ಮಾಲ್ವೇರ್ ವಿಶ್ಲೇಷಣೆ ಅನಾವರಣ: ಡೈನಾಮಿಕ್ ವಿಶ್ಲೇಷಣಾ ತಂತ್ರಗಳ ಒಂದು ಆಳವಾದ ನೋಟ

ಸೈಬರ್‌ ಸುರಕ್ಷತೆಯ ನಿರಂತರ ಬೆನ್ನಟ್ಟುವ ಆಟದಲ್ಲಿ, ನಿಮ್ಮ ಎದುರಾಳಿಯನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುವುದು ಬಹಳ ಮುಖ್ಯ. ದುರುದ್ದೇಶಪೂರಿತ ಸಾಫ್ಟ್‌ವೇರ್, ಅಥವಾ ಮಾಲ್ವೇರ್, ವಿಶ್ವಾದ್ಯಂತ ಸೈಬರ್ ಅಪರಾಧಿಗಳು, ಸರ್ಕಾರಿ ಪ್ರಾಯೋಜಿತ ವ್ಯಕ್ತಿಗಳು ಮತ್ತು ಹ್ಯಾಕ್ಟಿವಿಸ್ಟ್‌ಗಳ ಶಸ್ತ್ರಾಗಾರದಲ್ಲಿ ಪ್ರಾಥಮಿಕ ಅಸ್ತ್ರವಾಗಿದೆ. ಈ ಬೆದರಿಕೆಗಳಿಂದ ರಕ್ಷಿಸಿಕೊಳ್ಳಲು, ನಾವು ಅವುಗಳನ್ನು ವಿಭಜಿಸಬೇಕು, ಅವುಗಳ ಉದ್ದೇಶಗಳನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಬೇಕು ಮತ್ತು ಅವು ಹೇಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತವೆ ಎಂಬುದನ್ನು ಕಲಿಯಬೇಕು. ಇದು ಮಾಲ್ವೇರ್ ವಿಶ್ಲೇಷಣೆಯ ಕ್ಷೇತ್ರ, ಯಾವುದೇ ಆಧುನಿಕ ಭದ್ರತಾ ವೃತ್ತಿಪರರಿಗೆ ಒಂದು ನಿರ್ಣಾಯಕ ಶಿಸ್ತು. ಇದನ್ನು ಸಮೀಪಿಸಲು ಹಲವಾರು ಮಾರ್ಗಗಳಿದ್ದರೂ, ಇಂದು ನಾವು ಅತ್ಯಂತ ಬಹಿರಂಗಪಡಿಸುವ ವಿಧಾನಗಳಲ್ಲಿ ಒಂದಾದ ಡೈನಾಮಿಕ್ ವಿಶ್ಲೇಷಣೆಯ ಬಗ್ಗೆ ಆಳವಾಗಿ ಪರಿಶೀಲಿಸುತ್ತಿದ್ದೇವೆ.

ಮಾಲ್ವೇರ್ ವಿಶ್ಲೇಷಣೆ ಎಂದರೇನು? ಒಂದು ತ್ವರಿತ ಪುನರಾವಲೋಕನ

ಮೂಲಭೂತವಾಗಿ, ಮಾಲ್ವೇರ್ ವಿಶ್ಲೇಷಣೆ ಎಂದರೆ ಮಾಲ್ವೇರ್ ಮಾದರಿಯ ಮೂಲ, ಕಾರ್ಯಕ್ಷಮತೆ ಮತ್ತು ಸಂಭಾವ್ಯ ಪ್ರಭಾವವನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು ಅದನ್ನು ಅಧ್ಯಯನ ಮಾಡುವ ಪ್ರಕ್ರಿಯೆ. ರಕ್ಷಣಾ ವ್ಯವಸ್ಥೆಯನ್ನು ಸುಧಾರಿಸಲು, ಘಟನೆಗಳಿಗೆ ಪ್ರತಿಕ್ರಿಯಿಸಲು ಮತ್ತು ಪೂರ್ವಭಾವಿಯಾಗಿ ಬೆದರಿಕೆಗಳನ್ನು ಹುಡುಕಲು ಬಳಸಬಹುದಾದ ಕಾರ್ಯಸಾಧ್ಯವಾದ ಗುಪ್ತಚರವನ್ನು ಉತ್ಪಾದಿಸುವುದು ಅಂತಿಮ ಗುರಿಯಾಗಿದೆ. ಈ ಪ್ರಕ್ರಿಯೆಯು ಸಾಮಾನ್ಯವಾಗಿ ಎರಡು ವಿಶಾಲ ವರ್ಗಗಳಾಗಿ ವಿಂಗಡಿಸಲ್ಪಟ್ಟಿದೆ:

• ಸ್ಟ್ಯಾಟಿಕ್ ವಿಶ್ಲೇಷಣೆ: ಮಾಲ್ವೇರ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸದೆ ಅದರ ಕೋಡ್ ಮತ್ತು ರಚನೆಯನ್ನು ಪರೀಕ್ಷಿಸುವುದು. ಇದು ಕಟ್ಟಡದ ವಿನ್ಯಾಸವನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು ಅದರ ನೀಲನಕ್ಷೆಯನ್ನು ಓದುವುದಕ್ಕೆ ಸಮಾನವಾಗಿದೆ.
• ಡೈನಾಮಿಕ್ ವಿಶ್ಲೇಷಣೆ: ಮಾಲ್ವೇರ್ ಅನ್ನು ಸುರಕ್ಷಿತ, ನಿಯಂತ್ರಿತ ಪರಿಸರದಲ್ಲಿ ಕಾರ್ಯಗತಗೊಳಿಸಿ ಅದರ ನಡವಳಿಕೆಯನ್ನು ನೈಜ ಸಮಯದಲ್ಲಿ ಗಮನಿಸುವುದು. ಇದು ಕಾರು ರಸ್ತೆಯಲ್ಲಿ ಹೇಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ ಎಂಬುದನ್ನು ನೋಡಲು ಅದನ್ನು ಟೆಸ್ಟ್-ಡ್ರೈವ್ ಮಾಡುವಂತಿದೆ.

ಸ್ಟ್ಯಾಟಿಕ್ ವಿಶ್ಲೇಷಣೆಯು ಮೂಲಭೂತ ತಿಳುವಳಿಕೆಯನ್ನು ಒದಗಿಸಿದರೂ, ಕೋಡ್ ಆಬ್ಫಸ್ಕೇಶನ್ (ಕೋಡನ್ನು ಗೊಂದಲಗೊಳಿಸುವುದು) ಮತ್ತು ಪ್ಯಾಕಿಂಗ್‌ನಂತಹ ತಂತ್ರಗಳಿಂದ ಅದನ್ನು ವಿಫಲಗೊಳಿಸಬಹುದು. ಇಲ್ಲಿಯೇ ಡೈನಾಮಿಕ್ ವಿಶ್ಲೇಷಣೆ ಹೊಳೆಯುತ್ತದೆ, ಮಾಲ್ವೇರ್ ಅನ್ನು ಬಿಡುಗಡೆ ಮಾಡಿದಾಗ ಅದು ನಿಜವಾಗಿ ಏನು ಮಾಡುತ್ತದೆ ಎಂಬುದನ್ನು ನೋಡಲು ನಮಗೆ ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ.

ಚಲನೆಯಲ್ಲಿರುವ ದುರುದ್ದೇಶವನ್ನು ಡಿಕೋಡ್ ಮಾಡುವುದು: ಡೈನಾಮಿಕ್ ವಿಶ್ಲೇಷಣೆಯನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುವುದು

ಡೈನಾಮಿಕ್ ಮಾಲ್ವೇರ್ ವಿಶ್ಲೇಷಣೆಯನ್ನು ಸಾಮಾನ್ಯವಾಗಿ ನಡವಳಿಕೆಯ ವಿಶ್ಲೇಷಣೆ ಎಂದೂ ಕರೆಯಲಾಗುತ್ತದೆ. ಇದು ಮಾಲ್ವೇರ್ ಚಾಲನೆಯಲ್ಲಿರುವಾಗ ಅದನ್ನು ಗಮನಿಸುವ ಕಲೆ ಮತ್ತು ವಿಜ್ಞಾನವಾಗಿದೆ. ಡಿಸ್ಅಸೆಂಬಲ್ ಮಾಡಿದ ಕೋಡ್‌ನ ಸಾಲುಗಳನ್ನು ಪರಿಶೀಲಿಸುವ ಬದಲು, ವಿಶ್ಲೇಷಕರು ಡಿಜಿಟಲ್ ಜೀವಶಾಸ್ತ್ರಜ್ಞರಾಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತಾರೆ, ಮಾದರಿಯನ್ನು ಪೆಟ್ರಿ ಡಿಶ್‌ನಲ್ಲಿ (ಸುರಕ್ಷಿತ ವರ್ಚುವಲ್ ಪರಿಸರ) ಇರಿಸಿ ಮತ್ತು ಅದರ ಕ್ರಿಯೆಗಳು ಮತ್ತು ಪರಸ್ಪರ ಕ್ರಿಯೆಗಳನ್ನು ಎಚ್ಚರಿಕೆಯಿಂದ ದಾಖಲಿಸುತ್ತಾರೆ. ಇದು ಈ ಕೆಳಗಿನ ನಿರ್ಣಾಯಕ ಪ್ರಶ್ನೆಗಳಿಗೆ ಉತ್ತರಿಸುತ್ತದೆ:

• ಇದು ಸಿಸ್ಟಮ್‌ನಲ್ಲಿ ಯಾವ ಫೈಲ್‌ಗಳನ್ನು ರಚಿಸುತ್ತದೆ ಅಥವಾ ಮಾರ್ಪಡಿಸುತ್ತದೆ?
• ರೀಬೂಟ್ ಆದ ನಂತರವೂ ಉಳಿಯಲು ಇದು ನಿರಂತರತೆಯನ್ನು ಸಾಧಿಸಲು ಪ್ರಯತ್ನಿಸುತ್ತದೆಯೇ?
• ಇದು ದೂರಸ್ಥ ಸರ್ವರ್‌ನೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸುತ್ತದೆಯೇ? ಹಾಗಿದ್ದರೆ, ಎಲ್ಲಿ ಮತ್ತು ಏಕೆ?
• ಇದು ಡೇಟಾ ಕದಿಯಲು, ಫೈಲ್‌ಗಳನ್ನು ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಅಥವಾ ಬ್ಯಾಕ್‌ಡೋರ್ ಸ್ಥಾಪಿಸಲು ಪ್ರಯತ್ನಿಸುತ್ತದೆಯೇ?
• ಇದು ಭದ್ರತಾ ಸಾಫ್ಟ್‌ವೇರ್ ಅನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲು ಪ್ರಯತ್ನಿಸುತ್ತದೆಯೇ?

ಸ್ಟ್ಯಾಟಿಕ್ vs. ಡೈನಾಮಿಕ್ ವಿಶ್ಲೇಷಣೆ: ಎರಡು ವಿಧಾನಗಳ ಕಥೆ

ಡೈನಾಮಿ-ಕ್ ವಿಶ್ಲೇಷಣೆಯನ್ನು ನಿಜವಾಗಿಯೂ ಪ್ರಶಂಸಿಸಲು, ಅದನ್ನು ಅದರ ಸ್ಟ್ಯಾಟಿಕ್ ಪ್ರತಿರೂಪದೊಂದಿಗೆ ನೇರವಾಗಿ ಹೋಲಿಸುವುದು ಸಹಾಯಕವಾಗಿದೆ. ಅವು ಪರಸ್ಪರ ಪ್ರತ್ಯೇಕವಲ್ಲ; ವಾಸ್ತವವಾಗಿ, ಅತ್ಯಂತ ಪರಿಣಾಮಕಾರಿ ವಿಶ್ಲೇಷಣೆಯು ಇವೆರಡರ ಸಂಯೋಜನೆಯನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ.

• ಸ್ಟ್ಯಾಟಿಕ್ ವಿಶ್ಲೇಷಣೆ
  • ಹೋಲಿಕೆ: ಅಡುಗೆಯ ಪಾಕವಿಧಾನವನ್ನು ಓದುವುದು. ನೀವು ಎಲ್ಲಾ ಪದಾರ್ಥಗಳನ್ನು ಮತ್ತು ಹಂತಗಳನ್ನು ನೋಡಬಹುದು, ಆದರೆ ಅಂತಿಮ ಖಾದ್ಯವು ಹೇಗೆ ರುಚಿ ನೋಡುತ್ತದೆ ಎಂದು ನಿಮಗೆ ತಿಳಿದಿರುವುದಿಲ್ಲ.
  • ಅನುಕೂಲಗಳು: ಕೋಡ್ ಅನ್ನು ಎಂದಿಗೂ ಕಾರ್ಯಗತಗೊಳಿಸದ ಕಾರಣ ಇದು ಸಹಜವಾಗಿ ಸುರಕ್ಷಿತವಾಗಿದೆ. ಇದು ಸಿದ್ಧಾಂತದಲ್ಲಿ, ಮಾಲ್ವೇರ್‌ನ ಎಲ್ಲಾ ಸಂಭಾವ್ಯ ಕಾರ್ಯಗತಗೊಳಿಸುವ ಮಾರ್ಗಗಳನ್ನು ಬಹಿರಂಗಪಡಿಸಬಹುದು, ಕೇವಲ ಒಂದೇ ಚಾಲನೆಯ ಸಮಯದಲ್ಲಿ ಗಮನಿಸಿದ ಮಾರ್ಗವನ್ನು ಮಾತ್ರವಲ್ಲ.
  • ಅನಾನುಕೂಲಗಳು: ಇದು ಅತ್ಯಂತ ಸಮಯ ತೆಗೆದುಕೊಳ್ಳುತ್ತದೆ ಮತ್ತು ಅಸೆಂಬ್ಲಿ ಭಾಷೆ ಮತ್ತು ರಿವರ್ಸ್ ಇಂಜಿನಿಯರಿಂಗ್‌ನಲ್ಲಿ ಆಳವಾದ ಪರಿಣತಿಯ ಅಗತ್ಯವಿರುತ್ತದೆ. ಹೆಚ್ಚು ಮುಖ್ಯವಾಗಿ, ಬೆದರಿಕೆಕಾರರು ಉದ್ದೇಶಪೂರ್ವಕವಾಗಿ ಪ್ಯಾಕರ್‌ಗಳು ಮತ್ತು ಆಬ್ಫಸ್ಕೇಟರ್‌ಗಳನ್ನು ಬಳಸಿ ಕೋಡ್ ಅನ್ನು ಓದಲಾಗದಂತೆ ಮಾಡುತ್ತಾರೆ, ಇದರಿಂದಾಗಿ ಮೂಲಭೂತ ಸ್ಟ್ಯಾಟಿಕ್ ವಿಶ್ಲೇಷಣೆಯು ನಿಷ್ಪರಿಣಾಮಕಾರಿಯಾಗುತ್ತದೆ.
• ಡೈನಾಮಿಕ್ ವಿಶ್ಲೇಷಣೆ
  • ಹೋಲಿಕೆ: ಪಾಕವಿಧಾನವನ್ನು ಅಡುಗೆ ಮಾಡಿ ಅದನ್ನು ಸವಿಯುವುದು. ನೀವು ಅದರ ನೇರ ಪರಿಣಾಮಗಳನ್ನು ಅನುಭವಿಸುತ್ತೀರಿ, ಆದರೆ ಈ ಬಾರಿ ಬಳಸದ ಐಚ್ಛಿಕ ಪದಾರ್ಥವನ್ನು ನೀವು ಕಳೆದುಕೊಳ್ಳಬಹುದು.
  • ಅನುಕೂಲಗಳು: ಇದು ಮಾಲ್ವೇರ್‌ನ ನಿಜವಾದ ನಡವಳಿಕೆಯನ್ನು ಬಹಿರಂಗಪಡಿಸುತ್ತದೆ, ಚಲಾಯಿಸಲು ಮೆಮೊರಿಯಲ್ಲಿ ಕೋಡ್ ಅನ್ನು ಡಿ-ಆಬ್ಫಸ್ಕೇಟ್ ಮಾಡಬೇಕಾಗಿರುವುದರಿಂದ ಸರಳ ಆಬ್ಫಸ್ಕೇಶನ್ ಅನ್ನು ಬೈಪಾಸ್ ಮಾಡುತ್ತದೆ. ಪ್ರಮುಖ ಕಾರ್ಯಗಳನ್ನು ಗುರುತಿಸಲು ಮತ್ತು ತಕ್ಷಣವೇ ಉಪಯುಕ್ತವಾದ ಕಾಂಪ್ರಮೈಸ್ ಸೂಚಕಗಳನ್ನು (Indicators of Compromise - IOCs) ಉತ್ಪಾದಿಸಲು ಇದು ಸಾಮಾನ್ಯವಾಗಿ ವೇಗವಾಗಿರುತ್ತದೆ.
  • ಅನಾನುಕೂಲಗಳು: ವಿಶ್ಲೇಷಣಾ ಪರಿಸರವು ಸಂಪೂರ್ಣವಾಗಿ ಪ್ರತ್ಯೇಕವಾಗಿರದಿದ್ದರೆ ಇದು ಸಹಜ ಅಪಾಯವನ್ನು ಹೊಂದಿರುತ್ತದೆ. ಇದಲ್ಲದೆ, ಸುಧಾರಿತ ಮಾಲ್ವೇರ್ ತಾನು ಸ್ಯಾಂಡ್‌ಬಾಕ್ಸ್ ಅಥವಾ ವರ್ಚುವಲ್ ಯಂತ್ರದಲ್ಲಿ ವಿಶ್ಲೇಷಿಸಲ್ಪಡುತ್ತಿರುವುದನ್ನು ಪತ್ತೆಹಚ್ಚಿ ತನ್ನ ನಡವಳಿಕೆಯನ್ನು ಬದಲಾಯಿಸಬಹುದು ಅಥವಾ ಚಾಲನೆಯಾಗಲು ನಿರಾಕರಿಸಬಹುದು. ಇದು ನಿರ್ದಿಷ್ಟ ಚಾಲನೆಯ ಸಮಯದಲ್ಲಿ ತೆಗೆದುಕೊಂಡ ಕಾರ್ಯಗತಗೊಳಿಸುವ ಮಾರ್ಗವನ್ನು ಮಾತ್ರ ಬಹಿರಂಗಪಡಿಸುತ್ತದೆ; ಮಾಲ್ವೇರ್ ಪ್ರಚೋದಿಸದ ಇತರ ಸಾಮರ್ಥ್ಯಗಳನ್ನು ಹೊಂದಿರಬಹುದು.

ಡೈನಾಮಿಕ್ ವಿಶ್ಲೇಷಣೆಯ ಗುರಿಗಳು

ವಿಶ್ಲೇಷಕರು ಡೈನಾಮಿಕ್ ವಿಶ್ಲೇಷಣೆಯನ್ನು ನಡೆಸಿದಾಗ, ಅವರು ನಿರ್ದಿಷ್ಟ ಗುಪ್ತಚರವನ್ನು ಸಂಗ್ರಹಿಸುವ ಕಾರ್ಯಾಚರಣೆಯಲ್ಲಿರುತ್ತಾರೆ. ಪ್ರಾಥಮಿಕ ಉದ್ದೇಶಗಳು ಹೀಗಿವೆ:

• ಕಾಂಪ್ರಮೈಸ್ ಸೂಚಕಗಳನ್ನು (IOCs) ಗುರುತಿಸುವುದು: ಇದು ಅತ್ಯಂತ ತಕ್ಷಣದ ಗುರಿಯಾಗಿದೆ. IOC ಗಳು ಮಾಲ್ವೇರ್ ಬಿಟ್ಟುಹೋಗುವ ಡಿಜಿಟಲ್ ಹೆಜ್ಜೆಗುರುತುಗಳಾಗಿವೆ, ಉದಾಹರಣೆಗೆ ಫೈಲ್ ಹ್ಯಾಶ್‌ಗಳು (MD5, SHA-256), ಕಮಾಂಡ್-ಅಂಡ್-ಕಂಟ್ರೋಲ್ (C2) ಸರ್ವರ್‌ಗಳ ಐಪಿ ವಿಳಾಸಗಳು ಅಥವಾ ಡೊಮೇನ್‌ಗಳು, ನಿರಂತರತೆಗಾಗಿ ಬಳಸುವ ರಿಜಿಸ್ಟ್ರಿ ಕೀಗಳು, ಅಥವಾ ನಿರ್ದಿಷ್ಟ ಮ್ಯೂಟೆಕ್ಸ್ ಹೆಸರುಗಳು.
• ಕಾರ್ಯ ಮತ್ತು ಉದ್ದೇಶವನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುವುದು: ಇದು ಫೈಲ್‌ಗಳನ್ನು ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾದ ರಾನ್‌ಸಮ್‌ವೇರ್ ಆಗಿದೆಯೇ? ಇದು ಕ್ರೆಡೆನ್ಷಿಯಲ್‌ಗಳನ್ನು ಕದಿಯಲು ಉದ್ದೇಶಿಸಿರುವ ಬ್ಯಾಂಕಿಂಗ್ ಟ್ರೋಜನ್ ಆಗಿದೆಯೇ? ಇದು ದಾಳಿಕೋರನಿಗೆ ರಿಮೋಟ್ ಕಂಟ್ರೋಲ್ ನೀಡುವ ಬ್ಯಾಕ್‌ಡೋರ್ ಆಗಿದೆಯೇ? ಇದು ಹೆಚ್ಚು ಪ್ರಬಲವಾದ ಎರಡನೇ ಹಂತದ ಪೇಲೋಡ್ ಅನ್ನು ತರುವುದಷ್ಟೇ ಕೆಲಸವಾಗಿರುವ ಸರಳ ಡೌನ್‌ಲೋಡರ್ ಆಗಿದೆಯೇ?
• ವ್ಯಾಪ್ತಿ ಮತ್ತು ಪ್ರಭಾವವನ್ನು ನಿರ್ಧರಿಸುವುದು: ಅದರ ನಡವಳಿಕೆಯನ್ನು ಗಮನಿಸುವುದರ ಮೂಲಕ, ವಿಶ್ಲೇಷಕರು ಸಂಭಾವ್ಯ ಹಾನಿಯನ್ನು ನಿರ್ಣಯಿಸಬಹುದು. ಇದು ನೆಟ್‌ವರ್ಕ್‌ನಾದ್ಯಂತ ಹರಡುತ್ತದೆಯೇ? ಇದು ಸೂಕ್ಷ್ಮ ದಾಖಲೆಗಳನ್ನು ಹೊರತೆಗೆಯುತ್ತದೆಯೇ? ಇದನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುವುದು ಘಟನೆ ಪ್ರತಿಕ್ರಿಯೆ ಪ್ರಯತ್ನಗಳಿಗೆ ಆದ್ಯತೆ ನೀಡಲು ಸಹಾಯ ಮಾಡುತ್ತದೆ.
• ಪತ್ತೆ ನಿಯಮಗಳಿಗಾಗಿ ಗುಪ್ತಚರ ಸಂಗ್ರಹಿಸುವುದು: ಗಮನಿಸಿದ ನಡವಳಿಕೆಗಳು ಮತ್ತು ಕಲಾಕೃತಿಗಳನ್ನು ಭದ್ರತಾ ಉಪಕರಣಗಳಿಗೆ ದೃಢವಾದ ಪತ್ತೆ ಸಹಿಗಳನ್ನು ರಚಿಸಲು ಬಳಸಬಹುದು. ಇದು ನೆಟ್‌ವರ್ಕ್-ಆಧಾರಿತ ನಿಯಮಗಳನ್ನು (ಉದಾ., Snort ಅಥವಾ Suricata ಗಾಗಿ) ಮತ್ತು ಹೋಸ್ಟ್-ಆಧಾರಿತ ನಿಯಮಗಳನ್ನು (ಉದಾ., YARA) ಒಳಗೊಂಡಿದೆ.
• ಕಾನ್ಫಿಗರೇಶನ್ ಡೇಟಾವನ್ನು ಹೊರತೆಗೆಯುವುದು: ಅನೇಕ ಮಾಲ್ವೇರ್ ಕುಟುಂಬಗಳು C2 ಸರ್ವರ್ ವಿಳಾಸಗಳು, ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಕೀಗಳು, ಅಥವಾ ಪ್ರಚಾರ ಗುರುತಿಸುವಿಕೆಗಳನ್ನು ಒಳಗೊಂಡಂತೆ ಎಂಬೆಡೆಡ್ ಕಾನ್ಫಿಗರೇಶನ್ ಡೇಟಾವನ್ನು ಹೊಂದಿರುತ್ತವೆ. ಡೈನಾಮಿಕ್ ವಿಶ್ಲೇಷಣೆಯು ಮಾಲ್ವೇರ್ ಅನ್ನು ಈ ಡೇಟಾವನ್ನು ಮೆಮೊರಿಯಲ್ಲಿ ಡಿಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಮತ್ತು ಬಳಸಲು ಪ್ರೇರೇಪಿಸುತ್ತದೆ, ಅಲ್ಲಿ ಅದನ್ನು ವಿಶ್ಲೇಷಕರು ಸೆರೆಹಿಡಿಯಬಹುದು.

ನಿಮ್ಮ ಕೋಟೆಯನ್ನು ನಿರ್ಮಿಸುವುದು: ಸುರಕ್ಷಿತ ವಿಶ್ಲೇಷಣಾ ಪರಿಸರವನ್ನು ಸ್ಥಾಪಿಸುವುದು

ಎಚ್ಚರಿಕೆ: ಇದು ಪ್ರಕ್ರಿಯೆಯ ಅತ್ಯಂತ ನಿರ್ಣಾಯಕ ಭಾಗವಾಗಿದೆ. ನಿಮ್ಮ ವೈಯಕ್ತಿಕ ಅಥವಾ ಕಾರ್ಪೊರೇಟ್ ಯಂತ್ರದಲ್ಲಿ ಅನುಮಾನಾಸ್ಪದ ಫೈಲ್ ಅನ್ನು ಎಂದಿಗೂ ಚಲಾಯಿಸಬೇಡಿ. ಡೈನಾಮಿಕ್ ವಿಶ್ಲೇಷಣೆಯ ಸಂಪೂರ್ಣ ಆಧಾರವು ಸಂಪೂರ್ಣವಾಗಿ ಪ್ರತ್ಯೇಕವಾದ ಮತ್ತು ನಿಯಂತ್ರಿತ ಪ್ರಯೋಗಾಲಯ ಪರಿಸರವನ್ನು ರಚಿಸುವುದರ ಮೇಲೆ ನಿಂತಿದೆ, ಇದನ್ನು ಸಾಮಾನ್ಯವಾಗಿ ಸ್ಯಾಂಡ್‌ಬಾಕ್ಸ್ ಎಂದು ಕರೆಯಲಾಗುತ್ತದೆ. ಮಾಲ್ವೇರ್ ಈ ನಿಯಂತ್ರಿತ ಸ್ಥಳದೊಳಗೆ ಕಾಡು ಓಡಲು ಬಿಡುವುದು ಮತ್ತು ಅದು ತಪ್ಪಿಸಿಕೊಂಡು ನೈಜ-ಪ್ರಪಂಚದ ಹಾನಿಯನ್ನುಂಟುಮಾಡುವ ಯಾವುದೇ ಅಪಾಯವಿಲ್ಲದೆ ಇರುವುದು ಇದರ ಗುರಿಯಾಗಿದೆ.

ಪ್ರಯೋಗಾಲಯದ ಹೃದಯ: ವರ್ಚುವಲ್ ಮೆಷಿನ್ (VM)

ವರ್ಚುವಲೈಸೇಶನ್ ಮಾಲ್ವೇರ್ ವಿಶ್ಲೇಷಣಾ ಪ್ರಯೋಗಾಲಯದ ಮೂಲಾಧಾರವಾಗಿದೆ. ವರ್ಚುವಲ್ ಮೆಷಿನ್ (VM) ಒಂದು ಸಂಪೂರ್ಣವಾಗಿ ಅನುಕರಿಸಿದ ಕಂಪ್ಯೂಟರ್ ವ್ಯವಸ್ಥೆಯಾಗಿದ್ದು, ಅದು ನಿಮ್ಮ ಭೌತಿಕ ಯಂತ್ರದ (ಹೋಸ್ಟ್) ಮೇಲೆ ಚಲಿಸುತ್ತದೆ. Oracle VM VirtualBox (ಉಚಿತ) ಅಥವಾ VMware Workstation Player/Pro ನಂತಹ ಸಾಫ್ಟ್‌ವೇರ್‌ಗಳು ಉದ್ಯಮದ ಮಾನದಂಡಗಳಾಗಿವೆ.

VM ಅನ್ನು ಏಕೆ ಬಳಸಬೇಕು?

• ಪ್ರತ್ಯೇಕತೆ: VM ಹೋಸ್ಟ್ ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಮ್‌ನಿಂದ ಸ್ಯಾಂಡ್‌ಬಾಕ್ಸ್ ಆಗಿದೆ. ಮಾಲ್ವೇರ್ VM ನ ಸಂಪೂರ್ಣ C: ಡ್ರೈವ್ ಅನ್ನು ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಿದರೆ, ನಿಮ್ಮ ಹೋಸ್ಟ್ ಯಂತ್ರವು ಅтронутым ಆಗಿ ಉಳಿಯುತ್ತದೆ.
• ಹಿಂತಿರುಗಿಸುವಿಕೆ: VM ಗಳ ಅತ್ಯಂತ ಶಕ್ತಿಯುತ ವೈಶಿಷ್ಟ್ಯವೆಂದರೆ 'ಸ್ನ್ಯಾಪ್‌ಶಾಟ್‌ಗಳನ್ನು' ತೆಗೆದುಕೊಳ್ಳುವ ಸಾಮರ್ಥ್ಯ. ಸ್ನ್ಯಾಪ್‌ಶಾಟ್ ಒಂದು ನಿರ್ದಿಷ್ಟ ಕ್ಷಣದಲ್ಲಿ VM ನ ನಿಖರವಾದ ಸ್ಥಿತಿಯನ್ನು ಸೆರೆಹಿಡಿಯುತ್ತದೆ. ಪ್ರಮಾಣಿತ ಕಾರ್ಯವಿಧಾನವೆಂದರೆ: ಶುದ್ಧ VM ಅನ್ನು ಸ್ಥಾಪಿಸಿ, ಸ್ನ್ಯಾಪ್‌ಶಾಟ್ ತೆಗೆದುಕೊಳ್ಳಿ, ಮಾಲ್ವೇರ್ ಅನ್ನು ಚಲಾಯಿಸಿ, ಮತ್ತು ವಿಶ್ಲೇಷಣೆಯ ನಂತರ, VM ಅನ್ನು ಶುದ್ಧ ಸ್ನ್ಯಾಪ್‌ಶಾಟ್‌ಗೆ ಹಿಂತಿರುಗಿಸಿ. ಈ ಪ್ರಕ್ರಿಯೆಯು ಸೆಕೆಂಡುಗಳನ್ನು ತೆಗೆದುಕೊಳ್ಳುತ್ತದೆ ಮತ್ತು ಪ್ರತಿ ಹೊಸ ಮಾದರಿಗೆ ನೀವು ತಾಜಾ, ಕಳಂಕರಹಿತ ಪರಿಸರವನ್ನು ಹೊಂದಿರುವಿರೆಂದು ಖಚಿತಪಡಿಸುತ್ತದೆ.

ನಿಮ್ಮ ವಿಶ್ಲೇಷಣಾ VM ಅನ್ನು ಮಾಲ್ವೇರ್‌ಗೆ 'ಮನೆಯಲ್ಲಿದ್ದಂತೆ' ಭಾಸವಾಗುವಂತೆ ಮಾಡಲು ವಿಶಿಷ್ಟ ಕಾರ್ಪೊರೇಟ್ ಪರಿಸರವನ್ನು ಅನುಕರಿಸುವಂತೆ ಕಾನ್ಫಿಗರ್ ಮಾಡಬೇಕು. ಇದು ಮೈಕ್ರೋಸಾಫ್ಟ್ ಆಫೀಸ್, ಅಡೋಬ್ ರೀಡರ್, ಮತ್ತು ವೆಬ್ ಬ್ರೌಸರ್‌ನಂತಹ ಸಾಮಾನ್ಯ ಸಾಫ್ಟ್‌ವೇರ್‌ಗಳನ್ನು ಸ್ಥಾಪಿಸುವುದನ್ನು ಒಳಗೊಂಡಿದೆ.

ನೆಟ್‌ವರ್ಕ್ ಪ್ರತ್ಯೇಕತೆ: ಡಿಜಿಟಲ್ ಏರ್‌ವೇವ್ಸ್ ಅನ್ನು ನಿಯಂತ್ರಿಸುವುದು

VM ನ ನೆಟ್‌ವರ್ಕ್ ಸಂಪರ್ಕವನ್ನು ನಿಯಂತ್ರಿಸುವುದು ನಿರ್ಣಾಯಕ. ನೀವು ಅದರ ನೆಟ್‌ವರ್ಕ್ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಗಮನಿಸಲು ಬಯಸುತ್ತೀರಿ, ಆದರೆ ಅದು ನಿಮ್ಮ ಸ್ಥಳೀಯ ನೆಟ್‌ವರ್ಕ್‌ನಲ್ಲಿನ ಇತರ ಯಂತ್ರಗಳ ಮೇಲೆ ಯಶಸ್ವಿಯಾಗಿ ದಾಳಿ ಮಾಡುವುದನ್ನು ಅಥವಾ ದೂರಸ್ಥ ದಾಳಿಕೋರನಿಗೆ ಎಚ್ಚರಿಕೆ ನೀಡುವುದನ್ನು ನೀವು ಬಯಸುವುದಿಲ್ಲ. ನೆಟ್‌ವರ್ಕ್ ಕಾನ್ಫಿಗರೇಶನ್‌ನ ಹಲವಾರು ಹಂತಗಳಿವೆ:

• ಸಂಪೂರ್ಣವಾಗಿ ಪ್ರತ್ಯೇಕಗೊಂಡ (ಹೋಸ್ಟ್-ಮಾತ್ರ): VM ಕೇವಲ ಹೋಸ್ಟ್ ಯಂತ್ರದೊಂದಿಗೆ ಮಾತ್ರ ಸಂವಹನ ನಡೆಸಬಲ್ಲದು ಮತ್ತು ಬೇರೇನೂ ಇಲ್ಲ. ಇದು ಅತ್ಯಂತ ಸುರಕ್ಷಿತ ಆಯ್ಕೆಯಾಗಿದೆ ಮತ್ತು ತನ್ನ ಮುಖ್ಯ ನಡವಳಿಕೆಯನ್ನು ಪ್ರದರ್ಶಿಸಲು ಇಂಟರ್ನೆಟ್ ಸಂಪರ್ಕದ ಅಗತ್ಯವಿಲ್ಲದ ಮಾಲ್ವೇರ್ ಅನ್ನು ವಿಶ್ಲೇಷಿಸಲು ಉಪಯುಕ್ತವಾಗಿದೆ (ಉದಾ., ಸರಳ ಫೈಲ್-ಎನ್‌ಕ್ರಿಪ್ಟಿಂಗ್ ರಾನ್‌ಸಮ್‌ವೇರ್).
• ಅನುಕರಿಸಿದ ಇಂಟರ್ನೆಟ್ (ಆಂತರಿಕ ನೆಟ್‌ವರ್ಕಿಂಗ್): ಹೆಚ್ಚು ಸುಧಾರಿತ ಸೆಟಪ್ ಆಂತರಿಕ-ಮಾತ್ರ ನೆಟ್‌ವರ್ಕ್‌ನಲ್ಲಿ ಎರಡು VM ಗಳನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ. ಮೊದಲನೆಯದು ನಿಮ್ಮ ವಿಶ್ಲೇಷಣಾ VM. ಎರಡನೇ VM ನಕಲಿ ಇಂಟರ್ನೆಟ್ ಆಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ, INetSim ನಂತಹ ಸಾಧನಗಳನ್ನು ಚಲಾಯಿಸುತ್ತದೆ. INetSim HTTP/S, DNS, ಮತ್ತು FTP ನಂತಹ ಸಾಮಾನ್ಯ ಸೇವೆಗಳನ್ನು ಅನುಕರಿಸುತ್ತದೆ. ಮಾಲ್ವೇರ್ `www.evil-c2-server.com` ಅನ್ನು ಪರಿಹರಿಸಲು ಪ್ರಯತ್ನಿಸಿದಾಗ, ನಿಮ್ಮ ನಕಲಿ DNS ಸರ್ವರ್ ಪ್ರತಿಕ್ರಿಯಿಸಬಹುದು. ಅದು ಫೈಲ್ ಡೌನ್‌ಲೋಡ್ ಮಾಡಲು ಪ್ರಯತ್ನಿಸಿದಾಗ, ನಿಮ್ಮ ನಕಲಿ HTTP ಸರ್ವರ್ ಒಂದನ್ನು ಒದಗಿಸಬಹುದು. ಇದು ಮಾಲ್ವೇರ್ ನಿಜವಾದ ಇಂಟರ್ನೆಟ್ ಅನ್ನು ಮುಟ್ಟದೆಯೇ ನೆಟ್‌ವರ್ಕ್ ವಿನಂತಿಗಳನ್ನು ಗಮನಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.
• ನಿಯಂತ್ರಿತ ಇಂಟರ್ನೆಟ್ ಪ್ರವೇಶ: ಅತ್ಯಂತ ಅಪಾಯಕಾರಿ ಆಯ್ಕೆ. ಇಲ್ಲಿ, ನೀವು VM ಗೆ ನಿಜವಾದ ಇಂಟರ್ನೆಟ್ ಅನ್ನು ಪ್ರವೇಶಿಸಲು ಅನುಮತಿಸುತ್ತೀರಿ, ಸಾಮಾನ್ಯವಾಗಿ VPN ಅಥವಾ ಸಂಪೂರ್ಣವಾಗಿ ಪ್ರತ್ಯೇಕ ಭೌತಿಕ ನೆಟ್‌ವರ್ಕ್ ಸಂಪರ್ಕದ ಮೂಲಕ. ತನ್ನ ದುರುದ್ದೇಶಪೂರಿತ ಪೇಲೋಡ್ ಅನ್ನು ಚಲಾಯಿಸುವ ಮೊದಲು ತನಗೆ ನಿಜವಾದ ಇಂಟರ್ನೆಟ್ ಸಂಪರ್ಕವಿದೆ ಎಂದು ಪರಿಶೀಲಿಸಲು ತಂತ್ರಗಳನ್ನು ಬಳಸುವ ಸುಧಾರಿತ ಮಾಲ್ವೇರ್‌ಗೆ ಇದು ಕೆಲವೊಮ್ಮೆ ಅವಶ್ಯಕ. ಇದನ್ನು ಅಪಾಯಗಳನ್ನು ಸಂಪೂರ್ಣವಾಗಿ ಅರ್ಥಮಾಡಿಕೊಂಡ ಅನುಭವಿ ವಿಶ್ಲೇಷಕರು ಮಾತ್ರ ಮಾಡಬೇಕು.

ವಿಶ್ಲೇಷಕರ ಟೂಲ್‌ಕಿಟ್: ಅಗತ್ಯ ಸಾಫ್ಟ್‌ವೇರ್

ನಿಮ್ಮ 'ಶುದ್ಧ' ಸ್ನ್ಯಾಪ್‌ಶಾಟ್ ತೆಗೆದುಕೊಳ್ಳುವ ಮೊದಲು, ನಿಮ್ಮ ವಿಶ್ಲೇಷಣಾ VM ಅನ್ನು ಸರಿಯಾದ ಸಾಧನಗಳೊಂದಿಗೆ ಸಜ್ಜುಗೊಳಿಸಬೇಕು. ಈ ಟೂಲ್‌ಕಿಟ್ ವಿಶ್ಲೇಷಣೆಯ ಸಮಯದಲ್ಲಿ ನಿಮ್ಮ ಕಣ್ಣು ಮತ್ತು ಕಿವಿಗಳಾಗಿರುತ್ತದೆ.

• ಪ್ರಕ್ರಿಯೆ ಮೇಲ್ವಿಚಾರಣೆ: Sysinternals ಸೂಟ್‌ನಿಂದ Process Monitor (ProcMon) ಮತ್ತು Process Hacker/Explorer ಪ್ರಕ್ರಿಯೆ ರಚನೆ, ಫೈಲ್ I/O, ಮತ್ತು ರಿಜಿಸ್ಟ್ರಿ ಚಟುವಟಿಕೆಯನ್ನು ವೀಕ್ಷಿಸಲು ಅನಿವಾರ್ಯವಾಗಿವೆ.
• ಸಿಸ್ಟಮ್ ಸ್ಥಿತಿ ಹೋಲಿಕೆ: Regshot ನಿಮ್ಮ ರಿಜಿಸ್ಟ್ರಿ ಮತ್ತು ಫೈಲ್ ಸಿಸ್ಟಮ್‌ನ 'ಮೊದಲು' ಮತ್ತು 'ನಂತರ' ಸ್ನ್ಯಾಪ್‌ಶಾಟ್ ತೆಗೆದುಕೊಂಡು, ಪ್ರತಿ ಬದಲಾವಣೆಯನ್ನು ಹೈಲೈಟ್ ಮಾಡುವ ಒಂದು ಸರಳ ಆದರೆ ಪರಿಣಾಮಕಾರಿ ಸಾಧನವಾಗಿದೆ.
• ನೆಟ್‌ವರ್ಕ್ ಟ್ರಾಫಿಕ್ ವಿಶ್ಲೇಷಣೆ: Wireshark ಕಚ್ಚಾ ನೆಟ್‌ವರ್ಕ್ ಪ್ಯಾಕೆಟ್‌ಗಳನ್ನು ಸೆರೆಹಿಡಿಯಲು ಮತ್ತು ವಿಶ್ಲೇಷಿಸಲು ಜಾಗತಿಕ ಮಾನದಂಡವಾಗಿದೆ. ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ HTTP/S ಟ್ರಾಫಿಕ್‌ಗಾಗಿ, ಮ್ಯಾನ್-ಇನ್-ದ-ಮಿಡಲ್ ತಪಾಸಣೆ ನಡೆಸಲು Fiddler ಅಥವಾ mitmproxy ಅನ್ನು ಬಳಸಬಹುದು.
• ಡೀಬಗರ್‌ಗಳು ಮತ್ತು ಡಿಸ್ಅಸೆಂಬ್ಲರ್‌ಗಳು: ಆಳವಾದ ವಿಶ್ಲೇಷಣೆಗಾಗಿ, x64dbg, OllyDbg, ಅಥವಾ IDA Pro ನಂತಹ ಸಾಧನಗಳನ್ನು ಬಳಸಲಾಗುತ್ತದೆ, ಆದರೂ ಇವುಗಳು ಸಾಮಾನ್ಯವಾಗಿ ಡೈನಾಮಿಕ್ ಮತ್ತು ಸ್ಟ್ಯಾಟಿಕ್ ವಿಶ್ಲೇಷಣೆಯ ನಡುವಿನ ಅಂತರವನ್ನು ಕಡಿಮೆ ಮಾಡುತ್ತವೆ.

ಬೇಟೆ ಪ್ರಾರಂಭ: ಡೈನಾಮಿಕ್ ವಿಶ್ಲೇಷಣೆಗೆ ಹಂತ-ಹಂತದ ಮಾರ್ಗದರ್ಶಿ

ನಿಮ್ಮ ಸುರಕ್ಷಿತ ಪ್ರಯೋಗಾಲಯ ಸಿದ್ಧವಾದ ನಂತರ, ವಿಶ್ಲೇಷಣೆಯನ್ನು ಪ್ರಾರಂಭಿಸುವ ಸಮಯ. ಈ ಪ್ರಕ್ರಿಯೆಯು ಕ್ರಮಬದ್ಧವಾಗಿದೆ ಮತ್ತು ಎಚ್ಚರಿಕೆಯ ದಾಖಲಾತಿ ಅಗತ್ಯವಿರುತ್ತದೆ.

ಹಂತ 1: ಸಿದ್ಧತೆ ಮತ್ತು ಬೇಸ್‌ಲೈನ್

1. ಶುದ್ಧ ಸ್ನ್ಯಾಪ್‌ಶಾಟ್‌ಗೆ ಹಿಂತಿರುಗಿ: ಯಾವಾಗಲೂ ತಿಳಿದಿರುವ-ಉತ್ತಮ ಸ್ಥಿತಿಯಿಂದ ಪ್ರಾರಂಭಿಸಿ. ನಿಮ್ಮ VM ಅನ್ನು ನೀವು ಸ್ಥಾಪಿಸಿದ ನಂತರ ತೆಗೆದುಕೊಂಡ ಶುದ್ಧ ಸ್ನ್ಯಾಪ್‌ಶಾಟ್‌ಗೆ ಹಿಂತಿರುಗಿಸಿ.
2. ಬೇಸ್‌ಲೈನ್ ಕ್ಯಾಪ್ಚರ್ ಪ್ರಾರಂಭಿಸಿ: Regshot ನಂತಹ ಸಾಧನವನ್ನು ಪ್ರಾರಂಭಿಸಿ ಮತ್ತು '1st shot' ತೆಗೆದುಕೊಳ್ಳಿ. ಇದು ನಿಮ್ಮ ಫೈಲ್ ಸಿಸ್ಟಮ್ ಮತ್ತು ರಿಜಿಸ್ಟ್ರಿಯ ಬೇಸ್‌ಲೈನ್ ಅನ್ನು ರಚಿಸುತ್ತದೆ.
3. ಮೇಲ್ವಿಚಾರಣಾ ಸಾಧನಗಳನ್ನು ಪ್ರಾರಂಭಿಸಿ: Process Monitor ಮತ್ತು Wireshark ತೆರೆದು ಈವೆಂಟ್‌ಗಳನ್ನು ಸೆರೆಹಿಡಿಯಲು ಪ್ರಾರಂಭಿಸಿ. ಇನ್ನೂ-ಕಾರ್ಯಗತಗೊಳ್ಳದ ಮಾಲ್ವೇರ್ ಪ್ರಕ್ರಿಯೆಯ ಮೇಲೆ ಗಮನ ಕೇಂದ್ರೀಕರಿಸಲು ProcMon ನಲ್ಲಿ ನಿಮ್ಮ ಫಿಲ್ಟರ್‌ಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ, ಆದರೆ ಅದು ಇತರ ಪ್ರಕ್ರಿಯೆಗಳಿಗೆ ಸ್ಪಾನ್ ಅಥವಾ ಇಂಜೆಕ್ಟ್ ಮಾಡಿದರೆ ಅವುಗಳನ್ನು ತೆರವುಗೊಳಿಸಲು ಸಿದ್ಧರಾಗಿರಿ.
4. ಮಾದರಿಯನ್ನು ವರ್ಗಾಯಿಸಿ: ಮಾಲ್ವೇರ್ ಮಾದರಿಯನ್ನು ಸುರಕ್ಷಿತವಾಗಿ VM ಗೆ ವರ್ಗಾಯಿಸಿ. ಹಂಚಿದ ಫೋಲ್ಡರ್ (ಇದನ್ನು ತಕ್ಷಣವೇ ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಬೇಕು) ಅಥವಾ ಸರಳ ಡ್ರ್ಯಾಗ್-ಅಂಡ್-ಡ್ರಾಪ್ ಸಾಮಾನ್ಯವಾಗಿದೆ.

ಹಂತ 2: ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆ ಮತ್ತು ವೀಕ್ಷಣೆ

ಇದು ಸತ್ಯದ ಕ್ಷಣ. ಫೈಲ್ ಪ್ರಕಾರವನ್ನು ಅವಲಂಬಿಸಿ, ಮಾಲ್ವೇರ್ ಮಾದರಿಯನ್ನು ಡಬಲ್-ಕ್ಲಿಕ್ ಮಾಡಿ ಅಥವಾ ಕಮಾಂಡ್ ಲೈನ್‌ನಿಂದ ಕಾರ್ಯಗತಗೊಳಿಸಿ. ನಿಮ್ಮ ಕೆಲಸ ಈಗ ನಿಷ್ಕ್ರಿಯ ಆದರೆ ಜಾಗರೂಕ ವೀಕ್ಷಕರಾಗಿರುವುದು. ಮಾಲ್ವೇರ್ ತನ್ನ ಕೆಲಸವನ್ನು ಮಾಡಲು ಬಿಡಿ. ಕೆಲವೊಮ್ಮೆ ಅದರ ಕ್ರಿಯೆಗಳು ತಕ್ಷಣವೇ ಇರುತ್ತವೆ; ಇತರ ಸಮಯಗಳಲ್ಲಿ, ಅದರಲ್ಲಿ ಸ್ಲೀಪ್ ಟೈಮರ್ ಇರಬಹುದು ಮತ್ತು ನೀವು ಕಾಯಬೇಕಾಗುತ್ತದೆ. ಅಗತ್ಯವಿದ್ದರೆ ಸಿಸ್ಟಮ್‌ನೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸಿ (ಉದಾ., ಅದು ಉತ್ಪಾದಿಸುವ ನಕಲಿ ದೋಷ ಸಂದೇಶದ ಮೇಲೆ ಕ್ಲಿಕ್ ಮಾಡುವುದು) ಹೆಚ್ಚಿನ ನಡವಳಿಕೆಯನ್ನು ಪ್ರಚೋದಿಸಲು.

ಹಂತ 3: ಪ್ರಮುಖ ನಡವಳಿಕೆಯ ಸೂಚಕಗಳ ಮೇಲ್ವಿಚಾರಣೆ

ಇದು ವಿಶ್ಲೇಷಣೆಯ ತಿರುಳು, ಇಲ್ಲಿ ನೀವು ನಿಮ್ಮ ಎಲ್ಲಾ ಮೇಲ್ವಿಚಾರಣಾ ಸಾಧನಗಳಿಂದ ಡೇಟಾವನ್ನು ಪರಸ್ಪರ ಸಂಬಂಧಿಸಿ ಮಾಲ್ವೇರ್‌ನ ಚಟುವಟಿಕೆಯ ಚಿತ್ರವನ್ನು ನಿರ್ಮಿಸುತ್ತೀರಿ. ನೀವು ಹಲವಾರು ಡೊಮೇನ್‌ಗಳಲ್ಲಿ ನಿರ್ದಿಷ್ಟ ಮಾದರಿಗಳನ್ನು ಹುಡುಕುತ್ತಿರುತ್ತೀರಿ.

1. ಪ್ರಕ್ರಿಯೆ ಚಟುವಟಿಕೆ

Process Monitor ಮತ್ತು Process Hacker ಬಳಸಿ ಉತ್ತರಿಸಿ:

• ಪ್ರಕ್ರಿಯೆ ರಚನೆ: ಮಾಲ್ವೇರ್ ಹೊಸ ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ಪ್ರಾರಂಭಿಸಿದೆಯೇ? ದುರುದ್ದೇಶಪೂರಿತ ಕ್ರಿಯೆಗಳನ್ನು ನಿರ್ವಹಿಸಲು ಇದು ಕಾನೂನುಬದ್ಧ ವಿಂಡೋಸ್ ಯುಟಿಲಿಟಿಗಳನ್ನು (`powershell.exe`, `schtasks.exe`, ಅಥವಾ `bitsadmin.exe` ನಂತಹ) ಪ್ರಾರಂಭಿಸಿದೆಯೇ? ಇದನ್ನು ಲಿವಿಂಗ್ ಆಫ್ ದಿ ಲ್ಯಾಂಡ್ (LotL) ಎಂದು ಕರೆಯಲಾಗುವ ಒಂದು ಸಾಮಾನ್ಯ ತಂತ್ರವಾಗಿದೆ.
• ಪ್ರಕ್ರಿಯೆ ಇಂಜೆಕ್ಷನ್: ಮೂಲ ಪ್ರಕ್ರಿಯೆಯು ಕೊನೆಗೊಂಡು `explorer.exe` ಅಥವಾ `svchost.exe` ನಂತಹ ಕಾನೂನುಬದ್ಧ ಪ್ರಕ್ರಿಯೆಯಲ್ಲಿ 'ಕಣ್ಮರೆಯಾಯಿತೇ'? ಇದು ಒಂದು ಶ್ರೇಷ್ಠ ತಪ್ಪಿಸಿಕೊಳ್ಳುವ ತಂತ್ರವಾಗಿದೆ. Process Hacker ಇಂಜೆಕ್ಟ್ ಮಾಡಿದ ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ಗುರುತಿಸಲು ಸಹಾಯ ಮಾಡುತ್ತದೆ.
• ಮ್ಯೂಟೆಕ್ಸ್ ರಚನೆ: ಮಾಲ್ವೇರ್ ಮ್ಯೂಟೆಕ್ಸ್ ಆಬ್ಜೆಕ್ಟ್ ಅನ್ನು ರಚಿಸುತ್ತದೆಯೇ? ಮಾಲ್ವೇರ್ ಸಾಮಾನ್ಯವಾಗಿ ಒಂದು ಸಿಸ್ಟಮ್‌ನಲ್ಲಿ ತನ್ನ ಒಂದೇ ಒಂದು ಇನ್‌ಸ್ಟೆನ್ಸ್ ಮಾತ್ರ ಚಾಲನೆಯಲ್ಲಿದೆ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಇದನ್ನು ಮಾಡುತ್ತದೆ. ಮ್ಯೂಟೆಕ್ಸ್‌ನ ಹೆಸರು ಅತ್ಯಂತ ವಿಶ್ವಾಸಾರ್ಹ IOC ಆಗಿರಬಹುದು.

2. ಫೈಲ್ ಸಿಸ್ಟಮ್ ಮಾರ್ಪಾಡುಗಳು

ProcMon ಮತ್ತು ನಿಮ್ಮ Regshot ಹೋಲಿಕೆಯನ್ನು ಬಳಸಿ ಉತ್ತರಿಸಿ:

• ಫೈಲ್ ರಚನೆ (ಡ್ರಾಪಿಂಗ್): ಮಾಲ್ವೇರ್ ಹೊಸ ಫೈಲ್‌ಗಳನ್ನು ರಚಿಸಿದೆಯೇ? ಅವುಗಳ ಹೆಸರುಗಳು ಮತ್ತು ಸ್ಥಳಗಳನ್ನು ಗಮನಿಸಿ (ಉದಾ., `C:\Users\\AppData\Local\Temp`, `C:\ProgramData`). ಈ ಡ್ರಾಪ್ ಮಾಡಿದ ಫೈಲ್‌ಗಳು ತನ್ನದೇ ಪ್ರತಿಗಳು, ದ್ವಿತೀಯ ಪೇಲೋಡ್‌ಗಳು, ಅಥವಾ ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್‌ಗಳಾಗಿರಬಹುದು. ಅವುಗಳ ಫೈಲ್ ಹ್ಯಾಶ್‌ಗಳನ್ನು ಲೆಕ್ಕಾಚಾರ ಮಾಡಲು ಮರೆಯದಿರಿ.
• ಫೈಲ್ ಅಳಿಸುವಿಕೆ: ಮಾಲ್ವೇರ್ ಯಾವುದೇ ಫೈಲ್‌ಗಳನ್ನು ಅಳಿಸಿದೆಯೇ? ಇದು ತನ್ನ ಕುರುಹುಗಳನ್ನು ಮುಚ್ಚಲು ಭದ್ರತಾ ಸಾಧನ ಲಾಗ್‌ಗಳನ್ನು ಅಥವಾ ಮೂಲ ಮಾದರಿಯನ್ನೇ ಅಳಿಸಲು ಪ್ರಯತ್ನಿಸಬಹುದು (ಆಂಟಿ-ಫೊರೆನ್ಸಿಕ್ಸ್).
• ಫೈಲ್ ಮಾರ್ಪಾಡು: ಇದು ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ ಯಾವುದೇ ಸಿಸ್ಟಮ್ ಅಥವಾ ಬಳಕೆದಾರ ಫೈಲ್‌ಗಳನ್ನು ಬದಲಾಯಿಸಿದೆಯೇ? ರಾನ್‌ಸಮ್‌ವೇರ್ ಒಂದು ಪ್ರಮುಖ ಉದಾಹರಣೆಯಾಗಿದೆ, ಏಕೆಂದರೆ ಇದು ವ್ಯವಸ್ಥಿತವಾಗಿ ಬಳಕೆದಾರರ ದಾಖಲೆಗಳನ್ನು ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡುತ್ತದೆ.

3. ರಿಜಿಸ್ಟ್ರಿ ಬದಲಾವಣೆಗಳು

ವಿಂಡೋಸ್ ರಿಜಿಸ್ಟ್ರಿ ಮಾಲ್ವೇರ್‌ಗೆ ಆಗಾಗ್ಗೆ ಗುರಿಯಾಗಿದೆ. ProcMon ಮತ್ತು Regshot ಬಳಸಿ ಇವುಗಳಿಗಾಗಿ ನೋಡಿ:

• ನಿರಂತರತೆಯ ಕಾರ್ಯವಿಧಾನಗಳು: ಇದು ಪ್ರಮುಖ ಆದ್ಯತೆಯಾಗಿದೆ. ಮಾಲ್ವೇರ್ ರೀಬೂಟ್ ಅನ್ನು ಹೇಗೆ ಎದುರಿಸುತ್ತದೆ? `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` ಅಥವಾ `HKLM\Software\Microsoft\Windows\CurrentVersion\Run` ನಂತಹ ಸಾಮಾನ್ಯ ಆಟೋರನ್ ಸ್ಥಳಗಳಲ್ಲಿ ಹೊಸ ನಮೂದುಗಳನ್ನು ನೋಡಿ. ಇದು ಹೊಸ ಸೇವೆ ಅಥವಾ ನಿಗದಿತ ಕಾರ್ಯವನ್ನು ಸಹ ರಚಿಸಬಹುದು.
• ಕಾನ್ಫಿಗರೇಶನ್ ಸಂಗ್ರಹಣೆ: ಮಾಲ್ವೇರ್ ತನ್ನ ಕಾನ್ಫಿಗರೇಶನ್ ಡೇಟಾವನ್ನು, ಉದಾಹರಣೆಗೆ C2 ವಿಳಾಸಗಳು ಅಥವಾ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಕೀಗಳನ್ನು, ರಿಜಿಸ್ಟ್ರಿಯೊಳಗೆ ಸಂಗ್ರಹಿಸಬಹುದು.
• ಭದ್ರತಾ ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸುವುದು: ವಿಂಡೋಸ್ ಡಿಫೆಂಡರ್ ಅಥವಾ ಬಳಕೆದಾರ ಖಾತೆ ನಿಯಂತ್ರಣ (UAC) ಸೆಟ್ಟಿಂಗ್‌ಗಳಿಗೆ ಮಾಡಿದ ಮಾರ್ಪಾಡುಗಳಂತಹ, ಸಿಸ್ಟಮ್‌ನ ರಕ್ಷಣೆಯನ್ನು ದುರ್ಬಲಗೊಳಿಸಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾದ ಬದಲಾವಣೆಗಳನ್ನು ನೋಡಿ.

4. ನೆಟ್‌ವರ್ಕ್ ಸಂವಹನಗಳು

Wireshark ನಲ್ಲಿ, ನಿಮ್ಮ VM ನಿಂದ ಬರುವ ಟ್ರಾಫಿಕ್‌ಗಾಗಿ ಫಿಲ್ಟರ್ ಮಾಡಿ. ನಿಮ್ಮನ್ನು ಕೇಳಿಕೊಳ್ಳಿ:

• DNS ಪ್ರಶ್ನೆಗಳು: ಮಾಲ್ವೇರ್ ಯಾವ ಡೊಮೇನ್ ಹೆಸರುಗಳನ್ನು ಪರಿಹರಿಸಲು ಪ್ರಯತ್ನಿಸುತ್ತಿದೆ? ಸಂಪರ್ಕ ವಿಫಲವಾದರೂ, ಪ್ರಶ್ನೆಯೇ ಒಂದು ಪ್ರಬಲ IOC ಆಗಿದೆ.
• C2 ಬೀಕನಿಂಗ್: ಇದು ಕಮಾಂಡ್ ಮತ್ತು ಕಂಟ್ರೋಲ್ (C2) ಸರ್ವರ್‌ಗೆ 'ಕಾಲ್ ಹೋಮ್' ಮಾಡಲು ಪ್ರಯತ್ನಿಸುತ್ತದೆಯೇ? IP ವಿಳಾಸ, ಪೋರ್ಟ್ ಮತ್ತು ಪ್ರೋಟೋಕಾಲ್ (HTTP, HTTPS, ಅಥವಾ ಕಸ್ಟಮ್ TCP/UDP ಪ್ರೋಟೋಕಾಲ್) ಅನ್ನು ಗಮನಿಸಿ.
• ಡೇಟಾ ಎಕ್ಸ್‌ಫಿಲ್ಟ್ರೇಶನ್: ನೀವು ದೊಡ್ಡ ಪ್ರಮಾಣದ ಡೇಟಾ ಹೊರಗೆ ಕಳುಹಿಸುವುದನ್ನು ನೋಡುತ್ತಿದ್ದೀರಾ? ಇದು ಡೇಟಾ ಕಳ್ಳತನವನ್ನು ಸೂಚಿಸಬಹುದು. ಎನ್‌ಕೋಡ್ ಮಾಡಿದ ಡೇಟಾವನ್ನು ಒಳಗೊಂಡಿರುವ HTTP POST ವಿನಂತಿಯು ಒಂದು ಸಾಮಾನ್ಯ ಮಾದರಿಯಾಗಿದೆ.
• ಪೇಲೋಡ್‌ಗಳನ್ನು ಡೌನ್‌ಲೋಡ್ ಮಾಡುವುದು: ಇದು ಹೆಚ್ಚುವರಿ ಫೈಲ್‌ಗಳನ್ನು ಡೌನ್‌ಲೋಡ್ ಮಾಡಲು ಪ್ರಯತ್ನಿಸುತ್ತಿದೆಯೇ? URL ಒಂದು ಮೌಲ್ಯಯುತ IOC ಆಗಿದೆ. INetSim ನೊಂದಿಗೆ ನಿಮ್ಮ ಅನುಕರಿಸಿದ ಪರಿಸರದಲ್ಲಿ, ನೀವು GET ವಿನಂತಿಯನ್ನು ನೋಡಬಹುದು ಮತ್ತು ಅದು ಏನನ್ನು ತರಲು ಪ್ರಯತ್ನಿಸುತ್ತಿತ್ತು ಎಂದು ವಿಶ್ಲೇಷಿಸಬಹುದು.

ಹಂತ 4: ಕಾರ್ಯಗತಗೊಳಿಸಿದ ನಂತರದ ವಿಶ್ಲೇಷಣೆ ಮತ್ತು ಸ್ವಚ್ಛಗೊಳಿಸುವಿಕೆ

1. ಸೆರೆಹಿಡಿಯುವಿಕೆಯನ್ನು ನಿಲ್ಲಿಸಿ: ಮಾಲ್ವೇರ್ ತನ್ನ ಪ್ರಾಥಮಿಕ ಚಟುವಟಿಕೆಗಳನ್ನು ಮುಗಿಸಿದೆ ಎಂದು ನಿಮಗೆ ಅನಿಸಿದ ನಂತರ, ProcMon ಮತ್ತು Wireshark ನಲ್ಲಿ ಸೆರೆಹಿಡಿಯುವಿಕೆಯನ್ನು ನಿಲ್ಲಿಸಿ.
2. ಅಂತಿಮ ಸ್ನ್ಯಾಪ್‌ಶಾಟ್ ತೆಗೆದುಕೊಳ್ಳಿ: Regshot ನಲ್ಲಿ '2nd shot' ತೆಗೆದುಕೊಂಡು ಹೋಲಿಕೆಯನ್ನು ಚಲಾಯಿಸಿ ಎಲ್ಲಾ ಫೈಲ್ ಸಿಸ್ಟಮ್ ಮತ್ತು ರಿಜಿಸ್ಟ್ರಿ ಬದಲಾವಣೆಗಳ ಅಚ್ಚುಕಟ್ಟಾದ ವರದಿಯನ್ನು ರಚಿಸಿ.
3. ವಿಶ್ಲೇಷಿಸಿ ಮತ್ತು ದಾಖಲಿಸಿ: ನಿಮ್ಮ ಎಲ್ಲಾ ಸಾಧನಗಳಿಂದ ಲಾಗ್‌ಗಳನ್ನು ಉಳಿಸಿ. ಈವೆಂಟ್‌ಗಳನ್ನು ಪರಸ್ಪರ ಸಂಬಂಧಿಸಿ ಮತ್ತು ಮಾಲ್ವೇರ್‌ನ ಕ್ರಿಯೆಗಳ ಟೈಮ್‌ಲೈನ್ ಅನ್ನು ನಿರ್ಮಿಸಿ. ಪತ್ತೆಯಾದ ಎಲ್ಲಾ IOC ಗಳನ್ನು ದಾಖಲಿಸಿ.
4. VM ಅನ್ನು ಹಿಂತಿರುಗಿಸಿ: ಇದು ಚರ್ಚೆಗೆ ಅವಕಾಶವಿಲ್ಲದ ವಿಷಯ. ನಿಮ್ಮ ಡೇಟಾವನ್ನು ಸುರಕ್ಷಿತವಾಗಿ ರಫ್ತು ಮಾಡಿದ ನಂತರ, VM ಅನ್ನು ಅದರ ಶುದ್ಧ ಸ್ನ್ಯಾಪ್‌ಶಾಟ್‌ಗೆ ಹಿಂತಿರುಗಿಸಿ. ಸೋಂಕಿತ VM ಅನ್ನು ಮರುಬಳಕೆ ಮಾಡಬೇಡಿ.

ಬೆಕ್ಕು ಮತ್ತು ಇಲಿಯ ಆಟ: ಮಾಲ್ವೇರ್ ತಪ್ಪಿಸಿಕೊಳ್ಳುವ ತಂತ್ರಗಳನ್ನು ಮೀರುವುದು

ಮಾಲ್ವೇರ್ ಲೇಖಕರು ಮುಗ್ಧರಲ್ಲ. ಅವರಿಗೆ ಡೈನಾಮಿಕ್ ವಿಶ್ಲೇಷಣೆಯ ಬಗ್ಗೆ ತಿಳಿದಿದೆ ಮತ್ತು ಅದನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಮತ್ತು ತಪ್ಪಿಸಿಕೊಳ್ಳಲು ಸಕ್ರಿಯವಾಗಿ ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು ನಿರ್ಮಿಸುತ್ತಾರೆ. ವಿಶ್ಲೇಷಕರ ಕೆಲಸದ ಒಂದು ಮಹತ್ವದ ಭಾಗವೆಂದರೆ ಈ ತಂತ್ರಗಳನ್ನು ಗುರುತಿಸುವುದು ಮತ್ತು ಬೈಪಾಸ್ ಮಾಡುವುದು.

ಆಂಟಿ-ಸ್ಯಾಂಡ್‌ಬಾಕ್ಸ್ ಮತ್ತು ಆಂಟಿ-ವಿಎಂ ಪತ್ತೆ

ಮಾಲ್ವೇರ್ ತಾನು ವರ್ಚುವಲೈಸ್ಡ್ ಅಥವಾ ಸ್ವಯಂಚಾಲಿತ ಪರಿಸರದಲ್ಲಿ ಚಾಲನೆಯಾಗುತ್ತಿದೆಯೇ ಎಂಬುದರ ಚಿಹ್ನೆಗಳನ್ನು ಪರಿಶೀಲಿಸಬಹುದು. ಸಾಮಾನ್ಯ ಪರಿಶೀಲನೆಗಳು ಹೀಗಿವೆ:

• VM ಕಲಾಕೃತಿಗಳು: VM-ನಿರ್ದಿಷ್ಟ ಫೈಲ್‌ಗಳನ್ನು (`vmtoolsd.exe`), ಡಿವೈಸ್ ಡ್ರೈವರ್‌ಗಳನ್ನು, ರಿಜಿಸ್ಟ್ರಿ ಕೀಗಳನ್ನು (`HKLM\HARDWARE\Description\System\SystemBiosVersion` 'VMWARE' ಅಥವಾ 'VBOX' ಅನ್ನು ಒಳಗೊಂಡಿರುವುದು), ಅಥವಾ VMware/VirtualBox ಗೆ ಸೇರಿದ MAC ವಿಳಾಸಗಳನ್ನು ಹುಡುಕುವುದು.
• ಬಳಕೆದಾರರ ಚಟುವಟಿಕೆಯ ಕೊರತೆ: ಇತ್ತೀಚಿನ ದಾಖಲೆಗಳು, ಬ್ರೌಸರ್ ಇತಿಹಾಸ, ಅಥವಾ ಮೌಸ್ ಚಲನೆಯನ್ನು ಪರಿಶೀಲಿಸುವುದು. ಸ್ವಯಂಚಾಲಿತ ಸ್ಯಾಂಡ್‌ಬಾಕ್ಸ್ ಇವುಗಳನ್ನು ಮನವರಿಕೆಯಾಗುವಂತೆ ಅನುಕರಿಸದಿರಬಹುದು.
• ಸಿಸ್ಟಮ್ ವಿಶೇಷಣಗಳು: ಅಸಾಮಾನ್ಯವಾಗಿ ಕಡಿಮೆ CPU ಎಣಿಕೆಗಳು, ಕಡಿಮೆ RAM, ಅಥವಾ ಸಣ್ಣ ಡಿಸ್ಕ್ ಗಾತ್ರಗಳನ್ನು ಪರಿಶೀಲಿಸುವುದು, ಇದು ಡೀಫಾಲ್ಟ್ VM ಸೆಟಪ್‌ನ ಲಕ್ಷಣವಾಗಿರಬಹುದು.

ವಿಶ್ಲೇಷಕರ ಪ್ರತಿಕ್ರಿಯೆ: ನಿಮ್ಮ VM ಅನ್ನು ನಿಜವಾದ ಬಳಕೆದಾರರ ಯಂತ್ರದಂತೆ ಕಾಣುವಂತೆ ಗಟ್ಟಿಗೊಳಿಸಿ. ಇದನ್ನು 'ಆಂಟಿ-ಆಂಟಿ-ವಿಎಂ' ಅಥವಾ 'ಆಂಟಿ-ಆಂಟಿ-ಸ್ಯಾಂಡ್‌ಬಾಕ್ಸ್' ಎಂದು ಕರೆಯಲಾಗುತ್ತದೆ, ಇದರಲ್ಲಿ VM ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ಮರುನಾಮಕರಣ ಮಾಡುವುದು, ಸುಳಿವು ನೀಡುವ ರಿಜಿಸ್ಟ್ರಿ ಕೀಗಳನ್ನು ಸ್ವಚ್ಛಗೊಳಿಸುವುದು ಮತ್ತು ಬಳಕೆದಾರರ ಚಟುವಟಿಕೆಯನ್ನು ಅನುಕರಿಸಲು ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳನ್ನು ಬಳಸುವುದು ಸೇರಿದೆ.

ಆಂಟಿ-ಡೀಬಗಿಂಗ್

ಮಾಲ್ವೇರ್ ತನ್ನ ಪ್ರಕ್ರಿಯೆಗೆ ಡೀಬಗರ್ ಅಂಟಿಕೊಂಡಿರುವುದನ್ನು ಪತ್ತೆಹಚ್ಚಿದರೆ, ಅದು ತಕ್ಷಣವೇ ನಿರ್ಗಮಿಸಬಹುದು ಅಥವಾ ವಿಶ್ಲೇಷಕರನ್ನು ದಾರಿತಪ್ಪಿಸಲು ತನ್ನ ನಡವಳಿಕೆಯನ್ನು ಬದಲಾಯಿಸಬಹುದು. ಇದು `IsDebuggerPresent()` ನಂತಹ ವಿಂಡೋಸ್ API ಕರೆಗಳನ್ನು ಅಥವಾ ಡೀಬಗರ್‌ನ ಉಪಸ್ಥಿತಿಯನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಹೆಚ್ಚು ಸುಧಾರಿತ ತಂತ್ರಗಳನ್ನು ಬಳಸಬಹುದು.

ವಿಶ್ಲೇಷಕರ ಪ್ರತಿಕ್ರಿಯೆ: ಮಾಲ್ವೇರ್‌ನಿಂದ ತಮ್ಮ ಉಪಸ್ಥಿತಿಯನ್ನು ಮರೆಮಾಡಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾದ ಡೀಬಗರ್ ಪ್ಲಗಿನ್‌ಗಳು ಅಥವಾ ಮಾರ್ಪಡಿಸಿದ ಡೀಬಗರ್‌ಗಳನ್ನು ಬಳಸಿ.

ಸಮಯ-ಆಧಾರಿತ ತಪ್ಪಿಸಿಕೊಳ್ಳುವಿಕೆ

ಅನೇಕ ಸ್ವಯಂಚಾಲಿತ ಸ್ಯಾಂಡ್‌ಬಾಕ್ಸ್‌ಗಳು ಸೀಮಿತ ಚಾಲನಾ ಸಮಯವನ್ನು ಹೊಂದಿರುತ್ತವೆ (ಉದಾ., 5-10 ನಿಮಿಷಗಳು). ಮಾಲ್ವೇರ್ ತನ್ನ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವ ಮೊದಲು 15 ನಿಮಿಷಗಳ ಕಾಲ ನಿದ್ರಿಸುವ ಮೂಲಕ ಇದನ್ನು ಬಳಸಿಕೊಳ್ಳಬಹುದು. ಅದು ಎಚ್ಚರಗೊಳ್ಳುವ ಹೊತ್ತಿಗೆ, ಸ್ವಯಂಚಾಲಿತ ವಿಶ್ಲೇಷಣೆ ಮುಗಿದಿರುತ್ತದೆ.

ವಿಶ್ಲೇಷಕರ ಪ್ರತಿಕ್ರಿಯೆ: ಹಸ್ತಚಾಲಿತ ವಿಶ್ಲೇಷಣೆಯ ಸಮಯದಲ್ಲಿ, ನೀವು ಸರಳವಾಗಿ ಕಾಯಬಹುದು. ನೀವು ಸ್ಲೀಪ್ ಕರೆಯನ್ನು ಅನುಮಾನಿಸಿದರೆ, ಸ್ಲೀಪ್ ಫಂಕ್ಷನ್ ಅನ್ನು ಹುಡುಕಲು ಡೀಬಗರ್ ಬಳಸಿ ಮತ್ತು ತಕ್ಷಣವೇ ಹಿಂತಿರುಗಲು ಅದನ್ನು ಪ್ಯಾಚ್ ಮಾಡಬಹುದು, ಅಥವಾ ಸಮಯವನ್ನು ವೇಗವಾಗಿ ಮುಂದಕ್ಕೆ ಸಾಗಿಸಲು VM ನ ಸಿಸ್ಟಮ್ ಗಡಿಯಾರವನ್ನು ಕುಶಲತೆಯಿಂದ ನಿರ್ವಹಿಸಲು ಸಾಧನಗಳನ್ನು ಬಳಸಬಹುದು.

ಪ್ರಯತ್ನವನ್ನು ಅಳೆಯುವುದು: ಹಸ್ತಚಾಲಿತ vs. ಸ್ವಯಂಚಾಲಿತ ಡೈನಾಮಿಕ್ ವಿಶ್ಲೇಷಣೆ

ಮೇಲೆ ವಿವರಿಸಿದ ಹಸ್ತಚಾಲಿತ ಪ್ರಕ್ರಿಯೆಯು ನಂಬಲಾಗದ ಆಳವನ್ನು ಒದಗಿಸುತ್ತದೆ, ಆದರೆ ದಿನಕ್ಕೆ ನೂರಾರು ಅನುಮಾನಾಸ್ಪದ ಫೈಲ್‌ಗಳೊಂದಿಗೆ ವ್ಯವಹರಿಸುವಾಗ ಇದು ಸ್ಕೇಲೆಬಲ್ ಅಲ್ಲ. ಇಲ್ಲಿಯೇ ಸ್ವಯಂಚಾಲಿತ ಸ್ಯಾಂಡ್‌ಬಾಕ್ಸ್‌ಗಳು ಬರುತ್ತವೆ.

ಸ್ವಯಂಚಾಲಿತ ಸ್ಯಾಂಡ್‌ಬಾಕ್ಸ್‌ಗಳು: ಅಳತೆಯ ಶಕ್ತಿ

ಸ್ವಯಂಚಾಲಿತ ಸ್ಯಾಂಡ್‌ಬಾಕ್ಸ್‌ಗಳು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಒಂದು ಫೈಲ್ ಅನ್ನು ಉಪಕರಣಯುಕ್ತ ಪರಿಸರದಲ್ಲಿ ಕಾರ್ಯಗತಗೊಳಿಸುವ, ನಾವು ಚರ್ಚಿಸಿದ ಎಲ್ಲಾ ಮೇಲ್ವಿಚಾರಣಾ ಹಂತಗಳನ್ನು ನಿರ್ವಹಿಸುವ ಮತ್ತು ಸಮಗ್ರ ವರದಿಯನ್ನು ಉತ್ಪಾದಿಸುವ ವ್ಯವಸ್ಥೆಗಳಾಗಿವೆ. ಜನಪ್ರಿಯ ಉದಾಹರಣೆಗಳು ಹೀಗಿವೆ:

• ಓಪನ್ ಸೋರ್ಸ್: Cuckoo Sandbox ಅತ್ಯಂತ ಪ್ರಸಿದ್ಧ ಓಪನ್-ಸೋರ್ಸ್ ಪರಿಹಾರವಾಗಿದೆ, ಆದರೂ ಇದನ್ನು ಸ್ಥಾಪಿಸಲು ಮತ್ತು ನಿರ್ವಹಿಸಲು ಗಮನಾರ್ಹ ಪ್ರಯತ್ನದ ಅಗತ್ಯವಿದೆ.
• ವಾಣಿಜ್ಯ/ಕ್ಲೌಡ್: ANY.RUN (ಇದು ಸಂವಾದಾತ್ಮಕ ವಿಶ್ಲೇಷಣೆಯನ್ನು ನೀಡುತ್ತದೆ), Hybrid Analysis, Joe Sandbox, ಮತ್ತು VMRay Analyzer ನಂತಹ ಸೇವೆಗಳು ಶಕ್ತಿಯುತ, ಬಳಸಲು ಸುಲಭವಾದ ವೇದಿಕೆಗಳನ್ನು ಒದಗಿಸುತ್ತವೆ.

ಅನುಕೂಲಗಳು: ದೊಡ್ಡ ಪ್ರಮಾಣದ ಮಾದರಿಗಳನ್ನು ವಿಂಗಡಿಸಲು, ತ್ವರಿತ ತೀರ್ಪು ಮತ್ತು IOC ಗಳ ಸಮೃದ್ಧ ವರದಿಯನ್ನು ಒದಗಿಸಲು ಅವು ನಂಬಲಾಗದಷ್ಟು ವೇಗವಾಗಿ ಮತ್ತು ಸಮರ್ಥವಾಗಿವೆ.

ಅನಾನುಕೂಲಗಳು: ಮೇಲೆ ತಿಳಿಸಿದ ತಪ್ಪಿಸಿಕೊಳ್ಳುವ ತಂತ್ರಗಳಿಗೆ ಅವು ಪ್ರಮುಖ ಗುರಿಯಾಗಿವೆ. ಒಂದು ಅತ್ಯಾಧುನಿಕ ಮಾಲ್ವೇರ್ ಸ್ವಯಂಚಾಲಿತ ಪರಿಸರವನ್ನು ಪತ್ತೆಹಚ್ಚಿ ಸೌಮ್ಯ ನಡವಳಿಕೆಯನ್ನು ತೋರಿಸಬಹುದು, ಇದು ತಪ್ಪು ನಕಾರಾತ್ಮಕತೆಗೆ ಕಾರಣವಾಗುತ್ತದೆ.

ಹಸ್ತಚಾಲಿತ ವಿಶ್ಲೇಷಣೆ: ವಿಶ್ಲೇಷಕರ ಸ್ಪರ್ಶ

ಇದು ನಾವು ಗಮನಹರಿಸಿದ ವಿವರವಾದ, ಪ್ರಾಯೋಗಿಕ ಪ್ರಕ್ರಿಯೆಯಾಗಿದೆ. ಇದು ವಿಶ್ಲೇಷಕರ ಪರಿಣತಿ ಮತ್ತು ಅಂತಃಪ್ರಜ್ಞೆಯಿಂದ ನಡೆಸಲ್ಪಡುತ್ತದೆ.

ಅನುಕೂಲಗಳು: ಇದು ವಿಶ್ಲೇಷಣೆಯ ಅತ್ಯುತ್ತಮ ಆಳವನ್ನು ನೀಡುತ್ತದೆ. ಒಬ್ಬ ನುರಿತ ವಿಶ್ಲೇಷಕನು ಸ್ವಯಂಚಾಲಿತ ವ್ಯವಸ್ಥೆಯನ್ನು ಮೋಸಗೊಳಿಸುವ ತಪ್ಪಿಸಿಕೊಳ್ಳುವ ತಂತ್ರಗಳನ್ನು ಗುರುತಿಸಬಹುದು ಮತ್ತು ತಪ್ಪಿಸಬಹುದು.

ಅನಾನುಕೂಲಗಳು: ಇದು ಅತ್ಯಂತ ಸಮಯ ತೆಗೆದುಕೊಳ್ಳುತ್ತದೆ ಮತ್ತು ಸ್ಕೇಲ್ ಆಗುವುದಿಲ್ಲ. ಇದನ್ನು ಹೆಚ್ಚಿನ-ಆದ್ಯತೆಯ ಮಾದರಿಗಳಿಗೆ ಅಥವಾ ಸ್ವಯಂಚಾಲಿತ ವಿಶ್ಲೇಷಣೆ ವಿಫಲವಾದಾಗ ಅಥವಾ ಸಾಕಷ್ಟು ವಿವರಗಳನ್ನು ಒದಗಿಸದಿದ್ದಾಗ ಉತ್ತಮವಾಗಿ ಮೀಸಲಿಡಲಾಗಿದೆ.

ಆಧುನಿಕ ಭದ್ರತಾ ಕಾರ್ಯಾಚರಣೆ ಕೇಂದ್ರದಲ್ಲಿ (SOC) ಉತ್ತಮ ವಿಧಾನವೆಂದರೆ ಶ್ರೇಣೀಕೃತ ವಿಧಾನ: ಎಲ್ಲಾ ಮಾದರಿಗಳ ಆರಂಭಿಕ ವಿಂಗಡಣೆಗಾಗಿ ಯಾಂತ್ರೀಕರಣವನ್ನು ಬಳಸಿ, ಮತ್ತು ಅತ್ಯಂತ ಆಸಕ್ತಿದಾಯಕ, ತಪ್ಪಿಸಿಕೊಳ್ಳುವ, ಅಥವಾ ನಿರ್ಣಾಯಕ ಮಾದರಿಗಳನ್ನು ಹಸ್ತಚಾಲಿತ ಆಳವಾದ ವಿಶ್ಲೇಷಣೆಗಾಗಿ ಹೆಚ್ಚಿಸಿ.

ಎಲ್ಲವನ್ನೂ ಒಟ್ಟಿಗೆ ತರುವುದು: ಆಧುನಿಕ ಸೈಬರ್‌ ಸುರಕ್ಷತೆಯಲ್ಲಿ ಡೈನಾಮಿಕ್ ವಿಶ್ಲೇಷಣೆಯ ಪಾತ್ರ

ಡೈನಾಮಿಕ್ ವಿಶ್ಲೇಷಣೆಯು ಕೇವಲ ಒಂದು ಶೈಕ್ಷಣಿಕ ವ್ಯಾಯಾಮವಲ್ಲ; ಇದು ಆಧುನಿಕ ರಕ್ಷಣಾತ್ಮಕ ಮತ್ತು ಆಕ್ರಮಣಕಾರಿ ಸೈಬರ್‌ ಸುರಕ್ಷತೆಯ ಮೂಲಭೂತ ಸ್ತಂಭವಾಗಿದೆ. ಮಾಲ್ವೇರ್ ಅನ್ನು ಸುರಕ್ಷಿತವಾಗಿ ಸ್ಫೋಟಿಸಿ ಮತ್ತು ಅದರ ನಡವಳಿಕೆಯನ್ನು ಗಮನಿಸುವುದರ ಮೂಲಕ, ನಾವು ಒಂದು ನಿಗೂಢ ಬೆದರಿಕೆಯನ್ನು ತಿಳಿದಿರುವ ಪ್ರಮಾಣವಾಗಿ ಪರಿವರ್ತಿಸುತ್ತೇವೆ. ನಾವು ಹೊರತೆಗೆಯುವ IOC ಗಳನ್ನು ಭವಿಷ್ಯದ ದಾಳಿಗಳನ್ನು ತಡೆಯಲು ನೇರವಾಗಿ ಫೈರ್‌ವಾಲ್‌ಗಳು, ಒಳನುಗ್ಗುವಿಕೆ ಪತ್ತೆ ವ್ಯವಸ್ಥೆಗಳು ಮತ್ತು ಎಂಡ್‌ಪಾಯಿಂಟ್ ಸಂರಕ್ಷಣಾ ವೇದಿಕೆಗಳಿಗೆ ನೀಡಲಾಗುತ್ತದೆ. ನಾವು ಉತ್ಪಾದಿಸುವ ನಡವಳಿಕೆಯ ವರದಿಗಳು ಘಟನೆ ಪ್ರತಿಕ್ರಿಯೆಕಾರರಿಗೆ ಮಾಹಿತಿ ನೀಡುತ್ತವೆ, ಇದರಿಂದ ಅವರು ತಮ್ಮ ನೆಟ್‌ವರ್ಕ್‌ಗಳಿಂದ ಬೆದರಿಕೆಗಳನ್ನು ಪರಿಣಾಮಕಾರಿಯಾಗಿ ಬೇಟೆಯಾಡಲು ಮತ್ತು ನಿರ್ಮೂಲನೆ ಮಾಡಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ.

ಪರಿಸರವು ನಿರಂತರವಾಗಿ ಬದಲಾಗುತ್ತಿದೆ. ಮಾಲ್ವೇರ್ ಹೆಚ್ಚು ತಪ್ಪಿಸಿಕೊಳ್ಳುವಂತಾದಂತೆ, ನಮ್ಮ ವಿಶ್ಲೇಷಣಾ ತಂತ್ರಗಳು ಅದರೊಂದಿಗೆ ವಿಕಸನಗೊಳ್ಳಬೇಕು. ನೀವು ಮಹತ್ವಾಕಾಂಕ್ಷಿ SOC ವಿಶ್ಲೇಷಕರಾಗಿರಲಿ, ಅನುಭವಿ ಘಟನೆ ಪ್ರತಿಕ್ರಿಯೆಕಾರರಾಗಿರಲಿ, ಅಥವಾ ಸಮರ್ಪಿತ ಬೆದರಿಕೆ ಸಂಶೋಧಕರಾಗಿರಲಿ, ಡೈನಾಮಿಕ್ ವಿಶ್ಲೇಷಣೆಯ ತತ್ವಗಳನ್ನು ಕರಗತ ಮಾಡಿಕೊಳ್ಳುವುದು ಅತ್ಯಗತ್ಯ ಕೌಶಲ್ಯವಾಗಿದೆ. ಇದು ಕೇವಲ ಎಚ್ಚರಿಕೆಗಳಿಗೆ ಪ್ರತಿಕ್ರಿಯಿಸುವುದನ್ನು ಮೀರಿ, ಶತ್ರುವನ್ನು ಪೂರ್ವಭಾವಿಯಾಗಿ ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು ನಿಮಗೆ ಅಧಿಕಾರ ನೀಡುತ್ತದೆ, ಒಂದು ಸಮಯದಲ್ಲಿ ಒಂದು ಸ್ಫೋಟ.