شرح كامل عن Malware analysis

ما هو الـ Malware analysis ؟ ما اهمية الـ Malware Analysis داخل المؤسسات ؟ ما هي متطلبات عمل Malware Analysis Lab داخل المؤسسه ؟ ما هي انواع الـ Malware Analysis ؟ هل هناك حلول تقوم بالـ Malware Analysis و الاخص الـ Dynamic بشكل كامل ؟

ما هو الـ Malware analysis ؟ هو من اشهر عمليات الـ Reverse Engineering او الهندسة العكسيه و التى من خلالها يتم تحليل malware معين من اجل الوصول الى اليه عمله و مصدره و تأثيره على أي نظام .

ما اهمية الـ Malware Analysis داخل المؤسسات ؟ يعد الـ Malware Analysis مهم ولا يمكن تخيل شخص يعمل كـ Security Analyst او الـ Incident Handler فى فريقه دون ان يكون لديه معرفة بالـ Malware Analysis ذلك علاوة على الـ Forensics teams الذي يتطلب منهم الالمام الكامل بهذا العلم

كثير من الأحيان لابد من الاعتماد على الـ Malware Analysis فى حاله عدم وجود Signature خاص بالـ malware الذى تتأثر به اي مؤسسه و على الرغم من وجود العديد من الأنظمه التي تحاكي عملية الـ Malware Analysis عن طريق الـ Behavior based او الـ EDR الخاص باي ملف او برنامج خبيث

لكن من الضروري ان يكون هناك شخص يستطيع تحديد هذا الامر و استخلاص الـ hash الخاص بكل Malware ومن ثم اضافته عن طريق اي وسيط مثل Yararules او خلافه الى نظام الحمايه او الـ End point Security

ما هي متطلبات عمل Malware Analysis Lab داخل المؤسسه ؟ 1- لابد من وجود Physical System سواء Network او غيره 2- استخدام البرامج الشهيرة الخاصه بالـ Virtualization سواء Hyper-V او VMware 3- البدء فى عمل Virtual machines محاكيه لنفس الانظمه داخل المؤسسة

4- عزل الـ Vm عن طريق جعل NIC الخاص بالـ Guest الى Host Only لضمان عدم حدوث اي تسريب للـ Malwares 5- اضافة برنامج Simulation للـ internet وافضل مثال على هذا الامر هو Inetsim 6- ايقاف اي Shared Folders واضافه برامج الـ Malware Analysis والتي ستختلف طبقات لنوع الـ Analysis

ما هي انواع الـ Malware Analysis ؟ يوجد نوعان: النوع الاول Static Malware analysis و هنا يكون الهدف هو تحليل الكود الخاص بالـ Malware و تحديدا الـ Binary Code الخاص به و يكون عن طريق مجموعه الادوات و التي ستستاعدنا بشكل كامل لمعرفة الـ Characteristics الخاصة بالـ Malware نفسه

سنقوم بتعريف بعض الخطوات و الادوات ايضا و التى ستساعدنا علي هذا الأمر : الامر الاول File Fingerprinting : معرفة الـ Hash الخاص بالملف المشكوك فيه ويستخدم فيه hashmy Files

2- Online Scanning : وهي خطوة تحديد اذا كان الـ Malware معرف لدى الـ Antivirus المستخدم ام لا فى حالة انه معرف لذا فهذه الخطوة يمكننا استبعادها و اذا لم يكن كذلك فاستخدام

VirusTotal

http://Virustotal.com

The Jamboree on the Air - Jamboree on the Internet is the world's largest digital Scout event.

http://Joti.org

من البدائل المفضله لاستخلاص كافة البيانات عنه .

3- Strings Search : كثير من الـ Malware تكون مصحوبه ببعض الرسائل والهدف منها جذب المستخدمين اليها مثل الـ Status Update و خلافه لذا يمكننا استخدام الادوات مثل Bin text او Floos لهذا الامر

4- Identifying Packages: الـ Malware makers يقومون باخفاء Obfuscation للـMalware داخل برنامج اوExecutable File حتى لايتم التعرف عليه وهنا يكون هدفنا عكس الامر بفك الارتباط بالملف الخادع عن طريق ادوات مثل PEid و UPX واستخدام اداة PE Explorer من أجل معرفة الـ Executable Information

5- Identifying File Dependencies: معرفة الملفات التي يعتمد عليها لـ malware فى النظام نفسه و هنا تبرز اداة Dependency Walker و Synk

6- اخيرا Malware Disassembly : وهنا ياتي اهم دور للـ Static Analysis حيث يتم استخدام Binary Code ومعرفه كل ما يدور فى الخلفية لهذا الكود و تبرز مجموعه من الادوات فى هذا الامر مثل IDA PRO و Immunity Debugger والتي ينصح بتعلمها بشكل كامل

حيث ان استخدامهما قد يسهل العديد من الامور ليس فى الـ Malware Analysis فقط و لكن فى الـ Penetration Testing ايضا و بالاخص الـ Cases الخاص بالـ Memory Exhausted او الـ Buffer overflow

النوع الثاني : Dynamic Malware Analysis هنا سيتم تشغيل للكود في البيئه المعزوله ومعرفة تاثير الـ Malware على الـ Guest System بشكل كامل و لعمل هذا الامر لابد من اخذا Snapshot واضحة لما قبل تشغيل الـ malware ومقارنته بما سيحدث بعد تشغيله و هو ما سنسميه فى حالتنا System Baselining

التغييرات ستكون على مستوى الاتي : 1- Port Mentoring: متابعة الـ Ports التى انشأت بعد الـ Malware Execution وهنا نستخدم الادوات netstat,TCP Veiw 2- Process Mentoring: كثير من الـ Malwares يصاحبها استهلاك للمعالج عن طريق عمليات وهميه و هنا نستخدم ادوات Process Monitor , Monit

3- Registry Mentoring: من المعلوم ان الـ Registry من الاماكن التى تسجل كل مايحدث بها من عمليات التشغيل داخل الـ OS لأي malware ليعمل بشكل Automated لابد من وضع تسجيل له داخل الـ Registry وهنا تبرز العديد من الادوات مثل : Jv16 PowerTools , Regshot

4- Windows Service Mentoring: تسجيل ما حدث من تغيير فى الـ Services ويمكن استخدام Service manager من Manage engine و Process Hacker , Netwrix Service Monitor 5- Startup Program: و هنا نستخدم Auto runs for Windows او بالطبع فتح ملف الـ Boot.ini.

6- Network Traffic Analysis : هام جدا لمعرفة الـ Rhosts التي يتصل عليها لـ Malware الخاصة بالـ Attackers وهنا يأتي افضل البرامج فى هذا الامر مثل Wireshark , Capsa Network هناك ايضا العديد من العوامل الواجب مشاهدتها مثل الـ DNS Traffic و API Call Mentoring و Device Drivers

اخيرا هل هناك حلول تقوم بالـ Malware Analysis والاخص الـ Dynamic بشكل كامل؟ نعم يوجد العديد من الحلول التي تقدمها شركات مثل TrendMicro Discovery و Cisco Amp و Carboon Black CB DEFENSE

بقلم :