İntezer Qanuni və Zərərli arasındakı fərqi effektiv şəkildə ayırmaq üçün Yenidən istifadə edilmiş Kodları təhlil edir


Yüzlərlə naməlum fayl və çoxlu pozitiv pozitivlərlə işləmək, yaddaş təhlili aparmaq və zərərsiz proqramlardan qorunmaq bu gün təşkilatların üzləşdikləri ən böyük problemlərdən biridir.. Intezer Analyze ™, hər bir bilinməyən sənədin kodunu parçalayaraq və “gen” lərini həm qanuni, həm də zərərli görünən kodla müqayisə edərək sürətli zərərli proqram aşkarlanması və təhlilini təmin edir..

Zəhmət olmasa İntezerdəki vəziyyətiniz və hazırkı vəziyyətiniz barədə bir az məlumat verin.

2015-ci ildə İntezer-i təsis etməzdən əvvəl, gündəlik olaraq xalqın dəstəklədiyi hücumlarla məşğul olduğum İsrail Müdafiə Qüvvələrinin CERT (Qəzaya Qarşı Mübarizə Qrupu) rəhbəri idim. Mənim vəzifələrim bu hücumlara cavab vermək, məhkəmə ekspertizası, zərərli proqram təhlili və s.

Bu gün ən böyük kibertəhlükəsizliyə dair təhdidlər nədir və hücum etmədən əvvəl bu təhdidləri müəyyənləşdirməkdə ən böyük çətinliklər nələrdir?

Ən böyük təhlükə səs-küy yaratmayan kiberhücumlardır.  Oğurluğundakı kiberhücumlar, heç bir anomaliya və qəribə davranış təqdim etmir, buna görə də bu gün mövcud olan həllərin əksəriyyəti tərəfindən aşkarlanmağın qarşısını ala bilirlər. Bu son dərəcə gizli hücumlara filsiz zərərli proqram və yaddaşdakı hücumlar daxildir.

Filtrsiz kod / zərərli proqram nədir?

Filsiz hücumlar olduqca mürəkkəbdir. Kimsə sizə bir fayl göndərəndə onu masaüstünüzdə və diskinizdə görəcəksiniz. Lakin, Təcavüzkarların hər hansı bir faylı görməməsi üçün kod parçasını birbaşa yaddaşda işlətməsinin yolları var. Bu cür zərərli “sənədsiz” kodu bəzən yaddaşda bu zərərli kodu işlədikdən sonra özünü silir bir “damcı” yükləmə faylı ilə çatdırılır..

Bu gizli hücumlardan qorunmaq üçün hansı texnologiyanı inkişaf etdirmisiniz?

İntezer Analyze ™, şəbəkənizin cari davranışı ilə əlaqəli bir görüntünün necə görünməsindən asılı olmayaraq kiber təhdidləri də müəyyənləşdirə və təhlil edə bilər.. Bizim yanaşmamız bir sənədin necə davranacağına baxmaq deyil, aldanmaq və ya ləkələmək olar, ancaq sənədin mənşəyinə baxmaq. Heç bir səs çıxarmayan çox gizli zərərli proqramınız olsa belə, yenə də kodunun mənşəyini araşdıraraq aşkarlayacağıq.

Zəhmət olmasa “DNA” və “gen” terminlərini və “Kod genom məlumat bazanızı” Intezer Analyze ™ kontekstində izah edin..

Bizim yanaşmamız əslində real həyatda DNT xəritəsinə çox oxşardır. Təşkilatınızda işləyən hər hansı bir fayl və ya proqramı götürə bilərik və bir çox kiçik hissəyə parçalaya bilərik ikili koddan “genlər” dedik. Daha sonra keçmişdə bu genlərin hər birini gördüyümüz yeri axtarıb tapırıq. Məsələn, heç bir şey bilmədiyiniz bir faylınız varsa, məlum zərərli proqramlardan və ya məlum təhlükə aktyorlarından yenidən istifadə edilmiş bir kod parçasını görəndə xəbərdarlıq edə bilərik. Beləliklə, bir faylın yaxşı və ya pis olduğunu nəinki müəyyən edə bilərik, lakin əksər hallarda müəyyən bir kiberhücuma görə kimin məsuliyyət daşıdığını müəyyən edə bilərik.

Zərərli kodun mənbəyini müəyyənləşdirməyin üstünlükləri nələrdir?

İki əsas səbəb. Biri budur bir proqram parçasının haradan yarandığını bilsəniz, xüsusi bir şey etmirsə də, ancaq müəyyən bir təhdid aktyorundan gəldi, bunun pis bir fayl olduğu qənaətinə gəlmək olar.

İkincisi, nə ilə məşğul olduğunuzu başa düşməyə kömək edə bilər. Məsələn, bir APT və ya inkişaf etmiş bir təhdid aktyoru ilə əlaqəli olduğunuzu bilsəniz, cavabın özü adi bir internet hilekarlığı ilə əlaqəli olduğunuzdan fərqli olacaq. Buna görə, diqqəti yönəltmək və cavabı sürətləndirmək, fayldakı kodun mənşəyini anlamaqdan əldə etdiyiniz çox əhəmiyyətli bir dəyərdir.

Beləliklə, daim faylları təhlil edir və yeni təhlükələr aşkar edildikcə Genome verilənlər bazasına əlavə edirsiniz?

Düzəldin. İdeya, həm qanuni, həm də zərərli proqram təminatında dünyadakı bütün kod parçaları olan bu nəhəng məlumat bazasını yaratmaqdır ki, bilinməyən və ya şübhəli fayllarda kod təkrar istifadəsini və kod oxşarlığını aşkar edə bilək. Google hər gün daha çox veb saytı indeksləşdirməli olduğu kimi, hər gün daha çox proqram və daha çox zərərli proqramı indeksləşdirməliyik verilənlər bazamız daim artır.

Bilirsiniz, heyrətləndirici məqam odur ki, hamı kodu təkrar istifadə edir. Microsoft yeni bir məhsul yaratanda belə kodu təkrar istifadə edir. Belə ki, proqram həqiqətən qanuni və zərərli hallarda təkamüldür.

Texnologiyamızı o qədər təsirli edən bu konsepsiya – dünyadakı bütün təhdidləri və ya bütün proqramları özündə cəmləşdirməyən təvazökar bir verilənlər bazası da böyük əhəmiyyətə malikdir.

Bundan sonra Sıfır Gün Hücumlarını təyin edə bilirsinizmi??

Tamamilə. Faktiki olaraq, Sıfır Gün Hücumları şirin yerimizdir, çünki bu mürəkkəb təhdidlər o qədər sağlamdır ki, bu günkü Sonrakı Nəsil həllərini aşa bilirlər.. Təsəvvür edin ki, zərərli proqram və kiberhücumlar üçün kodunuzu inkişaf etdirməyə təxminən on il sərf etmiş mürəkkəb bir təhdid aktyorusunuz. Həqiqətən onillik inkişaf zibil qutusuna atmaq və hər dəfə sıfırdan başlamaq olmaz.

Çox yaxşı bir nümunə, keçən il dünyanın milyonlarla kompüterinə yoluxmuş WannaCry, bu günə qədər yaradılan ən bədnam ransomware-dır.. Bu təhlükəni Şimali Koreyadan qaynaqlandığını təyin edən ilk şirkət olduq. Bu, WannaCry içərisində olan kod kimi tanıdığımız kod parçaları, DNA tapdıq yalnız əvvəlki Şimali Koreyanın zərərli proqramlarında ortaya çıxdı. WannaCry-nin zərərli təkrar istifadə kodu olmasına baxmayaraq burada yenilikdir.

Şimali Koreyadan olmayan bir təhdid aktyorunun WannaCry kodundan yenidən istifadə etməsi, kod analizinin Şimali Koreyada günahkar olacağını bilə bilməsi mümkün deyilmi??

Çox əla sualdır! Şimali Koreyanın zərərli proqram kodunu təkrar istifadə etmək üçün digər təcavüzkarın əsl SOURCE KODU lazımdır.  İkili koddan təkrar istifadə etmək praktik olaraq mümkün deyil, buna görə də Şimali Koreya hökumətinə hack etmək, mənbə kodlarını oğurlamaq və sonra dəyişiklikləri ilə yenidən toplamaq lazımdır. Beləliklə, bu ssenari çox, çox mümkün deyil.

Intezer Analyze’nin fəaliyyətindəki DNT xəritəsini nümunə göstərə bilərsinizmi??

Budur, Windows faylı olduğunu iddia edən şübhəli bir sənəd. Faylı yüklədikdən və DNT-ni təhlil etdikdən dərhal sonra 462 gen və ya kiçik kod parçaları çıxardığımızı görə bilərsiniz..

İnteraktiv bir nümayiş üçün buraya vurun.

Ekranın sağ tərəfi sehrin baş verdiyi yerdədir və DNT xəritələşməsi baş verir. Birincisi, Microsoft-dan bir gen görmürük, yəni bu fayldakı kodların heç biri Microsoft məhsulunda istifadə edilməmişdir. Dərhal bizə deyir ki, bu Windows faylı ola bilməz. Bu fayldakı kodun, demək olar ki, 80% WannaCry-nin əvvəlki variantlarında görüldüyünü də tanıyırıq. İndi ən maraqlısı odur ki, kodun demək olar ki, 6% -i və ya 26 gen əvvəllər 2009-cu ildə Sony-ni geri qoyduğu Şimali Koreyanın təhdid aktyoru Lazarusda istifadə edilmişdir. Beləliklə, görürsən Hücumdan sonra da illər keçsə də, orijinal zərərli kodu hələ də yeni zərərli proqram yaratmaq üçün istifadə olunur.

Intezer Analyze ™ zərərli proqram aşkar edərkən saxta pozitivləri necə azaldır??

Genom məlumat bazamızda yalnız pis kod deyil, həm də qanuni kod olduğu üçün kod təkrar istifadəsi və kod oxşarlığını təhlil edərək bir sənədin yaxşı və ya pis olduğunu müəyyən edə bilərik. Məsələn, Microsoft-dan başqa bir həll və ya təhlükəsizlik sisteminin davranışına görə şübhəli hesab edə biləcəyi bir faylınız varsa, Intezer onu qanuni olaraq tanıyacaq, çünki kodunun 90% digər Microsoft məhsullarında görüldü. Belə ki, digər təhlükəsizlik sistemlərindən bir çox saxta pozitivi azaltırıq, çünki DNT-ni etibarlı bir satıcı olaraq təyin etdik.

Həmişə deyirəm ki, Skype, əsas olaraq tuş vuruşlarınızı qeyd edən və kameraya sahib olduğu üçün bir casus alətinə bənzər bir virusdur. Belə ki, Skype-ın pis davranışa bənzədiyi halda, kodun Microsoft-dan qaynaqlandığı və ona aid olduğu üçün yaxşı olduğunu bilirik. Ən yaxşı bənzətmə, küçədə maska ​​taxan və silah daşıyan, təhlükəli görünən və davranan birini görməsi. Ancaq onun DNT-sini götürsəniz və CIA agentinə uyğundursa, deməli onun həqiqətən yaxşı olduğunu başa düşə bilərsiniz.

Mart ayında geri Atlanta’ya edilən ransomware hücumunun mənbəyinə dair hər hansı bir məlumatınız varmı??

Bəli, Atlanta kiberhücumu halında, digər ransomware faylları ilə kodu paylaşan SamSam adlı ransomware istifadə etdilər. Bu ekran görüntüsü, bu faylı zərərli olaraq necə tanıdığımızı, mənbəyi müəyyənləşdirdiyimizi və DNT xəritəmizin bu hücumun qarşısını ala biləcəyini göstərir.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map