Анализ вредоносного ПО

Анализ вредоносного ПО — это исследование или процесс определения функциональности, происхождения и потенциального воздействия определенного образца вредоносного ПО, такого как вирус , червь , троянский конь , руткит или бэкдор . ^[1] Вредоносное или вредоносное программное обеспечение — это любое компьютерное программное обеспечение, предназначенное для нанесения вреда операционной системе хоста или кражи конфиденциальных данных у пользователей, организаций или компаний. Вредоносное ПО может включать программное обеспечение, которое собирает информацию о пользователях без разрешения. ^[2]

Варианты использования

Существует три типичных случая использования, которые обуславливают необходимость анализа вредоносного ПО:

Управление инцидентами компьютерной безопасности . Если организация обнаруживает или подозревает, что какое-то вредоносное ПО могло проникнуть в ее системы, группа реагирования может пожелать выполнить анализ вредоносного ПО на любых потенциальных образцах, обнаруженных в процессе расследования, чтобы определить, являются ли они вредоносными программами и, если Итак, какое влияние это вредоносное ПО может оказать на системы в среде целевой организации.
Исследование вредоносного ПО . Академические или отраслевые исследователи вредоносного ПО могут проводить анализ вредоносного ПО просто для того, чтобы понять, как ведет себя вредоносное ПО и какие новейшие методы используются при его создании.
Индикатор извлечения компрометации . Поставщики программных продуктов и решений могут выполнять массовый анализ вредоносного ПО с целью определения потенциальных новых индикаторов компрометации; эта информация может затем использоваться в продукте или решении безопасности, чтобы помочь организациям лучше защитить себя от атак вредоносного ПО.

Типы

Метод, с помощью которого выполняется анализ вредоносного ПО, обычно относится к одному из двух типов:

Статический анализ вредоносного ПО . Статический анализ или анализ кода обычно выполняется путем анализа различных ресурсов двоичного файла без его выполнения и изучения каждого компонента. Бинарный файл также можно дизассемблировать (или реконструировать ) с помощью дизассемблера, такого как IDA или Ghidra. Машинный код иногда можно перевести в ассемблерный код, который может быть прочитан и понят людьми: аналитик вредоносного ПО может затем прочитать сборку, поскольку она коррелирует с конкретными функциями и действиями внутри программы, затем разобраться в ассемблерных инструкциях и получить лучшая визуализация того, что делает программа и как она была изначально спроектирована. Просмотр сборки позволяет аналитику вредоносного ПО/обратному проектированию лучше понять, что должно произойти, по сравнению с тем, что происходит на самом деле, и начать намечать скрытые действия или непреднамеренные функции. Некоторые современные вредоносные программы создаются с использованием уклончивых методов, чтобы обойти этот тип анализа, например, путем внедрения синтаксических ошибок в код, которые сбивают с толку дизассемблеры, но все равно будут работать во время фактического выполнения. ^[3]
Динамический анализ вредоносного ПО . Динамический или поведенческий анализ выполняется путем наблюдения за поведением вредоносного ПО во время его фактической работы в хост-системе. Эта форма анализа часто выполняется в изолированной среде, чтобы предотвратить фактическое заражение вредоносным ПО производственных систем; многие такие песочницы представляют собой виртуальные системы, которые можно легко вернуть в чистое состояние после завершения анализа. Вредоносную программу также можно отлаживать во время работы с помощью отладчика, такого как GDB или WinDbg, чтобы шаг за шагом наблюдать за поведением и воздействием вредоносной программы на хост-систему во время обработки ее инструкций. Современные вредоносные программы могут демонстрировать широкий спектр методов уклонения, предназначенных для обхода динамического анализа, включая тестирование виртуальных сред или активных отладчиков, задержку выполнения вредоносных полезных данных или требование той или иной формы интерактивного ввода пользователя. ^[4]

Этапы

Проверка вредоносного программного обеспечения включает в себя несколько этапов, включая, помимо прочего, следующие:

Ручной реверс кода
Интерактивный анализ поведения
Анализ статических свойств
Полностью автоматизированный анализ

Ссылки

^ «Международный журнал перспективных исследований в области анализа вредоносного ПО» (PDF) . ijarcsse. Архивировано из оригинала (PDF) 18 апреля 2016 г. Проверено 30 мая 2016 г.
^ «Определение вредоносного ПО» . Проверено 30 мая 2016 г.
^ Хониг, Эндрю; Сикорский, Майкл (февраль 2012 г.). Практический анализ вредоносного ПО . Нет крахмального пресса. ISBN 9781593272906 . Проверено 5 июля 2016 г.
^ Керагала, Дилшан (январь 2016 г.). «Обнаружение вредоносных программ и методы обхода песочницы» . Институт САНС.

[1] «Международный журнал перспективных исследований в области анализа вредоносного ПО» (PDF) . ijarcsse. Архивировано из оригинала (PDF) 18 апреля 2016 г. Проверено 30 мая 2016 г.

[2] «Определение вредоносного ПО» . Проверено 30 мая 2016 г.

[3] Хониг, Эндрю; Сикорский, Майкл (февраль 2012 г.). Практический анализ вредоносного ПО . Нет крахмального пресса. ISBN 9781593272906 . Проверено 5 июля 2016 г.

[4] Керагала, Дилшан (январь 2016 г.). «Обнаружение вредоносных программ и методы обхода песочницы» . Институт САНС.

[1]

[2]

[3]

[4]