اقتصاد در حال تحول در مجرمان سایبری پیرامون تبلیغات غلط تحول یافته است و متأسفانه با معرفی گسترده نرم افزارهای مخرب ، مؤلفه جنایی همچنان شناسایی این شاخص ها را دشوار می کند.
این راهنما تکنیک ها و روش های مختلفی را که متخصصان برای شناسایی و منزوی کردن کدهای مخرب استفاده می کنند را نشان می دهد ، و بهترین روش ها برای دفاع در برابر حملات تبلیغاتی مخرب را ارائه می دهد. داده ها ، محققان امنیتی را برای دستیابی به تعادل مطلوب که حداکثر سرعت و حداقل استفاده از حافظه را برای شناسایی کدهای مخرب فراهم می کند ، می طلبد. برخی از روشهای اصلی مورد استفاده محققان بدافزار وجود دارد: [مبتنیبرامضاء
- – این روش یکی از اولین روش هایی بود که برای شناسایی بدافزارها استفاده می شد. محقق بدافزار ، فیدهای پرونده مشکوک (دریافت شده از یک شرکت خاص یا منبع شخص ثالث) را برای قطعات خاص کد یا داده هایی که به عنوان "امضاها" نیز شناخته شده اند ، اسکن و تجزیه و تحلیل خواهد کرد. نمادی که امضای روی پرونده را کپی یا مطابقت می دهد ، به عنوان علامت قرمز برای کارشناس عمل می کند و آن را مشکوک می کند.
- Checksumming – این یک تغییر در تجزیه و تحلیل امضا است و روشی است که براساس محاسبه CRC (Check-in) چک اضافی) انجام می شود. این روش برای جبران اشکال اصلی روش امضا ایجاد شده است ، این است که ما به یک بانک اطلاعاتی فوق العاده بزرگ و هشدارهای مکرر کاذب ختم می شویم.
تبدیل بدافزار: Plimborphic Plague
برای دور زدن تاکتیک های مشخص شده در بالا ، هکرها اغلب کمپین های تبلیغاتی مخرب خود را polymorphic انجام می دهند – و تشخیص آنها را دشوارتر می کند.
ویروس چند شکل بدین معنی است که "بدن " آنها به طور خودکار در طول تکثیر تغییر می کند و از هر رشته جستجو ثابت جلوگیری می کند. ویروس یا موجودی مضر را تصور کنید که می تواند با گذشت زمان سازگار شود و تغییر کند. این شکل با تغییر آرایش ژنتیکی یا به عنوان سمبل مخفی شدن محققانی که به دنبال تخریب آن هستند ، خود را تغییر می دهد.
صرف نظر از نوع ، آنچه باعث می شود این بدافزارها بسیار مؤثر باشند پیچیدگی آنها و سرعت است. بدافزارهای چند شکل از یک کد چند شکل استفاده می کنند تا اغلب هر 20-30 ثانیه تغییر کند.
بنابراین ، به همان سرعتی که نیروهای امنیتی می توانند یک امضا را تعیین کنند ، این نوع بدافزارها یک قطعه ثابت از کد ویروس برای پیدا کردن آن ندارند.
به طور معمول ، پلی مورفیسم هنگامی حاصل می شود که کلیدهای ناپایدار حاوی مجموعه های تصادفی از دستورات رمزگشایی در نماد اصلی ویروس رمزگذاری شوند – یا با تغییر کد ویروس قابل اجرا.
نباید با نرم افزاری مخرب که کاملاً کد آن را بازنویسی می کند اشتباه گرفته شود تا هر نسخه تازه منتشر شده مطابق با فرم قبلی خود نباشد. بدافزار همه کاره جگوار است که نقاط خود را تغییر می دهد در حالی که نرم افزار مخرب مخرب یک جگوار است که تبدیل به شیر می شود.
از آنجا که هیچ کد متغیر امضایی وجود ندارد ، باید از سایر تکنیک های شناسایی بدافزار استفاده شود
تکنیک های تشخیص تبلیغات نادرست
- کاهش ماسک ها – با استفاده از عناصر موجود در بدن رمزگذاری شده ویروس ، محقق می تواند کلید رمزگذاری را از معادله خارج کرده و یک کد ثابت را بدست آورید. امضا یا ماسک در نماد استاتیک حاصل نشان داده می شود.
- تجزیه و تحلیل کد نویسی شناخته شده برای متن ساده – در این روش از یک سیستم معادلات برای رمزگشایی بدن یک ویروس رمزگذاری شده ، به روشی مشابه با مسئله رمزگذاری کلاسیک ، استفاده می شود ، جایی که می توان متن رمزگذاری شده را بدون کلید رمزگشایی کرد (با برخی تفاوت ها). در تجزیه و تحلیل رمزگذاری ، سیستم کلیدها و الگوریتم رمزگشایی را بازسازی می کند. در مرحله بعد ، با اعمال این الگوریتم در قسمت رمزگذاری شده ، بدن ویروس رمزگذاری شده را رمزگشایی می کند.
- تجزیه و تحلیل آماری – سیستم می تواند فراوانی دستورات پردازنده مورد استفاده را تجزیه و تحلیل کند و از این اطلاعات برای تصمیم گیری درمورد آلودگی پرونده استفاده می کند.
- استنتاج – محقق بدافزار بسته های داده را جستجو می کند که به دنبال فعالیت و رفتار مشکوک هستند. این روش محقق را ملزم می کند تا کدهای مخرب را که با رفتار مشکوک ارائه می شود ، جستجو کند. به عنوان مثال ، به هزار نفر در عرض پنج دقیقه. محقق متوجه این موضوع شده و آن را بررسی خواهد کرد.
شناسایی و تأیید شبهات
هنگامی که ADA یک نماد مشکوک را شناسایی کرد ، راه های اساسی برای تأیید این ظن وجود دارد.
- در مرحله اول ، مراكز اطلاعاتي وجود دارند كه شركت هاي بزرگ امنيتي كدهاي مخربي را كه كشف كرده اند فهرست مي كنند. این کتابخانه یک منبع قدرتمند برای هر کارشناس امنیتی است. پناهجویان بدافزار می توانند به این لیست ها دسترسی پیدا کنند و جستجوهای کد مخرب را انجام دهند. اگر آنها در حال حاضر در داخل سیستم هستند ، می توانند سوء ظن خود را همانطور که تأیید شده است علامت بزنند.
- اگر كد مخرب يافت شده توسط كارشناس در محور اصلي گنجانده نشود ، محقق از روشي به نام "تقليد" استفاده مي كند ، روش اجراي پرونده را در "[محيطمجازي[ محيط مجازي " استفاده كند. سیستم نه تنها از تیغه های پردازنده (کدهای عامل) ، بلکه مکالمات سیستم عامل را نیز تقلید می کند. این تقلید به محقق اجازه می دهد تا تشخیص دهد که آیا این نماد در واقع مضر است یا خیر. هنگام استفاده از شبیه ساز ، اقدامات هر فرمان باید بطور مداوم کنترل شوند. محقق باید از اجرای برنامه نیتهای مخرب خود جلوگیری کند.
از نظر عملی ، محقق امنیتی مشتاقانه می تواند كد مخرب را تا حد ممكن تشخیص دهد و این به هر روشی كه با سریعترین سرعت و كمترین میزان استفاده از حافظه قابل اجرا باشد ، كاهش می یابد.
مسابقه تسلیحاتی برای امنیت سایبری
نبرد با بدافزارها یک مسابقه بین هکرها و کارشناسان امنیت سایبری است – جایی که هر طرف بهترین تلاش خود را نسبت به دیگری انجام می دهد. از آنجا که محققان امنیت سایبری روشهای جدید شناسایی را ایجاد می کنند ، بازیگران مخرب در حال حاضر روشهای جدیدی برای جلوگیری از پراکندگی کد مخرب خود را به تبلیغات مشروبات الکلی ایجاد می کنند – از این طریق ناشران جوان و پیر را به خطر می اندازند.
کنجکاوی چگونه یک راه حل ضد تبلیغ خرید وی پی ان می تواند سایت شما را از بازیگران مخرب محافظت کند؟ خط ما را رها کنید!
