یک اقتصاد در حال رشد از مجرمان سایبری پیرامون تبلیغات نامناسب تکامل یافته و متأسفانه با معرفی گسترده نرم افزارهای مخرب ، مؤلفه جنایی همچنان شناسایی این شاخص ها را دشوار می کند.
این راهنما تکنیک ها و روش های مختلفی را که متخصصان برای شناسایی و منزوی کردن کدهای مخرب استفاده می کنند ، فاش می کند ، و برخی از بهترین روش ها برای دفاع در برابر حملات تبلیغاتی مخرب را ارائه می دهد. داده ها ، محققان امنیتی را برای دستیابی به تعادل مطلوب که حداکثر سرعت و حداقل استفاده از حافظه را برای شناسایی کدهای مخرب فراهم می کند ، می طلبد. چند روش اصلی وجود دارد که محققان بدافزار از آنها استفاده می کنند: مبتنی بر امضا
- – این روش یکی از اولین روش هایی بود که برای شناسایی بدافزارها استفاده می شد. محقق بدافزار ، فیدهای پرونده مشکوک (دریافت شده از یک شرکت خاص یا منبع شخص ثالث) را برای قطعات خاص کد یا داده هایی که به عنوان "امضاها" نیز شناخته شده اند ، اسکن و تجزیه و تحلیل خواهد کرد. نمادی که امضای روی پرونده را کپی یا مطابقت می دهد ، به عنوان علامت قرمز برای کارشناس عمل می کند و آنها را مشکوک می کند.
- Checksumming – این یک تغییر در تجزیه و تحلیل امضا است و روشی است که بر اساس حساب آزمون CRC (بررسی چرخش افزایشی چرخه ای) انجام می شود. این روش برای جبران اشکال اصلی روش امضا تهیه شده است ، یعنی اینکه یک بانک اطلاعاتی فوق العاده بزرگ و آلارم کاذب مکرر وجود دارد.
تبدیل بدافزار: Plimborphic Plague
برای دور زدن تاکتیک های فوق ، هکرها غالباً کمپین های تبلیغاتی مخرب polymorphic را تبلیغ می کنند – که باعث می شود تشخیص آنها دشوار شود.
ویروس چند شکل بدین معنی است که "بدن " آنها به طور خودکار در طول تکثیر تغییر می کند و از هر رشته جستجو ثابت جلوگیری می کند. ویروس یا موجودی مضر را تصور کنید که می تواند با گذشت زمان سازگار شود و تغییر کند. این فرم با تغییر آرایش ژنتیکی یا رمز مخفی محققانی که به دنبال تخریب آن هستند ، خود را تغییر می دهد.
صرف نظر از نوع ، آنچه این نرم افزارهای مخرب را بسیار مؤثر می کند پیچیدگی آنها و سرعت است. بدافزارهای چند شکل از یک کد چند شکل استفاده می کنند تا اغلب هر 20-30 ثانیه تغییر کند.
بنابراین ، به همان سرعتی که تیم های امنیتی می توانند یک امضا را شناسایی کنند ، این نوع بدافزارها قطعه ای از کد ویروس ثابت برای پیدا کردن آن ندارند.
به طور معمول ، پلی مورفیسم هنگامی حاصل می شود که کلیدهای ناپایدار حاوی مجموعه های تصادفی از دستورات رمزگشایی در نماد اصلی ویروس رمزگذاری شوند – یا با تغییر کد ویروس قابل اجرا.
نباید با یک بدافزار کاملاً بدافزار تبدیل کرد که کد آن را می نویسد ، بنابراین هر نسخه تازه منتشر شده با فرم قبلی خود مطابقت ندارد. بدافزار همه کاره Jaguar است که نقاط خود را تغییر می دهد در حالی که بدافزارهای مخرب در حال تبدیل شدن Jaguar به شیر است.
از آنجا که کد متغیر امضایی ندارد ، از تکنیک های دیگر شناسایی بدافزارها باید استفاده شود
تکنیک های تشخیص تبلیغات نادرست
- کاهش ماسک ها – با استفاده از عناصر موجود در بدن رمزگذار ویروس ، می تواند استفاده شود. برای محقق "رمزگذاری" کلید رمزگذاری از معادله برای به دست آوردن کد ثابت. امضا یا ماسک در نماد استاتیک حاصل نشان داده می شود.
- تجزیه و تحلیل رمزگذاری شناخته شده برای متن ساده – در این روش از سیستم معادلات برای رمزگشایی بدن ویروس رمزگذاری شده ، به روشی مشابه با مسئله رمزگذاری کلاسیک ، استفاده می شود که در آن می توان متن رمزگذاری شده را بدون کلید رمزگشایی کرد (با برخی تفاوت ها). در تجزیه و تحلیل رمزگذاری ، سیستم کلیدها و الگوریتم رمزگشایی را بازسازی می کند. در مرحله بعد ، با اعمال این الگوریتم در قسمت رمزگذاری شده ، بدن ویروس رمزگذاری شده را رمزگشایی می کند.
- تجزیه و تحلیل آماری – سیستم می تواند فراوانی دستورات پردازنده مورد استفاده را تجزیه و تحلیل کند و از این اطلاعات برای تصمیم گیری در مورد آلوده بودن پرونده استفاده می کند.
- استنتاج – محقق بدافزار بسته های داده را که به دنبال فعالیت و رفتار مشکوک هستند ، اسکن و تجزیه و تحلیل خواهد کرد. این روش به محقق نیاز دارد تا كدی مخرب را كه با رفتار مشكوك ارائه می شود ، جستجو كند. به عنوان مثال ، به هزار نفر در عرض پنج دقیقه. محقق متوجه این موضوع شده و آن را بررسی خواهد کرد.
شناسایی و تأیید شبهات
هنگامی که کارشناس ضد تبلیغ ، نمادی مشکوک را شناسایی کرد ، راه های اساسی برای تأیید این ظن وجود دارد.
- در مرحله اول ، مراكز اطلاعاتي وجود دارند كه شركت هاي بزرگ امنيتي كدهاي مخربي را كه كشف كرده اند فهرست مي كنند. این کتابخانه یک منبع قدرتمند برای هر کارشناس امنیتی است. محققان بدافزار می توانند به این لیست ها دسترسی پیدا کنند و جستجوهای کد مخرب را انجام دهند. اگر آنها در حال حاضر در داخل سیستم هستند ، می توانند سوء ظن خود را همانطور که تأیید شده است علامت بزنند.
- اگر كد مخربي كه كارشناس يافت در محور اصلي گنجانده نشده است ، محقق از روشي بنام "تقليد" استفاده خواهد كرد ، رويه اي براي اجراي پرونده در "[فضايمجازي [محيطمجازي." سیستم نه تنها از تیغه های پردازنده (کدهای عامل) ، بلکه مکالمات سیستم عامل را نیز تقلید می کند. این تقلید به محقق اجازه می دهد تا تشخیص دهد که آیا این نماد در واقع مضر است یا خیر. هنگام استفاده از شبیه ساز ، اقدامات هر فرمان باید بطور مداوم کنترل شوند. محقق باید از اجرای برنامه نیتهای مخرب خود جلوگیری کند.
از نظر عملی ، محقق امنیتی در جستجوی كد مخرب تا آنجا كه ممكن است مؤثر باشد ، و این به هر روشی كه با سریعترین سرعت و كمترین میزان استفاده از حافظه قابل اجرا باشد ، كاهش می یابد.
مسابقه تسلیحاتی برای امنیت سایبری
نبرد با بدافزارها یک مسابقه بین هکرها و کارشناسان امنیت سایبری است – جایی که هر طرف بهترین تلاش خود را نسبت به دیگری انجام می دهد. از آنجا که محققان امنیت سایبری روشهای جدید شناسایی را ایجاد می کنند ، بازیگران مخرب در حال حاضر روش های جدیدی برای رمزگشایی و عجیب و غریب برای پاشیدن کد های مخرب خود را در تبلیغات مشروبات الکلی ایجاد می کنند – از این طریق ناشران جوان و پیر را به خطر می اندازند.
کنجکاوی چگونه یک راه حل ضد تبلیغ خرید وی پی ان می تواند سایت شما را از بازیگران مخرب محافظت کند؟ خط ما را رها کنید!
