માલવેર વિશ્લેષણનો પર્દાફાશ: ડાયનેમિક એનાલિસિસ તકનીકોમાં ઊંડાણપૂર્વકનો અભ્યાસ

સાયબર સુરક્ષાની નિરંતર ચાલતી ઉંદર-બિલાડીની રમતમાં, તમારા પ્રતિસ્પર્ધીને સમજવું સર્વોપરી છે. દૂષિત સોફ્ટવેર, અથવા માલવેર, એ વિશ્વભરના સાયબર અપરાધીઓ, રાજ્ય-પ્રાયોજિત એક્ટર્સ અને હેક્ટિવિસ્ટ્સના શસ્ત્રાગારમાં મુખ્ય હથિયાર છે. આ જોખમોથી બચવા માટે, આપણે તેમનું વિચ્છેદન કરવું જોઈએ, તેમના હેતુઓને સમજવા જોઈએ, અને તેઓ કેવી રીતે કાર્ય કરે છે તે શીખવું જોઈએ. આ માલવેર વિશ્લેષણનું ક્ષેત્ર છે, જે કોઈપણ આધુનિક સુરક્ષા વ્યાવસાયિક માટે એક નિર્ણાયક શિસ્ત છે. આનો સામનો કરવા માટે ઘણા રસ્તાઓ છે, પરંતુ આજે આપણે સૌથી વધુ ખુલાસો કરતી પદ્ધતિઓમાંથી એકમાં ઊંડાણપૂર્વક અભ્યાસ કરી રહ્યા છીએ: ડાયનેમિક એનાલિસિસ.

માલવેર વિશ્લેષણ શું છે? એક ઝડપી પુનરાવર્તન

તેના મૂળમાં, માલવેર વિશ્લેષણ એ માલવેરના નમૂનાનો તેના મૂળ, કાર્યક્ષમતા અને સંભવિત અસરને સમજવા માટે અભ્યાસ કરવાની પ્રક્રિયા છે. અંતિમ ધ્યેય એક્શનેબલ ઇન્ટેલિજન્સ જનરેટ કરવાનો છે જેનો ઉપયોગ સંરક્ષણને સુધારવા, ઘટનાઓનો પ્રતિસાદ આપવા અને સક્રિયપણે જોખમોનો શિકાર કરવા માટે થઈ શકે છે. આ પ્રક્રિયા સામાન્ય રીતે બે વ્યાપક શ્રેણીઓમાં આવે છે:

• સ્ટેટિક એનાલિસિસ: માલવેરના કોડ અને બંધારણને એક્ઝિક્યુટ કર્યા વગર તપાસવું. આ બિલ્ડિંગની ડિઝાઇનને સમજવા માટે તેના બ્લુપ્રિન્ટ વાંચવા જેવું છે.
• ડાયનેમિક એનાલિસિસ: માલવેરને તેના વર્તનને વાસ્તવિક સમયમાં જોવા માટે સુરક્ષિત, નિયંત્રિત વાતાવરણમાં એક્ઝિક્યુટ કરવું. આ કારનું પ્રદર્શન રસ્તા પર કેવું છે તે જોવા માટે ટેસ્ટ-ડ્રાઇવ કરવા જેવું છે.

જ્યારે સ્ટેટિક એનાલિસિસ પાયાની સમજ પૂરી પાડે છે, ત્યારે તેને કોડ ઓબ્ફસ્કેશન અને પેકિંગ જેવી તકનીકો દ્વારા નિષ્ફળ કરી શકાય છે. અહીં જ ડાયનેમિક એનાલિસિસ ચમકે છે, જે આપણને એ જોવાની મંજૂરી આપે છે કે જ્યારે માલવેરને છૂટો મુકવામાં આવે છે ત્યારે તે ખરેખર શું કરે છે.

ગતિમાં રહેલી દુષ્ટતાને સમજવી: ડાયનેમિક એનાલિસિસને સમજવું

ડાયનેમિક માલવેર વિશ્લેષણ, જેને ઘણીવાર બિહેવિયરલ એનાલિસિસ કહેવામાં આવે છે, તે માલવેર ચાલતું હોય ત્યારે તેનું નિરીક્ષણ કરવાની કળા અને વિજ્ઞાન છે. ડિસએસેમ્બલ કરેલા કોડની લાઈનો પર ધ્યાન આપવાને બદલે, વિશ્લેષક ડિજિટલ જીવવિજ્ઞાની તરીકે કામ કરે છે, નમૂનાને પેટ્રી ડિશ (એક સુરક્ષિત વર્ચ્યુઅલ વાતાવરણ) માં મૂકે છે અને તેની ક્રિયાઓ અને ક્રિયાપ્રતિક્રિયાઓને કાળજીપૂર્વક દસ્તાવેજીકરણ કરે છે. તે આ જેવા નિર્ણાયક પ્રશ્નોના જવાબ આપે છે:

• તે સિસ્ટમ પર કઈ ફાઇલો બનાવે છે અથવા તેમાં ફેરફાર કરે છે?
• શું તે રિબૂટ પછી પણ ટકી રહેવા માટે પર્સિસ્ટન્સ (persistence) પ્રાપ્ત કરવાનો પ્રયાસ કરે છે?
• શું તે રિમોટ સર્વર સાથે વાતચીત કરે છે? જો હા, તો ક્યાં અને શા માટે?
• શું તે ડેટા ચોરવાનો, ફાઇલોને એન્ક્રિપ્ટ કરવાનો અથવા બેકડોર ઇન્સ્ટોલ કરવાનો પ્રયાસ કરે છે?
• શું તે સુરક્ષા સોફ્ટવેરને અક્ષમ કરવાનો પ્રયાસ કરે છે?

સ્ટેટિક વિ. ડાયનેમિક એનાલિસિસ: બે પદ્ધતિઓની ગાથા

ડાયનેમિક એનાલિસિસની સાચી કદર કરવા માટે, તેની સ્ટેટિક સમકક્ષ સાથે સીધી સરખામણી કરવી મદદરૂપ છે. તેઓ પરસ્પર વિશિષ્ટ નથી; હકીકતમાં, સૌથી અસરકારક વિશ્લેષણમાં ઘણીવાર બંનેનું સંયોજન સામેલ હોય છે.

• સ્ટેટિક એનાલિસિસ
  • ઉપમા: રેસીપી વાંચવી. તમે બધી સામગ્રી અને પગલાં જોઈ શકો છો, પરંતુ તમે જાણતા નથી કે અંતિમ વાનગીનો સ્વાદ કેવો હશે.
  • ફાયદા: તે સ્વાભાવિક રીતે સલામત છે કારણ કે કોડ ક્યારેય એક્ઝિક્યુટ થતો નથી. તે, સિદ્ધાંતમાં, માલવેરના તમામ સંભવિત એક્ઝિક્યુશન પાથને ઉજાગર કરી શકે છે, માત્ર એક જ રન દરમિયાન જોવા મળેલા પાથને જ નહીં.
  • ગેરફાયદા: તે અત્યંત સમય માંગી લેનારું હોઈ શકે છે અને એસેમ્બલી લેંગ્વેજ અને રિવર્સ એન્જિનિયરિંગમાં ઊંડી કુશળતાની જરૂર પડે છે. વધુ મહત્ત્વની વાત એ છે કે, થ્રેટ એક્ટર્સ જાણીજોઈને પેકર્સ અને ઓબ્ફસ્કેટર્સનો ઉપયોગ કોડને અવાચ્ય બનાવવા માટે કરે છે, જે મૂળભૂત સ્ટેટિક એનાલિસિસને બિનઅસરકારક બનાવે છે.
• ડાયનેમિક એનાલિસિસ
  • ઉપમા: રેસીપી રાંધવી અને તેનો સ્વાદ ચાખવો. તમે તેની સીધી અસરોનો અનુભવ કરો છો, પરંતુ તમે કોઈ વૈકલ્પિક ઘટક ચૂકી શકો છો જેનો આ વખતે ઉપયોગ થયો નથી.
  • ફાયદા: તે માલવેરના સાચા વર્તનને ઉજાગર કરે છે, ઘણીવાર સરળ ઓબ્ફસ્કેશનને બાયપાસ કરે છે કારણ કે કોડને ચલાવવા માટે મેમરીમાં ડી-ઓબ્ફસ્કેટ કરવો જ પડે છે. તે સામાન્ય રીતે મુખ્ય કાર્યક્ષમતાઓ ઓળખવા અને તાત્કાલિક ઉપયોગી ઇન્ડિકેટર્સ ઓફ કોમ્પ્રોમાઇઝ (IOCs) જનરેટ કરવા માટે ઝડપી છે.
  • ગેરફાયદા: જો વિશ્લેષણ વાતાવરણ સંપૂર્ણપણે અલગ ન હોય તો તેમાં સ્વાભાવિક જોખમ રહેલું છે. વધુમાં, એડવાન્સ્ડ માલવેર શોધી શકે છે કે તેનું સેન્ડબોક્સ અથવા વર્ચ્યુઅલ મશીનમાં વિશ્લેષણ કરવામાં આવી રહ્યું છે અને તે તેનું વર્તન બદલી શકે છે અથવા ફક્ત ચાલવાનો ઇનકાર કરી શકે છે. તે ફક્ત તે વિશિષ્ટ રન દરમિયાન લેવાયેલ એક્ઝિક્યુશન પાથને જ ઉજાગર કરે છે; માલવેરમાં અન્ય ક્ષમતાઓ હોઈ શકે છે જે ટ્રિગર થઈ નથી.

ડાયનેમિક એનાલિસિસના લક્ષ્યો

જ્યારે કોઈ વિશ્લેષક ડાયનેમિક એનાલિસિસ કરે છે, ત્યારે તે વિશિષ્ટ ઇન્ટેલિજન્સ એકત્ર કરવાના મિશન પર હોય છે. પ્રાથમિક ઉદ્દેશ્યોમાં શામેલ છે:

• ઇન્ડિકેટર્સ ઓફ કોમ્પ્રોમાઇઝ (IOCs) ઓળખવા: આ સૌથી તાત્કાલિક લક્ષ્ય છે. IOCs એ ડિજિટલ ફૂટપ્રિન્ટ્સ છે જે માલવેર પાછળ છોડી જાય છે, જેમ કે ફાઇલ હેશ (MD5, SHA-256), કમાન્ડ-એન્ડ-કંટ્રોલ (C2) સર્વર્સના IP એડ્રેસ અથવા ડોમેન્સ, પર્સિસ્ટન્સ માટે વપરાતી રજિસ્ટ્રી કીઝ, અથવા વિશિષ્ટ મ્યુટેક્સ નામો.
• કાર્યક્ષમતા અને હેતુ સમજવા: શું આ રેન્સમવેર ફાઇલોને એન્ક્રિપ્ટ કરવા માટે રચાયેલ છે? શું તે બેંકિંગ ટ્રોજન છે જેનો હેતુ ઓળખપત્રો ચોરવાનો છે? શું તે બેકડોર છે જે હુમલાખોરને રિમોટ કંટ્રોલ આપે છે? શું તે એક સરળ ડાઉનલોડર છે જેનું એકમાત્ર કામ વધુ શક્તિશાળી બીજા-તબક્કાના પેલોડને લાવવાનું છે?
• વ્યાપ અને અસર નક્કી કરવી: તેના વર્તનનું નિરીક્ષણ કરીને, વિશ્લેષક સંભવિત નુકસાનનું મૂલ્યાંકન કરી શકે છે. શું તે નેટવર્ક પર ફેલાય છે? શું તે સંવેદનશીલ દસ્તાવેજોને બહાર કાઢે છે? આ સમજવું ઇન્સિડન્ટ રિસ્પોન્સ પ્રયાસોને પ્રાથમિકતા આપવામાં મદદ કરે છે.
• ડિટેક્શન નિયમો માટે ઇન્ટેલિજન્સ એકત્ર કરવી: જોવા મળેલા વર્તણૂકો અને આર્ટિફેક્ટ્સનો ઉપયોગ સુરક્ષા સાધનો માટે મજબૂત ડિટેક્શન સિગ્નેચર્સ બનાવવા માટે થઈ શકે છે. આમાં નેટવર્ક-આધારિત નિયમો (દા.ત., Snort અથવા Suricata માટે) અને હોસ્ટ-આધારિત નિયમો (દા.ત., YARA) નો સમાવેશ થાય છે.
• કન્ફિગરેશન ડેટા કાઢવો: ઘણા માલવેર પરિવારોમાં એમ્બેડેડ કન્ફિગરેશન ડેટા હોય છે, જેમાં C2 સર્વર સરનામાં, એન્ક્રિપ્શન કીઝ, અથવા ઝુંબેશ ઓળખકર્તાઓનો સમાવેશ થાય છે. ડાયનેમિક એનાલિસિસ ઘણીવાર માલવેરને મેમરીમાં આ ડેટાને ડિક્રિપ્ટ કરવા અને તેનો ઉપયોગ કરવા માટે પ્રોત્સાહિત કરી શકે છે, જ્યાં તેને વિશ્લેષક દ્વારા કેપ્ચર કરી શકાય છે.

તમારો કિલ્લો બનાવવો: સુરક્ષિત વિશ્લેષણ પર્યાવરણ ગોઠવવું

ચેતવણી: આ પ્રક્રિયાનો સૌથી નિર્ણાયક ભાગ છે. ક્યારેય, ક્યારેય પણ શંકાસ્પદ ફાઇલને તમારા વ્યક્તિગત અથવા કોર્પોરેટ મશીન પર ચલાવશો નહીં. ડાયનેમિક એનાલિસિસનો સંપૂર્ણ આધાર સંપૂર્ણપણે અલગ અને નિયંત્રિત પ્રયોગશાળા વાતાવરણ બનાવવા પર ટકેલો છે, જેને સામાન્ય રીતે સેન્ડબોક્સ તરીકે ઓળખવામાં આવે છે. ધ્યેય એ છે કે માલવેરને આ નિયંત્રિત જગ્યામાં છૂટથી ચાલવા દેવું, જેથી તે બહાર નીકળીને વાસ્તવિક દુનિયામાં નુકસાન પહોંચાડવાનું કોઈ જોખમ ન રહે.

લેબનું હૃદય: વર્ચ્યુઅલ મશીન (VM)

વર્ચ્યુઅલાઈઝેશન એ માલવેર વિશ્લેષણ લેબનો પાયાનો પથ્થર છે. વર્ચ્યુઅલ મશીન (VM) એ સંપૂર્ણપણે એમ્યુલેટેડ કમ્પ્યુટર સિસ્ટમ છે જે તમારા ભૌતિક મશીન (હોસ્ટ) પર ચાલે છે. Oracle VM VirtualBox (મફત) અથવા VMware Workstation Player/Pro જેવા સોફ્ટવેર ઉદ્યોગના ધોરણો છે.

VM નો ઉપયોગ શા માટે કરવો?

• આઇસોલેશન (અલગીકરણ): VM હોસ્ટ ઓપરેટિંગ સિસ્ટમથી સેન્ડબોક્સ કરેલું હોય છે. જો માલવેર VM ની આખી C: ડ્રાઇવને એન્ક્રિપ્ટ કરે છે, તો તમારું હોસ્ટ મશીન અસ્પૃશ્ય રહે છે.
• રિવર્ટિબિલિટી (પૂર્વવત્ કરવાની ક્ષમતા): VMs ની સૌથી શક્તિશાળી સુવિધા 'સ્નેપશોટ' લેવાની ક્ષમતા છે. સ્નેપશોટ એક ક્ષણે VM ની ચોક્કસ સ્થિતિને કેપ્ચર કરે છે. સ્ટાન્ડર્ડ વર્કફ્લો છે: એક સ્વચ્છ VM સેટ કરો, સ્નેપશોટ લો, માલવેર ચલાવો, અને વિશ્લેષણ પછી, ફક્ત VM ને સ્વચ્છ સ્નેપશોટ પર પાછું ફેરવો. આ પ્રક્રિયા સેકંડ લે છે અને ખાતરી કરે છે કે તમારી પાસે દરેક નવા નમૂના માટે તાજું, અપ્રદૂષિત વાતાવરણ છે.

તમારું વિશ્લેષણ VM માલવેરને 'ઘર જેવું' લાગે તે માટે લાક્ષણિક કોર્પોરેટ વાતાવરણનું અનુકરણ કરવા માટે ગોઠવાયેલું હોવું જોઈએ. આમાં Microsoft Office, Adobe Reader, અને વેબ બ્રાઉઝર જેવા સામાન્ય સોફ્ટવેર ઇન્સ્ટોલ કરવાનો સમાવેશ થાય છે.

નેટવર્ક આઇસોલેશન: ડિજિટલ તરંગોને નિયંત્રિત કરવું

VM ના નેટવર્ક કનેક્શનને નિયંત્રિત કરવું નિર્ણાયક છે. તમે તેના નેટવર્ક ટ્રાફિકનું નિરીક્ષણ કરવા માંગો છો, પરંતુ તમે નથી ઇચ્છતા કે તે તમારા સ્થાનિક નેટવર્ક પર અન્ય મશીનો પર સફળતાપૂર્વક હુમલો કરે અથવા રિમોટ હુમલાખોરને ચેતવે. નેટવર્ક કન્ફિગરેશનના ઘણા સ્તરો છે:

• સંપૂર્ણપણે અલગ (હોસ્ટ-ઓન્લી): VM ફક્ત હોસ્ટ મશીન સાથે જ વાતચીત કરી શકે છે અને બીજું કંઈ નહીં. આ સૌથી સલામત વિકલ્પ છે અને એવા માલવેરનું વિશ્લેષણ કરવા માટે ઉપયોગી છે જેને તેના મુખ્ય વર્તનને પ્રદર્શિત કરવા માટે ઇન્ટરનેટ કનેક્ટિવિટીની જરૂર નથી (દા.ત., એક સરળ ફાઇલ-એન્ક્રિપ્ટિંગ રેન્સમવેર).
• સિમ્યુલેટેડ ઇન્ટરનેટ (ઇન્ટર્નલ નેટવર્કિંગ): વધુ અદ્યતન સેટઅપમાં આંતરિક-માત્ર નેટવર્ક પર બે VMs નો સમાવેશ થાય છે. પહેલું તમારું વિશ્લેષણ VM છે. બીજું VM નકલી ઇન્ટરનેટ તરીકે કાર્ય કરે છે, જે INetSim જેવા સાધનો ચલાવે છે. INetSim HTTP/S, DNS, અને FTP જેવી સામાન્ય સેવાઓનું અનુકરણ કરે છે. જ્યારે માલવેર `www.evil-c2-server.com` ને રિઝોલ્વ કરવાનો પ્રયાસ કરે છે, ત્યારે તમારું નકલી DNS સર્વર પ્રતિસાદ આપી શકે છે. જ્યારે તે ફાઇલ ડાઉનલોડ કરવાનો પ્રયાસ કરે છે, ત્યારે તમારું નકલી HTTP સર્વર એક પ્રદાન કરી શકે છે. આ તમને માલવેર ક્યારેય વાસ્તવિક ઇન્ટરનેટને સ્પર્શે તે વિના નેટવર્ક વિનંતીઓનું નિરીક્ષણ કરવાની મંજૂરી આપે છે.
• નિયંત્રિત ઇન્ટરનેટ એક્સેસ: સૌથી જોખમી વિકલ્પ. અહીં, તમે VM ને વાસ્તવિક ઇન્ટરનેટ એક્સેસ કરવાની મંજૂરી આપો છો, સામાન્ય રીતે VPN અથવા સંપૂર્ણપણે અલગ ભૌતિક નેટવર્ક કનેક્શન દ્વારા. આ ક્યારેક એડવાન્સ્ડ માલવેર માટે જરૂરી છે જે તેના દૂષિત પેલોડને ચલાવતા પહેલાં તે સાચું ઇન્ટરનેટ કનેક્શન ધરાવે છે તેની ખાતરી કરવા માટે તકનીકોનો ઉપયોગ કરે છે. આ ફક્ત અનુભવી વિશ્લેષકો દ્વારા જ કરવું જોઈએ જેઓ જોખમોને સંપૂર્ણપણે સમજે છે.

વિશ્લેષકની ટૂલકિટ: આવશ્યક સોફ્ટવેર

તમે તમારો 'સ્વચ્છ' સ્નેપશોટ લો તે પહેલાં, તમારે તમારા વિશ્લેષણ VM ને યોગ્ય સાધનોથી સજ્જ કરવાની જરૂર છે. આ ટૂલકિટ વિશ્લેષણ દરમિયાન તમારી આંખો અને કાન બનશે.

• પ્રોસેસ મોનિટરિંગ: Sysinternals Suite માંથી Process Monitor (ProcMon) અને Process Hacker/Explorer પ્રોસેસ ક્રિએશન, ફાઇલ I/O, અને રજિસ્ટ્રી પ્રવૃત્તિ જોવા માટે અનિવાર્ય છે.
• સિસ્ટમ સ્ટેટ સરખામણી: Regshot એક સરળ છતાં અસરકારક સાધન છે જે તમારી રજિસ્ટ્રી અને ફાઇલ સિસ્ટમનો 'પહેલા' અને 'પછી' નો સ્નેપશોટ લે છે, દરેક ફેરફારને હાઇલાઇટ કરે છે.
• નેટવર્ક ટ્રાફિક વિશ્લેષણ: Wireshark કાચા નેટવર્ક પેકેટોને કેપ્ચર કરવા અને તેનું વિશ્લેષણ કરવા માટે વૈશ્વિક ધોરણ છે. એન્ક્રિપ્ટેડ HTTP/S ટ્રાફિક માટે, Fiddler અથવા mitmproxy નો ઉપયોગ મેન-ઇન-ધ-મિડલ ઇન્સ્પેક્શન કરવા માટે થઈ શકે છે.
• ડિબગર્સ અને ડિસએસેમ્બલર્સ: ઊંડાણપૂર્વકના અભ્યાસ માટે, x64dbg, OllyDbg, અથવા IDA Pro જેવા સાધનોનો ઉપયોગ થાય છે, જોકે આ ઘણીવાર ડાયનેમિક અને સ્ટેટિક વિશ્લેષણ વચ્ચેના અંતરને પૂરે છે.

શિકાર શરૂ થાય છે: ડાયનેમિક એનાલિસિસ માટે એક પગલા-દર-પગલાની માર્ગદર્શિકા

તમારી સુરક્ષિત લેબ તૈયાર થતાં, વિશ્લેષણ શરૂ કરવાનો સમય છે. આ પ્રક્રિયા પદ્ધતિસરની છે અને કાળજીપૂર્વક દસ્તાવેજીકરણની જરૂર છે.

તબક્કો 1: તૈયારી અને બેઝલાઇન

1. સ્વચ્છ સ્નેપશોટ પર પાછા ફરો: હંમેશા જાણીતી-સારી સ્થિતિથી પ્રારંભ કરો. તમારા VM ને તમે સેટ કર્યા પછી લીધેલા સ્વચ્છ સ્નેપશોટ પર પાછા ફરો.
2. બેઝલાઇન કેપ્ચર શરૂ કરો: Regshot જેવા ટૂલને લોંચ કરો અને '1st shot' લો. આ તમારી ફાઇલ સિસ્ટમ અને રજિસ્ટ્રીની બેઝલાઇન બનાવે છે.
3. મોનિટરિંગ ટૂલ્સ લોંચ કરો: Process Monitor અને Wireshark ખોલો અને ઇવેન્ટ્સ કેપ્ચર કરવાનું શરૂ કરો. હજુ સુધી એક્ઝિક્યુટ ન થયેલા માલવેર પ્રોસેસ પર ધ્યાન કેન્દ્રિત કરવા માટે ProcMon માં તમારા ફિલ્ટર્સ ગોઠવો, પરંતુ જો તે અન્ય પ્રોસેસમાં સ્પૉન કરે અથવા ઇન્જેક્ટ કરે તો તેમને સાફ કરવા માટે તૈયાર રહો.
4. નમૂનાને ટ્રાન્સફર કરો: માલવેર નમૂનાને VM માં સુરક્ષિત રીતે ટ્રાન્સફર કરો. એક શેર્ડ ફોલ્ડર (જેને તરત જ પછી અક્ષમ કરવું જોઈએ) અથવા એક સરળ ડ્રેગ-એન્ડ-ડ્રોપ સામાન્ય છે.

તબક્કો 2: એક્ઝિક્યુશન અને અવલોકન

આ સત્યની ક્ષણ છે. માલવેર નમૂના પર ડબલ-ક્લિક કરો અથવા તેને કમાન્ડ લાઇનથી એક્ઝિક્યુટ કરો, ફાઇલના પ્રકાર પર આધાર રાખીને. તમારું કામ હવે નિષ્ક્રિય પરંતુ જાગ્રત નિરીક્ષક બનવાનું છે. માલવેરને તેનો માર્ગ લેવા દો. ક્યારેક તેની ક્રિયાઓ તાત્કાલિક હોય છે; અન્ય સમયે, તેમાં સ્લીપ ટાઈમર હોઈ શકે છે અને તમારે રાહ જોવી પડશે. જો જરૂરી હોય તો સિસ્ટમ સાથે ક્રિયાપ્રતિક્રિયા કરો (દા.ત., તે ઉત્પન્ન કરેલા નકલી ભૂલ સંદેશ પર ક્લિક કરવું) જેથી વધુ વર્તનને ટ્રિગર કરી શકાય.

તબક્કો 3: મુખ્ય વર્તણૂકીય સૂચકોનું નિરીક્ષણ

આ વિશ્લેષણનો મુખ્ય ભાગ છે, જ્યાં તમે માલવેરની પ્રવૃત્તિનું ચિત્ર બનાવવા માટે તમારા બધા મોનિટરિંગ ટૂલ્સમાંથી ડેટાને સહસંબંધિત કરો છો. તમે ઘણા ડોમેન્સમાં વિશિષ્ટ પેટર્ન શોધી રહ્યા છો.

1. પ્રોસેસ એક્ટિવિટી

Process Monitor અને Process Hacker નો ઉપયોગ કરીને જવાબ આપો:

• પ્રોસેસ ક્રિએશન: શું માલવેરે નવી પ્રોસેસ લોન્ચ કરી? શું તેણે દૂષિત ક્રિયાઓ કરવા માટે કાયદેસર વિન્ડોઝ યુટિલિટીઝ (જેમ કે `powershell.exe`, `schtasks.exe`, અથવા `bitsadmin.exe`) લોન્ચ કરી? આ એક સામાન્ય તકનીક છે જેને Living Off the Land (LotL) કહેવાય છે.
• પ્રોસેસ ઇન્જેક્શન: શું મૂળ પ્રોસેસ સમાપ્ત થઈ ગઈ અને `explorer.exe` અથવા `svchost.exe` જેવી કાયદેસર પ્રોસેસમાં 'અદૃશ્ય' થઈ ગઈ? આ એક ક્લાસિક ચોરીની તકનીક છે. Process Hacker ઇન્જેક્ટ કરેલી પ્રોસેસને ઓળખવામાં મદદ કરી શકે છે.
• મ્યુટેક્સ ક્રિએશન: શું માલવેર મ્યુટેક્સ ઓબ્જેક્ટ બનાવે છે? માલવેર ઘણીવાર આ એટલા માટે કરે છે જેથી ખાતરી કરી શકાય કે સિસ્ટમ પર એક સમયે ફક્ત એક જ ઇન્સ્ટન્સ ચાલી રહ્યું છે. મ્યુટેક્સનું નામ અત્યંત વિશ્વસનીય IOC હોઈ શકે છે.

2. ફાઇલ સિસ્ટમ ફેરફારો

ProcMon અને તમારી Regshot સરખામણીનો ઉપયોગ કરીને જવાબ આપો:

• ફાઇલ ક્રિએશન (ડ્રોપિંગ): શું માલવેરે નવી ફાઇલો બનાવી? તેમના નામો અને સ્થાનોની નોંધ લો (દા.ત., `C:\Users\\AppData\Local\Temp`, `C:\ProgramData`). આ ડ્રોપ કરેલી ફાઇલો તેની પોતાની નકલો, સેકન્ડરી પેલોડ્સ, અથવા કન્ફિગરેશન ફાઇલો હોઈ શકે છે. તેમના ફાઇલ હેશની ગણતરી કરવાનું સુનિશ્ચિત કરો.
• ફાઇલ ડિલીશન: શું માલવેરે કોઈ ફાઇલો ડિલીટ કરી? તે સુરક્ષા ટૂલ લોગ્સ અથવા મૂળ નમૂનાને જ ડિલીટ કરવાનો પ્રયાસ કરી શકે છે જેથી તેના નિશાન ભૂંસી શકાય (એન્ટિ-ફોરેન્સિક્સ).
• ફાઇલ મોડિફિકેશન: શું તેણે કોઈ હાલની સિસ્ટમ અથવા વપરાશકર્તા ફાઇલોમાં ફેરફાર કર્યો? રેન્સમવેર એક મુખ્ય ઉદાહરણ છે, કારણ કે તે વ્યવસ્થિત રીતે વપરાશકર્તા દસ્તાવેજોને એન્ક્રિપ્ટ કરે છે.

3. રજિસ્ટ્રી ફેરફારો

વિન્ડોઝ રજિસ્ટ્રી માલવેર માટે વારંવારનું લક્ષ્ય છે. ProcMon અને Regshot નો ઉપયોગ કરીને આ શોધો:

• પર્સિસ્ટન્સ મિકેનિઝમ્સ: આ એક ટોચની પ્રાથમિકતા છે. માલવેર રિબૂટ પછી કેવી રીતે ટકી રહેશે? સામાન્ય ઓટોરન સ્થાનોમાં નવી એન્ટ્રીઓ શોધો, જેમ કે `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` અથવા `HKLM\Software\Microsoft\Windows\CurrentVersion\Run`. તે નવી સર્વિસ અથવા શેડ્યૂલ્ડ ટાસ્ક પણ બનાવી શકે છે.
• કન્ફિગરેશન સ્ટોરેજ: માલવેર તેના કન્ફિગરેશન ડેટા, જેમ કે C2 સરનામાં અથવા એન્ક્રિપ્શન કીઝ, રજિસ્ટ્રીમાં સંગ્રહિત કરી શકે છે.
• સુરક્ષા સુવિધાઓને અક્ષમ કરવી: સિસ્ટમના સંરક્ષણને નબળું પાડવા માટે રચાયેલ ફેરફારો શોધો, જેમ કે વિન્ડોઝ ડિફેન્ડર અથવા યુઝર એકાઉન્ટ કંટ્રોલ (UAC) સેટિંગ્સમાં ફેરફાર.

4. નેટવર્ક કોમ્યુનિકેશન્સ

Wireshark માં, તમારા VM માંથી ઉદ્ભવતા ટ્રાફિક માટે ફિલ્ટર કરો. તમારી જાતને પૂછો:

• DNS ક્વેરીઝ: માલવેર કયા ડોમેન નામોને રિઝોલ્વ કરવાનો પ્રયાસ કરી રહ્યું છે? જો કનેક્શન નિષ્ફળ જાય તો પણ, ક્વેરી પોતે જ એક મજબૂત IOC છે.
• C2 બીકનિંગ: શું તે કમાન્ડ એન્ડ કંટ્રોલ (C2) સર્વર પર 'કોલ હોમ' કરવાનો પ્રયાસ કરે છે? IP એડ્રેસ, પોર્ટ, અને પ્રોટોકોલ (HTTP, HTTPS, અથવા કસ્ટમ TCP/UDP પ્રોટોકોલ) ની નોંધ લો.
• ડેટા એક્સફિલ્ટ્રેશન: શું તમે મોટી માત્રામાં ડેટા બહાર મોકલતા જોઈ રહ્યા છો? આ ડેટા ચોરીનો સંકેત આપી શકે છે. એન્કોડેડ ડેટા ધરાવતી HTTP POST વિનંતી એક સામાન્ય પેટર્ન છે.
• પેલોડ્સ ડાઉનલોડ કરવું: શું તે વધારાની ફાઇલો ડાઉનલોડ કરવાનો પ્રયાસ કરી રહ્યું છે? URL એક મૂલ્યવાન IOC છે. તમારા સિમ્યુલેટેડ વાતાવરણમાં INetSim સાથે, તમે GET વિનંતી જોઈ શકો છો અને તે શું મેળવવાનો પ્રયાસ કરી રહ્યું હતું તેનું વિશ્લેષણ કરી શકો છો.

તબક્કો 4: પોસ્ટ-એક્ઝિક્યુશન વિશ્લેષણ અને સફાઈ

1. કેપ્ચરિંગ બંધ કરો: એકવાર તમને લાગે કે માલવેરે તેની પ્રાથમિક પ્રવૃત્તિઓ પૂર્ણ કરી લીધી છે, ProcMon અને Wireshark માં કેપ્ચર બંધ કરો.
2. અંતિમ સ્નેપશોટ લો: Regshot માં '2nd shot' લો અને તમામ ફાઇલ સિસ્ટમ અને રજિસ્ટ્રી ફેરફારોનો સુઘડ અહેવાલ જનરેટ કરવા માટે સરખામણી ચલાવો.
3. વિશ્લેષણ કરો અને દસ્તાવેજ કરો: તમારા બધા સાધનોમાંથી લોગ્સ સાચવો. ઘટનાઓને સહસંબંધિત કરો અને માલવેરની ક્રિયાઓની સમયરેખા બનાવો. બધા શોધાયેલ IOCs ને દસ્તાવેજીકૃત કરો.
4. VM ને પાછું ફેરવો: આ બિન-વાટાઘાટપાત્ર છે. એકવાર તમારો ડેટા સુરક્ષિત રીતે નિકાસ થઈ જાય, VM ને તેના સ્વચ્છ સ્નેપશોટ પર પાછું ફેરવો. ચેપગ્રસ્ત VM નો ફરીથી ઉપયોગ કરશો નહીં.

ઉંદર-બિલાડીની રમત: માલવેર ચોરીની તકનીકો પર કાબૂ મેળવવો

માલવેર લેખકો ભોળા નથી. તેઓ ડાયનેમિક એનાલિસિસ વિશે જાણે છે અને તેને શોધવા અને તેનાથી બચવા માટે સક્રિયપણે સુવિધાઓ બનાવે છે. વિશ્લેષકના કામનો એક મહત્વપૂર્ણ ભાગ આ તકનીકોને ઓળખવાનો અને તેને બાયપાસ કરવાનો છે.

એન્ટિ-સેન્ડબોક્સ અને એન્ટિ-VM ડિટેક્શન

માલવેર એવા સંકેતો માટે ચકાસણી કરી શકે છે કે તે વર્ચ્યુઅલાઈઝ્ડ અથવા સ્વયંસંચાલિત વાતાવરણમાં ચાલી રહ્યું છે. સામાન્ય ચકાસણીમાં શામેલ છે:

• VM આર્ટિફેક્ટ્સ: VM-વિશિષ્ટ ફાઇલો (`vmtoolsd.exe`), ઉપકરણ ડ્રાઇવરો, રજિસ્ટ્રી કીઝ (`HKLM\HARDWARE\Description\System\SystemBiosVersion` જેમાં 'VMWARE' અથવા 'VBOX' હોય) અથવા VMware/VirtualBox સાથે જોડાયેલા MAC સરનામાં શોધવા.
• વપરાશકર્તા પ્રવૃત્તિનો અભાવ: તાજેતરના દસ્તાવેજો, બ્રાઉઝર ઇતિહાસ, અથવા માઉસ હલનચલન માટે ચકાસણી. સ્વયંસંચાલિત સેન્ડબોક્સ આને ખાતરીપૂર્વક અનુકરણ કરી શકશે નહીં.
• સિસ્ટમ વિશિષ્ટતાઓ: અસામાન્ય રીતે ઓછી CPU ગણતરી, ઓછી RAM, અથવા નાની ડિસ્ક કદ માટે ચકાસણી, જે ડિફોલ્ટ VM સેટઅપની લાક્ષણિકતા હોઈ શકે છે.

વિશ્લેષકનો પ્રતિભાવ: તમારા VM ને વાસ્તવિક વપરાશકર્તાના મશીન જેવું દેખાવા માટે સખત બનાવો. આ પ્રક્રિયાને 'એન્ટિ-એન્ટિ-VM' અથવા 'એન્ટિ-એન્ટિ-સેન્ડબોક્સ' તરીકે ઓળખવામાં આવે છે, જેમાં VM પ્રોસેસનું નામ બદલવું, સ્પષ્ટ રજિસ્ટ્રી કીઝ સાફ કરવી, અને વપરાશકર્તા પ્રવૃત્તિનું અનુકરણ કરવા માટે સ્ક્રિપ્ટોનો ઉપયોગ કરવાનો સમાવેશ થાય છે.

એન્ટિ-ડિબગિંગ

જો માલવેર તેની પ્રોસેસ સાથે જોડાયેલ ડિબગરને શોધી કાઢે છે, તો તે તરત જ બહાર નીકળી શકે છે અથવા વિશ્લેષકને ગેરમાર્ગે દોરવા માટે તેનું વર્તન બદલી શકે છે. તે `IsDebuggerPresent()` જેવા વિન્ડોઝ API કોલ્સ અથવા ડિબગરની હાજરી શોધવા માટે વધુ અદ્યતન યુક્તિઓનો ઉપયોગ કરી શકે છે.

વિશ્લેષકનો પ્રતિભાવ: ડિબગર પ્લગઈન્સ અથવા સંશોધિત ડિબગર્સનો ઉપયોગ કરો જે માલવેરથી તેમની હાજરી છુપાવવા માટે રચાયેલ છે.

સમય-આધારિત ચોરી

ઘણા સ્વયંસંચાલિત સેન્ડબોક્સનો રન ટાઈમ મર્યાદિત હોય છે (દા.ત., 5-10 મિનિટ). માલવેર તેના દૂષિત કોડને એક્ઝિક્યુટ કરતા પહેલા 15 મિનિટ માટે ફક્ત સ્લીપ કરીને આનો ફાયદો ઉઠાવી શકે છે. જ્યારે તે જાગે છે, ત્યાં સુધીમાં સ્વયંસંચાલિત વિશ્લેષણ સમાપ્ત થઈ ગયું હોય છે.

વિશ્લેષકનો પ્રતિભાવ: મેન્યુઅલ વિશ્લેષણ દરમિયાન, તમે ફક્ત રાહ જોઈ શકો છો. જો તમને સ્લીપ કોલની શંકા હોય, તો તમે સ્લીપ ફંક્શન શોધવા માટે ડિબગરનો ઉપયોગ કરી શકો છો અને તેને તરત જ રિટર્ન કરવા માટે પેચ કરી શકો છો, અથવા સમયને ફાસ્ટ-ફોરવર્ડ કરવા માટે VM ની સિસ્ટમ ઘડિયાળમાં ફેરફાર કરવા માટેના સાધનોનો ઉપયોગ કરી શકો છો.

પ્રયત્નોને માપવા: મેન્યુઅલ વિ. સ્વયંસંચાલિત ડાયનેમિક એનાલિસિસ

ઉપર વર્ણવેલ મેન્યુઅલ પ્રક્રિયા અકલ્પનીય ઊંડાણ પ્રદાન કરે છે, પરંતુ જ્યારે દિવસમાં સેંકડો શંકાસ્પદ ફાઇલો સાથે કામ કરવાનું હોય ત્યારે તે માપી શકાતી નથી. અહીં જ સ્વયંસંચાલિત સેન્ડબોક્સ કામમાં આવે છે.

સ્વયંસંચાલિત સેન્ડબોક્સ: સ્કેલની શક્તિ

સ્વયંસંચાલિત સેન્ડબોક્સ એવી સિસ્ટમ્સ છે જે આપમેળે એક ઇન્સ્ટ્રુમેન્ટેડ વાતાવરણમાં ફાઇલને એક્ઝિક્યુટ કરે છે, આપણે ચર્ચા કરેલા તમામ મોનિટરિંગ પગલાંઓ કરે છે, અને એક વ્યાપક અહેવાલ જનરેટ કરે છે. લોકપ્રિય ઉદાહરણોમાં શામેલ છે:

• ઓપન સોર્સ: Cuckoo Sandbox સૌથી જાણીતું ઓપન-સોર્સ સોલ્યુશન છે, જોકે તેને સેટ કરવા અને જાળવવા માટે નોંધપાત્ર પ્રયત્નોની જરૂર પડે છે.
• કોમર્શિયલ/ક્લાઉડ: ANY.RUN (જે ઇન્ટરેક્ટિવ વિશ્લેષણ પ્રદાન કરે છે), Hybrid Analysis, Joe Sandbox, અને VMRay Analyzer જેવી સેવાઓ શક્તિશાળી, ઉપયોગમાં સરળ પ્લેટફોર્મ પ્રદાન કરે છે.

ફાયદા: તેઓ મોટી સંખ્યામાં નમૂનાઓનું વર્ગીકરણ કરવા માટે અતિ ઝડપી અને કાર્યક્ષમ છે, જે ઝડપી ચુકાદો અને IOCs નો સમૃદ્ધ અહેવાલ પ્રદાન કરે છે.

ગેરફાયદા: તેઓ ઉપર ઉલ્લેખિત ચોરીની તકનીકો માટે મુખ્ય લક્ષ્ય છે. એક અત્યાધુનિક માલવેર સ્વયંસંચાલિત વાતાવરણને શોધી શકે છે અને સૌમ્ય વર્તન બતાવી શકે છે, જે ખોટા નકારાત્મક પરિણામ તરફ દોરી જાય છે.

મેન્યુઅલ વિશ્લેષણ: વિશ્લેષકનો સ્પર્શ

આ વિગતવાર, હાથ પરની પ્રક્રિયા છે જેના પર આપણે ધ્યાન કેન્દ્રિત કર્યું છે. તે વિશ્લેષકની કુશળતા અને અંતઃપ્રેરણા દ્વારા સંચાલિત છે.

ફાયદા: તે વિશ્લેષણની સૌથી મોટી ઊંડાઈ પ્રદાન કરે છે. એક કુશળ વિશ્લેષક ચોરીની તકનીકોને ઓળખી અને તેને બાયપાસ કરી શકે છે જે સ્વયંસંચાલિત સિસ્ટમને મૂર્ખ બનાવશે.

ગેરફાયદા: તે અત્યંત સમય માંગી લેનારું છે અને માપી શકાતું નથી. તે ઉચ્ચ-પ્રાથમિકતાવાળા નમૂનાઓ અથવા એવા કિસ્સાઓ માટે શ્રેષ્ઠ રીતે આરક્ષિત છે જ્યાં સ્વયંસંચાલિત વિશ્લેષણ નિષ્ફળ ગયું છે અથવા અપૂરતી વિગતો પ્રદાન કરી છે.

આધુનિક સિક્યોરિટી ઓપરેશન્સ સેન્ટર (SOC) માં શ્રેષ્ઠ અભિગમ સ્તરીય છે: બધા નમૂનાઓના પ્રારંભિક વર્ગીકરણ માટે ઓટોમેશનનો ઉપયોગ કરો, અને સૌથી રસપ્રદ, ચોરી કરનારા, અથવા નિર્ણાયક નમૂનાઓને મેન્યુઅલ ડીપ-ડાઇવ વિશ્લેષણ માટે આગળ વધારો.

બધું એકસાથે લાવવું: આધુનિક સાયબર સુરક્ષામાં ડાયનેમિક એનાલિસિસની ભૂમિકા

ડાયનેમિક એનાલિસિસ માત્ર એક શૈક્ષણિક કવાયત નથી; તે આધુનિક રક્ષણાત્મક અને આક્રમક સાયબર સુરક્ષાનો પાયાનો સ્તંભ છે. માલવેરને સુરક્ષિત રીતે વિસ્ફોટ કરીને અને તેના વર્તનનું નિરીક્ષણ કરીને, આપણે એક રહસ્યમય જોખમને જાણીતી માત્રામાં રૂપાંતરિત કરીએ છીએ. આપણે જે IOCs કાઢીએ છીએ તે ભવિષ્યના હુમલાઓને રોકવા માટે સીધા ફાયરવોલ, ઇન્ટ્રુઝન ડિટેક્શન સિસ્ટમ્સ, અને એન્ડપોઇન્ટ પ્રોટેક્શન પ્લેટફોર્મમાં ફીડ કરવામાં આવે છે. આપણે જે વર્તણૂકીય અહેવાલો જનરેટ કરીએ છીએ તે ઇન્સિડન્ટ રિસ્પોન્ડર્સને જાણ કરે છે, જે તેમને તેમના નેટવર્કમાંથી જોખમોનો અસરકારક રીતે શિકાર કરવા અને તેને નાબૂદ કરવાની મંજૂરી આપે છે.

પરિદ્રશ્ય સતત બદલાઈ રહ્યું છે. જેમ જેમ માલવેર વધુ ચોરી કરનારું બને છે, તેમ તેમ આપણી વિશ્લેષણ તકનીકો પણ તેની સાથે વિકસિત થવી જોઈએ. ભલે તમે એક મહત્વાકાંક્ષી SOC વિશ્લેષક હો, એક અનુભવી ઇન્સિડન્ટ રિસ્પોન્ડર હો, અથવા એક સમર્પિત થ્રેટ સંશોધક હો, ડાયનેમિક એનાલિસિસના સિદ્ધાંતોમાં નિપુણતા મેળવવી એ એક આવશ્યક કૌશલ્ય છે. તે તમને ફક્ત ચેતવણીઓ પર પ્રતિક્રિયા આપવાથી આગળ વધીને સક્રિયપણે દુશ્મનને સમજવાનું શરૂ કરવા માટે સશક્ત બનાવે છે, એક સમયે એક વિસ્ફોટ.