌‌ترتیب شما می‌توانید پیش از آنکه لطمه‌ی خاصی به شرکت شما وارد شود با سرعت هرچه بیشتر به این بدافزار واکنش نشان داده و به مبارزه با آن برآیید.  

با ما همراه باشید تا به شما نشان دهیم چطور می‌شود با کمک « پورتال هوش خطر[1] » تحقیقات شخصی خود را پیش ببرید. شما می‌توانید از این لینک برای دسترسی به این پورتال درخواست دهید. 

صفحه‌ی شروع پورتال هوش خطر دارای تب‌های بسیاری است اما در چنین شرایطی شواهد زنده‌ای (نمونه‌ی مشکوک) را خواهیم داشت؛ پس بیایید یکسره به تب Cloud Sandbox (سندباکس ابر) در منوی بالا برویم. این سندباکس، هدف مشکوک را با سیستم‌عاملی کاملاً مجهز در ماشینی مجازی (VM) اجرا می‌کند. این ماشین با آنالیز رفتاریِ آن هدف می‌تواند فعالیت مخرب را شناسایی نماید. ماشین‌های مجازی از زیرساخت‌های تجاریِ واقعی جدا هستند؛ بنابراین آسیب‌های واقعی را در پی ندارند. فقط کافیست فایل خود را آپلود کنید و محیط را انتخاب نمایید (در این مورد، ویندوز 7). سپس زمان را انتخاب (مثلاً 100 ثانیه) و حال عملیات را شروع نمایید:

وقتی بدافزاری از تحلیل‌های آماری طفره می‌رود (به همین دلیل است که فایل مشکوک می‌تواند کاملاً از دست آنتی‌ویروس شما قسر در برود)، مناسب‌ترین حربه سندباکس‌ها هستند. حتی اگر این فایل، عنوانِ "بد" را هم بگیرد باز هم برخی سیستم‌های آنتی‌ویروس توضیح نخواهند داد این فایل مشکوک تا چه اندازه بد است و دقیقاً می‌خواهد چه بلایی سر سیستم بیاورد. همیشه در چنین شرایطی نیاز به اطلاعات بیشتر داریم اما اغلب ناکام می‌مانیم. پس بیایید ببینیم در سندباکس ابر دقیقاً چه اتفاقی می‌افتد:

سندباکس با اجرای هدف مورد آزمایش، مشاهدات را جمع‌آوری و بعد تحلیل کرده؛ آنگاه برایشان حکم صادر می‌کند و نتیجه‌گیری ارائه می‌دهد.این روند به طور خلاصه از قرار زیر خواهد بود:

شناسایی‌ها (6)، فایل‌های استخراج‌شده (17)، فعالیت‌های شبکه‌ای (0).

نمی‌توان به این همه چیز بد تنها عنوان "بد" را داد.  

 

در تب نتایج، می‌توانید اسکرین‌شات‌های گرفته‌شده طی این عملیات را مشاهده نمایید. در برخی موارد، این بدافزار سعی دارد صبر کند تا پای کاربر هم به نحوی به بازی کشیده شود (وارد کردن پسورد، اسکرول کردن داکیومنت، تکان دادن موس و غیره) تا بدین‌ترتیب تحلیل اتوماتیک را دور بزند. سندباکس ابری ما بخوبی با تکنیک‌های مختلف دور زدن‌ها آشناست و برای مبارزه با آن‌ها از فناوری‌های شبیه‌ساز انسان استفاده می‌کند. این اسکرین‌شات‌ها همچنین می‌توانند بسیار مؤثر و کمک‌کننده باشند: یک محقق می‌تواند از چشم‌انداز انسانی، رویدادهای داخل "لوله‌ی آزمایش" را ببیند.

بیایید به تب فایل‌های استخراج‌شده سوئیچ کنیم تا ببینیم چه چیزهایی دانلود، استخراج و یا دراپ شده‌اند. در مورد خاص ما، فایل مخرب دراپ شده بود.

کار قابلیت‌های کلاسیک سندباکس همینجا به پایان می‌رسد: شما فایل را اجرا کردید و فهرستی از فعالیت‌های مخرب را دریافت نمودید- همین و بس. اما با پورتال هوش خطر کسپرسکی می‌توانید برای پی بردن به جزئیات بیشتر روی شاخص‌های عملیات مخرب و روابط معنادار بین آن‌ها بلافاصله به بخش Threat Lookup بروید.

Threat Lookup در حقیقت موتور جست‌وجوی امنیتی ما می‌باشد که حاوی 5 پتابایت هوش خطر است. این میزان هوش خطر در طول بیست سال اخیر توسط لابراتوار کسپرسکی جمع‌آوری و طبقه‌بندی شده است: هش[2]‌های فایل، داده‌های رفتاری/آماری، داده‌های WHOIS/ DNS، یو‌اراِل‌ها، آدرس‌های IP و غیره.

بنابراین بعد از اجرای نمونه در سندباکس فوراً از نتایج آن به عنوان جستارهای جست‌وجو برای Threat Lookup استفاده می‌کنیم- تنها با کلیک کردن روی آن چیز (در این مورد منظور هش MD5 است):

اکنون درباره‌ی بدافزار مورد نظر گزارشی با جزئیات بیشتر در اختیار داریم. بیایید نتایج Threat Lookup را اسکرول کنیم تا ببینیم کدام یو‌آر‌ال‌ها توسط بدافزاری که ما جست‌وجو کردیم مورد دسترسی قرار گرفته‌اند. 

در اینجا URL ای برچسب"خطرناک" گرفته است. باری دیگر بیایید به سمت این یو‌آر‌ال مخرب اسکرول کنیم تا ببینیم موتور Threat Lookup ما در مورد آن چه چیز‌هایی در چنته دارد.

اینطور به نظر می‌رسد که URL مخرب مورد نظر به یک حمله‌ی APT مرتبط می‌شود! پورتال ما پیشنهاد می‌دهد گزارش APT آن را دانلود کنید. این پی‌دی‌اف شامل خلاصه‌ای از اقدامات اجرایی، جزئیات عمیق فنی و فهرستی از شاخص‌های مرتبط با این اقدام مخرب می‌شود. چک کردن آن ارزش دارد؛ خصوصاٌ اگر می‌خواهید پی ببرید برای سازمان خودتان چیز مشابهی رخ داده است یا خیر.

اقدامات بعدی

البته که این پایان ماجرا نیست: حوادث واقعی نیازمند تحلیل‌های بیشتری هستند اما تجربه‌ی خوبی است برای آنکه بینیم یک تحلیلگر به منظور انجام بررسی‌ها و ارزیابی‌های مؤثر و پیچیده چطور (برای شروع) نسبت به ایجاد گردش کار هوش خطر اقدام می‌کند. ما تنها چند ابزار تحقیقاتی لازم را در یکجا کنار هم قرار می‌دهیم. سندباکس ابر، Threat Lookup، گزارشات APT، فیدهای Threat Data: دیگر چه ابزارهایی را می‌شود به این باکس اضافه کرد؟ از نظر ما یک جعبه‌ابزار تمام‌عیار باید شامل موارد زیر باشد:

  • سندباکسی برای URLها
  • یک نمودار بصری برای تحقیق روی نحوه‌ی تعامل المان‌های خطر
  • بررسی شباهت دوگانه‌ی بدافزار
  • نگاه کردن به اوسینت[3] و منابع رایج رسانه‌های اجتماعی
  • گزارش تهدیدهایی که بالاترین میزان تناسب و ارتباط را دارند.
  • سرویس‌های تخصصی همچون تحلیل ریشه‌ای بدافزار روی نمونه‌های کلاینت (مشتری)

قابلیت‌های فوق در حقیقت همان مواردی هستند که در حال حاضر مشغول ساخت آن‌ها برای این پلت‌فرم می‌باشیم. قابلیت هوش خطر بین جوامع حرفه‌ای بسیار شناخته‌شده است. برای مثال ژورنالِ فورستر نیو ویو در همین راستا چنین اظهار کرده است: «پورتال هوش خطر لابراتوار کسپرسکی قوی‌ترین عامل موجود در زمینه‌ی هوش خطر است».

 

[1] The Threat Intelligence Portal

[2]Hash ((در هم ساز یا چکیده ساز))

[3] OSINT، وانایی ویژه است که بخشی از آن با علم و بخشی از آن با تجربه قابل حصول است.

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,238,100 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    10,860,600 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,086,060 ریال10,860,600 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    72,443,100 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,246,500 ریال20,493,000 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    14,693,550 ریال29,387,100 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    15,718,200 ریال31,436,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    65,201,550 ریال130,403,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    78,242,550 ریال156,485,100 ریال
    خرید
  • Kaspersky Small Office Security

    250,670,100 ریال
    خرید
  • Kaspersky Small Office Security

    91,283,550 ریال182,567,100 ریال
    خرید
  • Kaspersky Small Office Security

    291,966,600 ریال
    خرید
  • Kaspersky Small Office Security

    104,324,550 ریال208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    333,987,600 ریال
    خرید
  • Kaspersky Small Office Security

    117,365,550 ریال234,731,100 ریال
    خرید
  • Kaspersky Small Office Security

    375,284,100 ریال
    خرید
  • Kaspersky Small Office Security

    119,539,050 ریال239,078,100 ریال
    خرید
  • Kaspersky Small Office Security

    382,529,100 ریال
    خرید
  • Kaspersky Small Office Security

    168,442,800 ریال336,885,600 ریال
    خرید
  • Kaspersky Small Office Security

    539,021,100 ریال
    خرید
  • Kaspersky Small Office Security

    217,346,550 ریال434,693,100 ریال
    خرید
  • Kaspersky Small Office Security

    695,513,100 ریال
    خرید
  • Kaspersky Small Office Security

    262,627,800 ریال525,255,600 ریال
    خرید
  • Kaspersky Small Office Security

    840,413,100 ریال
    خرید
  • Kaspersky Small Office Security

    498,090,300 ریال996,180,600 ریال
    خرید
  • Kaspersky Small Office Security

    1,593,893,100 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد