الدرس الثالث – التحليل الديناميكي للبرامج الخبيثة

بسم الله الرحمن الرحيم

في هذا الموضوع سنقوم بعمل تحليل ديناميكي للبرنامج الخبيث باستخدام برامج متنوعه حتى نحصل على النتائج التي نريدها و التي ستساعدنا في عمليات التحليل الستاتيكيه static في الدروس القادمه .

 

اولا ما هو التحليل الديناميكي ؟

التحليل الديناميكي dynamic analysis : نقصد في التحليل الديناميكي ان طريقه التحليل تكون من خلال تشغيل البرنامج الخبيث واعطائه حريه القيام بما يريده داخل النظام الوهمي الذي قمنا بتجهزيه ثم نقوم بجمع المعلومات عن المهام التي قام بها .

 

ثانيا ما هي ميزات وسلبيات التحليل الديناميكي ؟

ميزات هذه الطريقه :

1- اسهل الطرق للحصول على معلومات حول البرنامج الخبيث : لا تتطلب هذه الطريقه معرفه عميقة في البرمجه او الهندسه العكسيه او انظمه التشغيل لانه هنالك برامج تقوم بجمع المعلومات لك بكل سهوله .

2- لا تحتاج لوقت طويل للحصول على المعلومات : لان العملية تتم عن طريق البرامج فلن تاخذ الكثير من الوقت حتى تجمع المعلومات .

 

سلبيات هذه الطريقة :

1- عدم عمل البرنامج والقيام بمهماته بسبب تجهيزه بخاصية الحماية من التحليل anti-analysis ( سنتكلم عن الحمايات في الدروس القادمه ان شاء الله

2- بعض البرامج الخبيثة تحتاج انظمه معينة للعمل وفي هذه الحاله نلجأ لطريقة التحليل عن طريق الهندسة العكسية .

3- بعض البرامج الخبيثة تنهي عملها اذا اكتشفت انه النظام يستخدم معمارية غير التي صممت لها .

 

ثالثا ما هي اهداف التحليل الديناميكي ؟

1- الحصول على مؤشرات الاصابه (indication of compromise) : هي ايجاد دلائل على انه الاصابه لهذا النوع من البرامج الخبيثة ( تعد من اهم الاهداف لمحلل البرامج الخبيثة لانه برامج مضادات الفيروسات يمكن ان تستخدم هذه الدلائل لايجاد البرامج الخبيثة الجديده )

2- معرفة نوع البرنامج الخبيث وتصنيفه لاحد الانواع الاساسية .

3- معرفة قدرات البرنامج الخبيث و مستوى الخطورة على الانظمة .

 

رابعا ما هي مؤشرات الاصابه IOC ؟

هنالك الكثير من مؤشرات الاصابه نذكر منها الاساسي :

1- اسماء الملفات المنشئة والهاش الخاص بها (md5 or sh256 hash ) : لكل ملف هاش مميز خاص به لا يوجد له شبيه  يتم حسابه عن طريق اكثر من خوارزمية والهدف هنا حساب الهاش للملف الناتج عن البرنامج الخبيث حتى نقوم بمقارنته مع الملفات الموجود في الانظمة التي يتم فحصها ليتم الكشف عن الاصابه .

2- مكان اخفائه File path : كل مبرمج  للبرامج الخبيثه يقوم بحقن برامج خبيثه في مكان معين بالنظام وهذا قد يكون احد الادله على الاصابه .

3- التعديل على المسجلات registers : حيث يقوم البرنامج الخبيث بزرع نفسه في المسجلات حتى يقوم مثلا بعملية تشغيل البرنامج الخبيث عندما يتم تشغيل الجهاز او يقوم بحقن بعض المعلومات حتى اذا قام المستخدم بتشغيله مره اخرى ان لا يقوم بالاصابه لانه بالاصل موجود .

4- اسم العمليه process ( اسم البرنامج عند عمله الذي يتم تسجيله في task manager) .

5- عنوان الانترنت IP address : حيث يقوم البرنامج الخبيث بالتواصل مع المخترق عن طريق الانتنرت باستخدام عنوانه و لكل برنامج خبيث عنوان او اكثر ليتصل به مع المخترق .

6- اسماء نطاقات التي يتصل بها : حيث يقوم المخترق بتسجيل نظاقات خاصه ليقوم البرنامج الخبيث بالاتصال بها مثل serv.contact.me ويقوم المخترق باستخدام النطاقات حتى لا يحصر البرانمج الخبيث بعنوان انترنت معين فاسم النطاق يوفر له تغير ال ip متى اراد  و ستقوم خدمه dns بترجمه الاسم لعنوانه الجديد .

7- البيانات الخارجه عبر الشبكه : حيث يمكننا اخذ البيانات التي ترسل و استخدامها كمؤشر على الاصابه لان اغلب البرامج الخبيثه تقوم بارسال بيانات البدأ بالمحادثه التي تحوي على كلمه المرور الى خدمة المخترق التي غالبا ما تكون عباره عن هاش ( hash كلمه المرور مشفره باحدى الخوارزميات ) .

8- روابط المواقع التي يحاول البرنامج الوصول لها : حيث تقوم بعض البرامج الخبيثة بالاتصال بصفحه على موقع معين لتاخذ منها الاوامر لذا يمكننا الحصول على اسم الرابط على انه مؤشر للاصابه .

هنالك الكثير من  المؤشرات على الاصابه و هذه الصوره تمثل البعض منها :

IOC

 

خامسا ما هي القدرات التي تتمتع بها بعض البرامج الخبيثه ؟

1- القدره على اكتشاف وتحديد وجودها في نظام وهمي .

2- القدره على تحديد وجود برامج التحليل عند استخدامها .

3- القدره على تحديد وجود برامج الحماية .

4- القدره على تحديد اذا ما كان النظام مجهز لتحليل البرامج الخبيثة عن طريق استخراج اسم الجهاز واسم المستخدم فاغلب المحللين يقومون بتسمية النظام ب analysis system و غيرها من الاسماء التي تدل على انه نظام ليس للمستخدمين .

 

ملاحظات :

سنقوم باستخدام برنامج خبيث من نوع bot يسمى illusion_bot تجدونه هناIllusion_Bot

 الاوامر التي سوف تحتاجونها :

iptables -t nat -A PREROUTING -i eth1 -j REDIRECT

  كيفيه الاتصال بسيرفر IRC

اترككم الان مع الشرح التوضيحي :

[youtube https://www.youtube.com/watch?v=U_8qvVQeNFE]

اتمنى ان اكون قد وفقت بالشرح

انتظرو الدرس الثالث

دعواتكم اخوتي ?