اخبار

SNDBOX: تحلیل آنلاین بدافزار با کمک هوش مصنوعی

پژوهشگران امنیت سایبری در کنفرانس Black Hat یک پلت‌فرم مبتنی بر هوش مصنوعی برای تحلیل و شناسایی بدافزار ارائه کرده‌اند که هدف آن کمک به کاربران برای شناسایی نمونه‌های مخرب ناشناخته است. SNDBOX، یک سیستم آنلاین و رایگان برای تجزیه‌وتحلیل خودکار نرم‌افزارهای مخرب است که به کاربران امکان آپلود یک فایل و دسترسی به نتایج تجزیه‌وتحلیل ایستا، پویا و ترافیک شبکه را در یک رابط گرافیکی آسان و قابل‌درک فراهم می‌کند.

با توجه به گزارش‌های حملات سایبری میزان تلفات ناشی از حملات بدافزارها سالانه بیش از ۱۰ میلیارد دلار است که این مقدار روزبه‌روز در حال افزایش است. علیرغم بهبود قابل‌ملاحظه مکانیسم‌های امنیت سایبری، نرم‌افزارهای مخرب هنوز یک ابزار قدرتمند و مؤثر برای مهاجمان جهت به خطر انداختن سیستم‌ها است.

در سال‌های اخیر، هوش مصنوعی و فناوری‌های یادگیری ماشین به‌شدت تکامل‌یافته است و به‌عنوان یکی از روش‌های امیدوارکننده برای شناسایی بدافزارهایی محسوب می‌شود که نمونه‌های آن‌ها قبلاً مشاهده نشده است. بااین‌حال، ازآنجایی‌که تجزیه‌وتحلیل رفتار بدافزار، یک روش تحلیل پس از حمله محسوب می‌شود که نیازمند اجرای کد مخرب است، این روش نمی‌تواند به‌عنوان مکانیسم دفاعی استفاده شود؛ در مقابل نیازمند به یک محیط جداگانه و کنترل‌شده برای نظارت و بررسی رفتار آن وجود دارد.

SNDBOX چیست و چگونه کار می‌کند؟

SNDBOX یک پلت‌فرم چند برداری مبتنی بر هوش مصنوعی است که نه‌تنها قادر به تجزیه‌وتحلیل فایل‌ها در برابر ویژگی‌های مختلف و بردارها با نظارت بر رفتار آن‌ها است بلکه ورودی‌های رفتاری پویا را به بردارهای قابل جستجو تبدیل می‌کند. برای نظارت کارآمد، SNDBOX دستورات دوتایی ارسال‌شده را در یک محیط کنترل‌شده و در حالت هسته به‌صورت نامرئی اجرا می‌کند و درنتیجه بدافزار را که برای اجرای حمله نیاز به دستگاه واقعی دارد فریب می‌دهد. این عمل موجب می‌شود که بدافزار ماهیت و توانایی‌های مخرب واقعی خود را نشان دهد.

این ابزار رفتارهای قابل‌اجرای بدافزار را اعم از تغییرات ساده منابع سیستم و فعالیت‌های پیشرفته شبکه نظارت می‌کند و سپس الگوریتم‌های یادگیری ماشین را برای پردازش مقدار زیادی از داده‌های جمع‌آوری‌شده (۱۰ کیلوبایت تا ۲۰۰ مگابایت)، به کار می‌برد.

این پلت‌فرم به‌گونه‌ای طراحی‌شده است که به‌طور خودکار با بررسی نمونه‌هایی که به آن داده‌شده است، دانش و فهم عمیق‌تر بر روی چندین جنبه، الگوهای رفتاری، بردارها، ویژگی‌ها و امضا را به‌طور خودکار توسعه می‌دهد.

با توجه به اعلام کارشناسان در این پلت فرم مکانیسم‌های تشخیص هوش مصنوعی چند برداری و شاخص‌های رفتاری با یکدیگر همکاری می‌نمایند تا بتوانند رفتارهای مخرب را شناسایی نمایند و از داده‌های جمع‌آوری‌شده برای ارائه نتیجه‌گیری قاطع در مورد ماهیت فایل استفاده کنند. SNDBOX همچنین می‌تواند با انواع مختلفی از سیستم‌عامل‌های شخص ثالث یکپارچه شود.

نحوه استفاده از SNDBOX پلت‌فرم تجزیه‌وتحلیل نرم‌افزارهای مخرب

این پلت فرم از آدرس https://app.sndbox.com در دسترس است و با ایجاد یک حساب آنلاین به‌صورت رایگان می‌توان به پلت فرم SNDBOX دسترسی پیدا کرد.


پس از ورود به سیستم، داشبورد به کاربران این امکان را فراهم می‌کند که فایلی را برای اسکن خودکار ارسال کنند و یا پایگاه داده را برای نمونه‌های مخرب که قبلاً تجزیه‌وتحلیل شده‌اند جستجو نمایند. همچنین داشبورد نتایج تجزیه‌وتحلیل به زیبایی طراحی‌شده است که خود موجب کاهش زمان تحقیق می‌گردد.

همان‌طور که در شکل زیر مشاهده می‌شود داشبورد به چهار بخش اصلی تقسیم‌شده است که عبارت‌اند از:

  • سیستم امتیازدهی: این سیستم به‌صورت درصدی، برای فایل آپلود شده امتیازی را نمایش می‌دهد که پس از مقایسه نتایج با داده‌های قبلی تجزیه‌وتحلیل، محاسبه می‌شود.
  • تحلیل ایستا: برگه تجزیه‌وتحلیل ایستا بر روی تجزیه‌وتحلیل کامل نرم‌افزارهای مخرب بدون اجرای نرم‌افزار تمرکز دارد.
  • تحلیل پویا: درخت فرایندی کامل را نشان می‌دهد که بعد از اجرای برنامه بر روی یک ماشین هدف است و شامل مواردی مانند پردازش، ایجاد روند، تزریق فرایند و غیره است.
  • تحلیل رفتار شبکه

در قسمت شاخص‌های رفتاری، SNDBOX اجرای رفتار مخرب را بررسی می‌کند که شامل موارد زیر است:

  • استفاده از هر فرایند تزریق
  • حذف فایل
  • بررسی فرآیند‌های نصب‌شده
  • استفاده از تکنیک‌های anti-VM
  • اصلاح فایروال یا سیاست‌های رجیستری در ویندوز
  • سرقت اطلاعات حساس مانند داده‌های مرورگر
  • رمزنگاری فایل‌ها همانند باج افزارها
  • به دست آوردن ثبات در سیستم
  • انجام هرگونه رفتار غیرطبیعی در سیستم

محققان همچنین تجزیه‌وتحلیل SNDBOX را برای برخی از بدافزارهای مخرب بدنام به اشتراک گذاشته‌اند که عبارت‌اند از:

  • باج افزار Spora :SNDBOX سوءاستفاده از ابزار مدیریت ویندوز (WMI) را نشان می‌دهد.
  • بدافزار بانکداری Zeus :SNDBOX اطلاعات مهمی مانند تزریق در سیستم را نشان می‌دهد.

باج افزار WannaCry :SNDBOX تغییر تنظیمات رجیستری، استفاده از رمزگذاری فایل و ایجاد فایل‌های با پسوندهای مختلف را نشان می‌دهد.

ابزار هوشمند SNDBOX همچنین اتصالات شبکه و درخواست‌های DNS که از ماشین مجازی آلوده منتقل می‌شود و نتایج را در برگه تجزیه‌وتحلیل شبکه نشان می‌دهد و اطلاعات دقیق مربوط به پورت منبع، آدرس IP مقصد، پورت مقصد، سرویس پروتکل حمل‌ونقل، مدت‌زمان را نشان می‌دهد. علاوه بر این، بخش شبکه همچنین فعالیت‌های مشکوک را بر اساس امضاها و بردارهای مختلف مانند استفاده از شبکه Tor برای ارتباط رمزنگاری‌شده نشان می‌دهد.

قابلیت جستجو در پایگاه داده تجزیه‌وتحلیل SNDBOX

نتایج هر نمونه بدافزار که با استفاده از یک حساب کاربری رایگان به پلت فرم SNDBOX ارسال می‌شود از طریق ویژگی جستجوی قدرتمند خود قابل‌دسترسی است. همان‌طور که پیش‌تر ذکر شد، SNDBOX از تکنیک‌های یادگیری ماشین برای طبقه‌بندی و برچسب‌گذاری نمونه‌های مخرب بر اساس ویژگی‌های استخراج‌شده استفاده می‌کند این امر موجب می‌شود نتایج جستجو دقت بالایی داشته باشند.

SNDBOX در دسترس عموم و قابل دانلود است

کاربران علاوه بر دانلود گزارش کامل برای هر نمونه برنامه مخرب ارائه‌شده می‌توانند فایل PCAP (ترافیک شبکه گرفته‌شده) آن را نیز دانلود نمایند. یکی دیگر از امکانات این سامانه امکان مشاهده و دانلود گزارش برنامه‌های ارسال‌شده توسط سایر کاربران است. SNDBOX همچنین دارای حساب‌های premium است که برای تحلیل‌گران و شرکت‌های خصوصی ارائه می‌دهد که در آن نمونه‌ها به‌طور خصوصی آپلود می‌گردد و نتایج حاصل از آن اشتراک‌گذاری نمی‌شود.

مطالب مرتبط:
آسیب‌پذیری در مشکل اسکن در موتور تشخیص بدافزار ماکروسافت
درایوهای USB بدافزارهای خطرناکی را به تأسیسات صنعتی منتقل می‌کنند
بازی های اندرویدی دانلود کننده بدافزار در Google Play کشف شده است؛ مراقب باشید

منبع: The Hacker News

SNDBOX: تحلیل آنلاین بدافزار با کمک هوش مصنوعی
Related Items:, , , , , , , ,
To Top