മാൽവെയർ അനാലിസിസ്: ഡൈനാമിക് അനാലിസിസ് ടെക്നിക്കുകളിലേക്കൊരു ആഴത്തിലുള്ള വിശകലനം

സൈബർ സുരക്ഷയുടെ നിരന്തരമായ ഒളിച്ചുകളിയിൽ, നിങ്ങളുടെ എതിരാളിയെ മനസ്സിലാക്കുക എന്നത് പരമപ്രധാനമാണ്. ലോകമെമ്പാടുമുള്ള സൈബർ കുറ്റവാളികൾ, സർക്കാർ പിന്തുണയുള്ള ഹാക്കർമാർ, ഹാക്ടിവിസ്റ്റുകൾ എന്നിവരുടെ ആയുധപ്പുരയിലെ പ്രധാന ആയുധമാണ് മാൽവെയർ അഥവാ ദുരുപയോഗ സോഫ്റ്റ്‌വെയർ. ഈ ഭീഷണികളിൽ നിന്ന് പ്രതിരോധിക്കാൻ, നമ്മൾ അവയെ കീറിമുറിച്ച് പരിശോധിക്കുകയും അവയുടെ ഉദ്ദേശ്യങ്ങൾ മനസ്സിലാക്കുകയും അവ എങ്ങനെ പ്രവർത്തിക്കുന്നുവെന്ന് പഠിക്കുകയും വേണം. ഇതാണ് മാൽവെയർ അനാലിസിസിന്റെ ലോകം, ഏതൊരു ആധുനിക സുരക്ഷാ പ്രൊഫഷണലിനും അത്യന്താപേക്ഷിതമായ ഒരു മേഖലയാണിത്. ഇതിനെ സമീപിക്കാൻ നിരവധി മാർഗങ്ങളുണ്ടെങ്കിലും, ഇന്ന് നമ്മൾ ഏറ്റവും വെളിപ്പെടുത്തുന്ന രീതികളിലൊന്നായ ഡൈനാമിക് അനാലിസിസിലേക്ക് ആഴത്തിൽ ഇറങ്ങിച്ചെല്ലുകയാണ്.

എന്താണ് മാൽവെയർ അനാലിസിസ്? ഒരു ലഘുവിവരണം

അതിൻ്റെ കാതൽ, ഒരു മാൽവെയർ സാമ്പിളിൻ്റെ ഉറവിടം, പ്രവർത്തനം, അതുണ്ടാക്കാൻ സാധ്യതയുള്ള ആഘാതം എന്നിവ മനസ്സിലാക്കാൻ അതിനെക്കുറിച്ച് പഠിക്കുന്ന പ്രക്രിയയാണ് മാൽവെയർ അനാലിസിസ്. പ്രതിരോധം മെച്ചപ്പെടുത്താനും, സംഭവങ്ങളോട് പ്രതികരിക്കാനും, ഭീഷണികളെ മുൻകൂട്ടി കണ്ടെത്താനും ഉപയോഗിക്കാവുന്ന പ്രവർത്തനക്ഷമമായ വിവരങ്ങൾ ഉണ്ടാക്കുക എന്നതാണ് അന്തിമ ലക്ഷ്യം. ഈ പ്രക്രിയയെ സാധാരണയായി രണ്ട് പ്രധാന വിഭാഗങ്ങളായി തിരിക്കാം:

• സ്റ്റാറ്റിക് അനാലിസിസ്: മാൽവെയർ പ്രവർത്തിപ്പിക്കാതെ അതിൻ്റെ കോഡും ഘടനയും പരിശോധിക്കുന്നത്. ഒരു കെട്ടിടത്തിൻ്റെ ഡിസൈൻ മനസ്സിലാക്കാൻ അതിൻ്റെ ബ്ലൂപ്രിൻ്റ് വായിക്കുന്നതിന് തുല്യമാണിത്.
• ഡൈനാമിക് അനാലിസിസ്: മാൽവെയറിനെ സുരക്ഷിതവും നിയന്ത്രിതവുമായ ഒരു പരിതസ്ഥിതിയിൽ പ്രവർത്തിപ്പിച്ച് അതിൻ്റെ തത്സമയ സ്വഭാവം നിരീക്ഷിക്കുന്നത്. ഒരു കാർ റോഡിൽ എങ്ങനെ ഓടുന്നു എന്ന് കാണാൻ ടെസ്റ്റ് ഡ്രൈവ് ചെയ്യുന്നതുപോലെയാണിത്.

സ്റ്റാറ്റിക് അനാലിസിസ് ഒരു അടിസ്ഥാനപരമായ ധാരണ നൽകുമ്പോൾ, കോഡ് ഒബ്ഫസ്ക്കേഷൻ, പാക്കിംഗ് തുടങ്ങിയ സാങ്കേതിക വിദ്യകളാൽ അതിനെ പരാജയപ്പെടുത്താൻ സാധിക്കും. ഇവിടെയാണ് ഡൈനാമിക് അനാലിസിസ് പ്രസക്തമാകുന്നത്, മാൽവെയർ പ്രവർത്തിപ്പിക്കുമ്പോൾ അത് യഥാർത്ഥത്തിൽ എന്തുചെയ്യുന്നു എന്ന് കാണാൻ ഇത് നമ്മെ അനുവദിക്കുന്നു.

പ്രവർത്തനത്തിലുള്ള ദുരുദ്ദേശ്യം മനസ്സിലാക്കൽ: ഡൈനാമിക് അനാലിസിസിനെക്കുറിച്ചറിയാം

ഡൈനാമിക് മാൽവെയർ അനാലിസിസ്, പലപ്പോഴും ബിഹേവിയറൽ അനാലിസിസ് എന്ന് വിളിക്കപ്പെടുന്നു, ഇത് മാൽവെയർ പ്രവർത്തിക്കുമ്പോൾ അതിനെ നിരീക്ഷിക്കുന്ന കലയും ശാസ്ത്രവുമാണ്. ഡിസ്അസംബിൾ ചെയ്ത കോഡിൻ്റെ വരികളിലൂടെ കടന്നുപോകുന്നതിനു പകരം, അനലിസ്റ്റ് ഒരു ഡിജിറ്റൽ ബയോളജിസ്റ്റിനെപ്പോലെ പ്രവർത്തിക്കുന്നു, സാമ്പിളിനെ ഒരു പെട്രി ഡിഷിൽ (സുരക്ഷിതമായ വെർച്വൽ എൻവയോൺമെൻ്റ്) വെച്ച് അതിൻ്റെ പ്രവർത്തനങ്ങളും പ്രതിപ്രവർത്തനങ്ങളും ശ്രദ്ധാപൂർവ്വം രേഖപ്പെടുത്തുന്നു. ഇത് താഴെ പറയുന്ന നിർണ്ണായക ചോദ്യങ്ങൾക്ക് ഉത്തരം നൽകുന്നു:

• അത് സിസ്റ്റത്തിൽ ഏതൊക്കെ ഫയലുകളാണ് ഉണ്ടാക്കുകയോ മാറ്റം വരുത്തുകയോ ചെയ്യുന്നത്?
• ഒരു റീബൂട്ടിനെ അതിജീവിക്കാൻ അത് സ്ഥിരത (persistence) കൈവരിക്കാൻ ശ്രമിക്കുന്നുണ്ടോ?
• അത് ഒരു റിമോട്ട് സെർവറുമായി ആശയവിനിമയം നടത്തുന്നുണ്ടോ? അങ്ങനെയെങ്കിൽ, എവിടെ, എന്തിന്?
• അത് ഡാറ്റ മോഷ്ടിക്കാനോ, ഫയലുകൾ എൻക്രിപ്റ്റ് ചെയ്യാനോ, അല്ലെങ്കിൽ ഒരു ബാക്ക്ഡോർ ഇൻസ്റ്റാൾ ചെയ്യാനോ ശ്രമിക്കുന്നുണ്ടോ?
• അത് സുരക്ഷാ സോഫ്റ്റ്‌വെയറുകൾ പ്രവർത്തനരഹിതമാക്കാൻ ശ്രമിക്കുന്നുണ്ടോ?

സ്റ്റാറ്റിക് vs. ഡൈനാമിക് അനാലിസിസ്: രണ്ട് രീതിശാസ്ത്രങ്ങളുടെ കഥ

ഡൈനാമിക് അനാലിസിസിനെ ശരിക്കും മനസ്സിലാക്കാൻ, അതിനെ സ്റ്റാറ്റിക് രീതിയുമായി നേരിട്ട് താരതമ്യം ചെയ്യുന്നത് സഹായകമാണ്. അവ പരസ്പരം ഒഴിവാക്കേണ്ടവയല്ല; വാസ്തവത്തിൽ, ഏറ്റവും ഫലപ്രദമായ വിശകലനത്തിൽ പലപ്പോഴും രണ്ടിൻ്റെയും സംയോജനം ഉൾപ്പെടുന്നു.

• സ്റ്റാറ്റിക് അനാലിസിസ്
  • ഉപമ: ഒരു പാചകക്കുറിപ്പ് വായിക്കുന്നത് പോലെ. നിങ്ങൾക്ക് എല്ലാ ചേരുവകളും ഘട്ടങ്ങളും കാണാൻ കഴിയും, പക്ഷേ അവസാന വിഭവത്തിന് എന്ത് രുചിയായിരിക്കുമെന്ന് നിങ്ങൾക്കറിയില്ല.
  • പ്രയോജനങ്ങൾ: കോഡ് ഒരിക്കലും പ്രവർത്തിപ്പിക്കാത്തതിനാൽ ഇത് സുരക്ഷിതമാണ്. ഒരു തവണ പ്രവർത്തിപ്പിക്കുമ്പോൾ നിരീക്ഷിച്ച പാത മാത്രമല്ല, മാൽവെയറിൻ്റെ സാധ്യമായ എല്ലാ എക്സിക്യൂഷൻ പാതകളും വെളിപ്പെടുത്താൻ ഇതിന് കഴിയും.
  • പോരായ്മകൾ: ഇത് വളരെ സമയമെടുക്കുന്നതും അസംബ്ലി ഭാഷയിലും റിവേഴ്സ് എഞ്ചിനീയറിംഗിലും ആഴത്തിലുള്ള വൈദഗ്ദ്ധ്യം ആവശ്യമുള്ളതുമാണ്. അതിലും പ്രധാനമായി, കോഡ് വായിക്കാൻ കഴിയാത്തവിധം പാക്കറുകളും ഒബ്ഫസ്ക്കേറ്ററുകളും ഉപയോഗിച്ച് ഭീഷണിപ്പെടുത്തുന്നവർ അടിസ്ഥാന സ്റ്റാറ്റിക് അനാലിസിസ് ഫലപ്രദമല്ലാതാക്കുന്നു.
• ഡൈനാമിക് അനാലിസിസ്
  • ഉപമ: പാചകക്കുറിപ്പ് ഉണ്ടാക്കി രുചിച്ചുനോക്കുന്നത് പോലെ. നിങ്ങൾ അതിന്റെ നേരിട്ടുള്ള ഫലങ്ങൾ അനുഭവിക്കുന്നു, എന്നാൽ ഈ സമയം ഉപയോഗിക്കാത്ത ഒരു ഓപ്ഷണൽ ചേരുവ നിങ്ങൾക്ക് നഷ്ടമായേക്കാം.
  • പ്രയോജനങ്ങൾ: ഇത് മാൽവെയറിൻ്റെ യഥാർത്ഥ സ്വഭാവം വെളിപ്പെടുത്തുന്നു, കോഡ് പ്രവർത്തിക്കാൻ മെമ്മറിയിൽ ഡി-ഒബ്ഫസ്കേറ്റ് ചെയ്യേണ്ടതിനാൽ ലളിതമായ ഒബ്ഫസ്ക്കേഷനെ ഇത് മറികടക്കുന്നു. പ്രധാന പ്രവർത്തനങ്ങൾ തിരിച്ചറിയുന്നതിനും ഉടനടി ഉപയോഗപ്രദമായ ഇൻഡിക്കേറ്റേഴ്‌സ് ഓഫ് കോംപ്രമൈസ് (IOCs) ഉണ്ടാക്കുന്നതിനും ഇത് സാധാരണയായി വേഗതയേറിയതാണ്.
  • പോരായ്മകൾ: അനാലിസിസ് എൻവയോൺമെൻ്റ് പൂർണ്ണമായി ഒറ്റപ്പെട്ടതല്ലെങ്കിൽ ഇതിന് അപകടസാധ്യതയുണ്ട്. കൂടാതെ, സങ്കീർണ്ണമായ മാൽവെയറുകൾ ഒരു സാൻഡ്‌ബോക്‌സിലോ വെർച്വൽ മെഷീനിലോ ആണ് വിശകലനം ചെയ്യുന്നതെന്ന് കണ്ടെത്താനും അതിൻ്റെ സ്വഭാവം മാറ്റാനും അല്ലെങ്കിൽ പ്രവർത്തിക്കാതിരിക്കാനും സാധ്യതയുണ്ട്. ഇത് ആ നിർദ്ദിഷ്‌ട പ്രവർത്തന സമയത്ത് എടുത്ത എക്സിക്യൂഷൻ പാത മാത്രമേ വെളിപ്പെടുത്തുകയുള്ളൂ; മാൽവെയറിന് പ്രവർത്തനക്ഷമമാകാത്ത മറ്റ് കഴിവുകളും ഉണ്ടാകാം.

ഡൈനാമിക് അനാലിസിസിൻ്റെ ലക്ഷ്യങ്ങൾ

ഒരു അനലിസ്റ്റ് ഡൈനാമിക് അനാലിസിസ് നടത്തുമ്പോൾ, അവർ നിർദ്ദിഷ്ട വിവരങ്ങൾ ശേഖരിക്കാനുള്ള ഒരു ദൗത്യത്തിലാണ്. പ്രാഥമിക ലക്ഷ്യങ്ങളിൽ ഇവ ഉൾപ്പെടുന്നു:

• ഇൻഡിക്കേറ്റേഴ്‌സ് ഓഫ് കോംപ്രമൈസ് (IOCs) കണ്ടെത്തുക: ഇതാണ് ഏറ്റവും അടിയന്തിരമായ ലക്ഷ്യം. ഫയൽ ഹാഷുകൾ (MD5, SHA-256), കമാൻഡ് ആൻഡ് കൺട്രോൾ (C2) സെർവറുകളുടെ IP വിലാസങ്ങൾ അല്ലെങ്കിൽ ഡൊമെയ്‌നുകൾ, സ്ഥിരതയ്ക്കായി ഉപയോഗിക്കുന്ന രജിസ്ട്രി കീകൾ, അല്ലെങ്കിൽ നിർദ്ദിഷ്ട മ്യൂട്ടക്സ് പേരുകൾ എന്നിവ പോലുള്ള മാൽവെയർ അവശേഷിപ്പിക്കുന്ന ഡിജിറ്റൽ കാൽപ്പാടുകളാണ് IOC-കൾ.
• പ്രവർത്തനവും ഉദ്ദേശ്യവും മനസ്സിലാക്കുക: ഇത് ഫയലുകൾ എൻക്രിപ്റ്റ് ചെയ്യാൻ രൂപകൽപ്പന ചെയ്ത റാൻസംവെയർ ആണോ? ക്രെഡൻഷ്യലുകൾ മോഷ്ടിക്കാൻ ഉദ്ദേശിച്ചുള്ള ഒരു ബാങ്കിംഗ് ട്രോജനാണോ? ആക്രമണകാരിക്ക് റിമോട്ട് കൺട്രോൾ നൽകുന്ന ഒരു ബാക്ക്ഡോർ ആണോ? കൂടുതൽ ശക്തമായ രണ്ടാം ഘട്ട പേലോഡ് ലഭ്യമാക്കുക എന്ന ഒരേയൊരു ജോലി ചെയ്യുന്ന ഒരു ലളിതമായ ഡൗൺലോഡർ ആണോ?
• വ്യാപ്തിയും ആഘാതവും നിർണ്ണയിക്കുക: അതിൻ്റെ സ്വഭാവം നിരീക്ഷിക്കുന്നതിലൂടെ, ഒരു അനലിസ്റ്റിന് ഉണ്ടാകാനിടയുള്ള നാശനഷ്ടം വിലയിരുത്താൻ കഴിയും. ഇത് നെറ്റ്‌വർക്കിലുടനീളം വ്യാപിക്കുന്നുണ്ടോ? ഇത് സെൻസിറ്റീവ് ഡോക്യുമെൻ്റുകൾ പുറത്തെടുക്കുന്നുണ്ടോ? ഇത് മനസ്സിലാക്കുന്നത് ഇൻസിഡൻ്റ് റെസ്പോൺസ് ശ്രമങ്ങൾക്ക് മുൻഗണന നൽകാൻ സഹായിക്കുന്നു.
• ഡിറ്റക്ഷൻ റൂളുകൾക്കായി വിവരങ്ങൾ ശേഖരിക്കുക: നിരീക്ഷിച്ച സ്വഭാവങ്ങളും ആർട്ടിഫാക്റ്റുകളും സുരക്ഷാ ടൂളുകൾക്കായി ശക്തമായ ഡിറ്റക്ഷൻ സിഗ്നേച്ചറുകൾ സൃഷ്ടിക്കാൻ ഉപയോഗിക്കാം. ഇതിൽ നെറ്റ്‌വർക്ക് അധിഷ്‌ഠിത നിയമങ്ങളും (ഉദാഹരണത്തിന്, Snort അല്ലെങ്കിൽ Suricata-യ്ക്ക്) ഹോസ്റ്റ് അധിഷ്‌ഠിത നിയമങ്ങളും (ഉദാഹരണത്തിന്, YARA) ഉൾപ്പെടുന്നു.
• കോൺഫിഗറേഷൻ ഡാറ്റ എക്‌സ്‌ട്രാക്റ്റുചെയ്യുക: പല മാൽവെയർ കുടുംബങ്ങളിലും C2 സെർവർ വിലാസങ്ങൾ, എൻക്രിപ്ഷൻ കീകൾ, അല്ലെങ്കിൽ കാമ്പെയ്ൻ ഐഡൻ്റിഫയറുകൾ എന്നിവയുൾപ്പെടെയുള്ള കോൺഫിഗറേഷൻ ഡാറ്റ ഉൾച്ചേർന്നിട്ടുണ്ടാകും. ഡൈനാമിക് അനാലിസിസിന് പലപ്പോഴും മാൽവെയറിനെ ഈ ഡാറ്റ മെമ്മറിയിൽ ഡീക്രിപ്റ്റ് ചെയ്യാനും ഉപയോഗിക്കാനും പ്രേരിപ്പിക്കാൻ കഴിയും, അവിടെ അനലിസ്റ്റിന് അത് പിടിച്ചെടുക്കാൻ കഴിയും.

നിങ്ങളുടെ കോട്ട പണിയുന്നു: ഒരു സുരക്ഷിത അനാലിസിസ് എൻവയോൺമെൻ്റ് സജ്ജീകരിക്കുന്നു

മുന്നറിയിപ്പ്: ഇതാണ് പ്രക്രിയയുടെ ഏറ്റവും നിർണ്ണായകമായ ഭാഗം. ഒരിക്കലും, സംശയാസ്പദമായ ഒരു ഫയൽ നിങ്ങളുടെ വ്യക്തിപരമോ കോർപ്പറേറ്റ് മെഷീനിലോ പ്രവർത്തിപ്പിക്കരുത്. ഡൈനാമിക് അനാലിസിസിൻ്റെ മുഴുവൻ അടിസ്ഥാനവും സാൻഡ്‌ബോക്‌സ് എന്നറിയപ്പെടുന്ന പൂർണ്ണമായും ഒറ്റപ്പെട്ടതും നിയന്ത്രിതവുമായ ഒരു ലബോറട്ടറി പരിസ്ഥിതി സൃഷ്ടിക്കുന്നതിലാണ്. യഥാർത്ഥ ലോകത്തിന് കേടുപാടുകൾ വരുത്താതെ മാൽവെയറിനെ ഈ നിയന്ത്രിത സ്ഥലത്ത് പ്രവർത്തിപ്പിക്കാൻ അനുവദിക്കുക എന്നതാണ് ലക്ഷ്യം.

ലാബിൻ്റെ ഹൃദയം: വെർച്വൽ മെഷീൻ (VM)

വെർച്വലൈസേഷൻ ഒരു മാൽവെയർ അനാലിസിസ് ലാബിൻ്റെ അടിസ്ഥാന ശിലയാണ്. ഒരു വെർച്വൽ മെഷീൻ (VM) നിങ്ങളുടെ ഫിസിക്കൽ മെഷീനിൽ (ഹോസ്റ്റ്) പ്രവർത്തിക്കുന്ന പൂർണ്ണമായി എമുലേറ്റ് ചെയ്ത ഒരു കമ്പ്യൂട്ടർ സിസ്റ്റമാണ്. Oracle VM VirtualBox (സൗജന്യം) അല്ലെങ്കിൽ VMware Workstation Player/Pro പോലുള്ള സോഫ്റ്റ്‌വെയറുകൾ ഇൻഡസ്ട്രി സ്റ്റാൻഡേർഡുകളാണ്.

എന്തിനാണ് ഒരു VM ഉപയോഗിക്കുന്നത്?

• ഐസൊലേഷൻ: ഒരു VM ഹോസ്റ്റ് ഓപ്പറേറ്റിംഗ് സിസ്റ്റത്തിൽ നിന്ന് സാൻഡ്‌ബോക്‌സ് ചെയ്‌തതാണ്. മാൽവെയർ VM-ൻ്റെ മുഴുവൻ C: ഡ്രൈവും എൻക്രിപ്റ്റ് ചെയ്താൽ, നിങ്ങളുടെ ഹോസ്റ്റ് മെഷീന് ഒന്നും സംഭവിക്കില്ല.
• പഴയപടിയാക്കാനുള്ള കഴിവ്: 'സ്നാപ്പ്ഷോട്ടുകൾ' എടുക്കാനുള്ള കഴിവാണ് VM-കളുടെ ഏറ്റവും ശക്തമായ സവിശേഷത. ഒരു സ്നാപ്പ്ഷോട്ട് ഒരു നിമിഷത്തിലെ VM-ൻ്റെ കൃത്യമായ അവസ്ഥ പിടിച്ചെടുക്കുന്നു. സാധാരണ വർക്ക്ഫ്ലോ ഇതാണ്: ഒരു ക്ലീൻ VM സജ്ജമാക്കുക, ഒരു സ്നാപ്പ്ഷോട്ട് എടുക്കുക, മാൽവെയർ പ്രവർത്തിപ്പിക്കുക, വിശകലനത്തിന് ശേഷം, VM-നെ ക്ലീൻ സ്നാപ്പ്ഷോട്ടിലേക്ക് തിരികെ കൊണ്ടുവരിക. ഈ പ്രക്രിയയ്ക്ക് നിമിഷങ്ങൾ മാത്രമേ എടുക്കൂ, ഓരോ പുതിയ സാമ്പിളിനും നിങ്ങൾക്ക് പുതിയതും മലിനമാകാത്തതുമായ ഒരു എൻവയോൺമെൻ്റ് ഉറപ്പാക്കുന്നു.

നിങ്ങളുടെ അനാലിസിസ് VM ഒരു സാധാരണ കോർപ്പറേറ്റ് എൻവയോൺമെൻ്റിനെ അനുകരിക്കാൻ കോൺഫിഗർ ചെയ്യണം, അതുവഴി മാൽവെയറിന് 'വീട്ടിലെത്തിയ' പ്രതീതി നൽകാൻ സാധിക്കും. ഇതിൽ Microsoft Office, Adobe Reader, ഒരു വെബ് ബ്രൗസർ തുടങ്ങിയ സാധാരണ സോഫ്റ്റ്‌വെയറുകൾ ഇൻസ്റ്റാൾ ചെയ്യുന്നത് ഉൾപ്പെടുന്നു.

നെറ്റ്‌വർക്ക് ഐസൊലേഷൻ: ഡിജിറ്റൽ തരംഗങ്ങളെ നിയന്ത്രിക്കുന്നു

VM-ൻ്റെ നെറ്റ്‌വർക്ക് കണക്ഷൻ നിയന്ത്രിക്കുന്നത് നിർണ്ണായകമാണ്. നിങ്ങൾ അതിൻ്റെ നെറ്റ്‌വർക്ക് ട്രാഫിക് നിരീക്ഷിക്കാൻ ആഗ്രഹിക്കുന്നു, പക്ഷേ അത് നിങ്ങളുടെ ലോക്കൽ നെറ്റ്‌വർക്കിലെ മറ്റ് മെഷീനുകളെ വിജയകരമായി ആക്രമിക്കാനോ ഒരു റിമോട്ട് ആക്രമണകാരിയെ അറിയിക്കാനോ നിങ്ങൾ ആഗ്രഹിക്കുന്നില്ല. നെറ്റ്‌വർക്ക് കോൺഫിഗറേഷന് നിരവധി തലങ്ങളുണ്ട്:

• പൂർണ്ണമായി ഒറ്റപ്പെട്ടത് (ഹോസ്റ്റ്-ഒൺലി): VM-ന് ഹോസ്റ്റ് മെഷീനുമായി മാത്രം ആശയവിനിമയം നടത്താൻ കഴിയും, മറ്റൊന്നുമായും സാധ്യമല്ല. ഇതാണ് ഏറ്റവും സുരക്ഷിതമായ ഓപ്ഷൻ, ഇൻ്റർനെറ്റ് കണക്റ്റിവിറ്റി ആവശ്യമില്ലാത്ത മാൽവെയറുകൾ വിശകലനം ചെയ്യാൻ ഇത് ഉപയോഗപ്രദമാണ് (ഉദാഹരണത്തിന്, ഒരു ലളിതമായ ഫയൽ-എൻക്രിപ്റ്റിംഗ് റാൻസംവെയർ).
• സിമുലേറ്റഡ് ഇൻ്റർനെറ്റ് (ഇൻ്റേണൽ നെറ്റ് വർക്കിംഗ്): ഒരു ഇൻ്റേണൽ-ഒൺലി നെറ്റ്‌വർക്കിൽ രണ്ട് VM-കൾ ഉൾപ്പെടുന്ന ഒരു കൂടുതൽ വിപുലമായ സജ്ജീകരണമാണിത്. ആദ്യത്തേത് നിങ്ങളുടെ അനാലിസിസ് VM ആണ്. രണ്ടാമത്തെ VM ഒരു വ്യാജ ഇൻ്റർനെറ്റായി പ്രവർത്തിക്കുന്നു, INetSim പോലുള്ള ടൂളുകൾ പ്രവർത്തിപ്പിക്കുന്നു. INetSim HTTP/S, DNS, FTP പോലുള്ള സാധാരണ സേവനങ്ങൾ സിമുലേറ്റ് ചെയ്യുന്നു. മാൽവെയർ `www.evil-c2-server.com` റിസോൾവ് ചെയ്യാൻ ശ്രമിക്കുമ്പോൾ, നിങ്ങളുടെ വ്യാജ DNS സെർവറിന് പ്രതികരിക്കാൻ കഴിയും. അത് ഒരു ഫയൽ ഡൗൺലോഡ് ചെയ്യാൻ ശ്രമിക്കുമ്പോൾ, നിങ്ങളുടെ വ്യാജ HTTP സെർവറിന് ഒന്ന് നൽകാൻ കഴിയും. ഇത് മാൽവെയർ യഥാർത്ഥ ഇൻ്റർനെറ്റിൽ തൊടാതെ നെറ്റ്‌വർക്ക് അഭ്യർത്ഥനകൾ നിരീക്ഷിക്കാൻ നിങ്ങളെ അനുവദിക്കുന്നു.
• നിയന്ത്രിത ഇൻ്റർനെറ്റ് ആക്സസ്: ഏറ്റവും അപകടസാധ്യതയുള്ള ഓപ്ഷൻ. ഇവിടെ, നിങ്ങൾ VM-നെ യഥാർത്ഥ ഇൻ്റർനെറ്റ് ആക്സസ് ചെയ്യാൻ അനുവദിക്കുന്നു, സാധാരണയായി ഒരു VPN അല്ലെങ്കിൽ പൂർണ്ണമായും പ്രത്യേകമായ ഒരു ഫിസിക്കൽ നെറ്റ്‌വർക്ക് കണക്ഷൻ വഴി. അതിൻ്റെ മാരകമായ പേലോഡ് പ്രവർത്തിപ്പിക്കുന്നതിന് മുമ്പ് ഒരു യഥാർത്ഥ ഇൻ്റർനെറ്റ് കണക്ഷൻ ഉണ്ടോയെന്ന് പരിശോധിക്കുന്നതിന് ടെക്നിക്കുകൾ ഉപയോഗിക്കുന്ന സങ്കീർണ്ണമായ മാൽവെയറുകൾക്ക് ഇത് ചിലപ്പോൾ ആവശ്യമാണ്. അപകടസാധ്യതകൾ പൂർണ്ണമായി മനസ്സിലാക്കുന്ന പരിചയസമ്പന്നരായ അനലിസ്റ്റുകൾ മാത്രമേ ഇത് ചെയ്യാവൂ.

അനലിസ്റ്റിൻ്റെ ടൂൾകിറ്റ്: അത്യാവശ്യ സോഫ്റ്റ്‌വെയറുകൾ

നിങ്ങൾ നിങ്ങളുടെ 'ക്ലീൻ' സ്നാപ്പ്ഷോട്ട് എടുക്കുന്നതിന് മുമ്പ്, നിങ്ങളുടെ അനാലിസിസ് VM-നെ ശരിയായ ടൂളുകൾ ഉപയോഗിച്ച് സജ്ജമാക്കണം. ഈ ടൂൾകിറ്റ് വിശകലന സമയത്ത് നിങ്ങളുടെ കണ്ണുകളും കാതുകളും ആയിരിക്കും.

• പ്രോസസ്സ് മോണിറ്ററിംഗ്: പ്രോസസ്സ് ക്രിയേഷൻ, ഫയൽ I/O, രജിസ്ട്രി ആക്റ്റിവിറ്റി എന്നിവ നിരീക്ഷിക്കാൻ Sysinternals Suite-ൽ നിന്നുള്ള Process Monitor (ProcMon), Process Hacker/Explorer എന്നിവ ഒഴിച്ചുകൂടാനാവാത്തതാണ്.
• സിസ്റ്റം സ്റ്റേറ്റ് താരതമ്യം: Regshot നിങ്ങളുടെ രജിസ്ട്രിയുടെയും ഫയൽ സിസ്റ്റത്തിൻ്റെയും 'മുമ്പും' 'ശേഷവും' ഉള്ള ഒരു സ്നാപ്പ്ഷോട്ട് എടുക്കുന്ന ലളിതവും എന്നാൽ ഫലപ്രദവുമായ ഒരു ടൂൾ ആണ്, ഇത് എല്ലാ മാറ്റങ്ങളും ഹൈലൈറ്റ് ചെയ്യുന്നു.
• നെറ്റ്‌വർക്ക് ട്രാഫിക് അനാലിസിസ്: റോ നെറ്റ്‌വർക്ക് പാക്കറ്റുകൾ പിടിച്ചെടുക്കുന്നതിനും വിശകലനം ചെയ്യുന്നതിനും Wireshark ആണ് ആഗോള സ്റ്റാൻഡേർഡ്. എൻക്രിപ്റ്റ് ചെയ്ത HTTP/S ട്രാഫിക്കിനായി, ഒരു മാൻ-ഇൻ-ദി-മിഡിൽ പരിശോധന നടത്താൻ Fiddler അല്ലെങ്കിൽ mitmproxy ഉപയോഗിക്കാം.
• ഡീബഗ്ഗറുകളും ഡിസ്അസംബ്ലറുകളും: കൂടുതൽ ആഴത്തിലുള്ള പരിശോധനകൾക്കായി, x64dbg, OllyDbg, അല്ലെങ്കിൽ IDA Pro പോലുള്ള ടൂളുകൾ ഉപയോഗിക്കുന്നു, എന്നിരുന്നാലും ഇവ പലപ്പോഴും ഡൈനാമിക്, സ്റ്റാറ്റിക് അനാലിസിസ് തമ്മിലുള്ള വിടവ് നികത്തുന്നു.

വേട്ട ആരംഭിക്കുന്നു: ഡൈനാമിക് അനാലിസിസിനുള്ള ഒരു ഘട്ടം ഘട്ടമായുള്ള ഗൈഡ്

നിങ്ങളുടെ സുരക്ഷിതമായ ലാബ് തയ്യാറാക്കിയ ശേഷം, വിശകലനം ആരംഭിക്കാനുള്ള സമയമായി. ഈ പ്രക്രിയ ചിട്ടയായതും ശ്രദ്ധാപൂർവ്വമായ ഡോക്യുമെൻ്റേഷൻ ആവശ്യമുള്ളതുമാണ്.

ഘട്ടം 1: തയ്യാറെടുപ്പും അടിസ്ഥാനരേഖയും

1. ക്ലീൻ സ്നാപ്പ്ഷോട്ടിലേക്ക് മടങ്ങുക: എല്ലായ്പ്പോഴും അറിയപ്പെടുന്ന നല്ല അവസ്ഥയിൽ നിന്ന് ആരംഭിക്കുക. നിങ്ങൾ സജ്ജീകരിച്ചതിന് ശേഷം എടുത്ത ക്ലീൻ സ്നാപ്പ്ഷോട്ടിലേക്ക് നിങ്ങളുടെ VM-നെ തിരികെ കൊണ്ടുവരിക.
2. അടിസ്ഥാനരേഖ പിടിച്ചെടുക്കൽ ആരംഭിക്കുക: Regshot പോലുള്ള ഒരു ടൂൾ ലോഞ്ച് ചെയ്ത് '1st shot' എടുക്കുക. ഇത് ഫയൽ സിസ്റ്റത്തിൻ്റെയും രജിസ്ട്രിയുടെയും നിങ്ങളുടെ അടിസ്ഥാനരേഖ സൃഷ്ടിക്കുന്നു.
3. മോണിറ്ററിംഗ് ടൂളുകൾ പ്രവർത്തിപ്പിക്കുക: Process Monitor, Wireshark എന്നിവ തുറന്ന് ഇവൻ്റുകൾ പിടിച്ചെടുക്കാൻ തുടങ്ങുക. ഇതുവരെ എക്സിക്യൂട്ട് ചെയ്യാത്ത മാൽവെയർ പ്രോസസ്സിൽ ശ്രദ്ധ കേന്ദ്രീകരിക്കുന്നതിന് ProcMon-ൽ നിങ്ങളുടെ ഫിൽട്ടറുകൾ കോൺഫിഗർ ചെയ്യുക, എന്നാൽ അത് മറ്റ് പ്രോസസ്സുകളിലേക്ക് പടരുകയോ ഇൻജെക്റ്റ് ചെയ്യുകയോ ചെയ്താൽ അവ നീക്കം ചെയ്യാൻ തയ്യാറാകുക.
4. സാമ്പിൾ കൈമാറുക: മാൽവെയർ സാമ്പിൾ സുരക്ഷിതമായി VM-ലേക്ക് മാറ്റുക. ഒരു ഷെയർഡ് ഫോൾഡർ (അത് ഉടനടി പ്രവർത്തനരഹിതമാക്കണം) അല്ലെങ്കിൽ ഒരു ലളിതമായ ഡ്രാഗ്-ആൻഡ്-ഡ്രോപ്പ് സാധാരണമാണ്.

ഘട്ടം 2: എക്സിക്യൂഷനും നിരീക്ഷണവും

ഇതാണ് സത്യത്തിൻ്റെ നിമിഷം. ഫയൽ തരത്തിനനുസരിച്ച്, മാൽവെയർ സാമ്പിളിൽ ഡബിൾ ക്ലിക്ക് ചെയ്യുകയോ അല്ലെങ്കിൽ കമാൻഡ് ലൈനിൽ നിന്ന് എക്സിക്യൂട്ട് ചെയ്യുകയോ ചെയ്യുക. നിങ്ങളുടെ ജോലി ഇപ്പോൾ ഒരു നിഷ്ക്രിയവും എന്നാൽ ജാഗ്രതയുള്ളതുമായ നിരീക്ഷകനാകുക എന്നതാണ്. മാൽവെയറിനെ അതിൻ്റെ വഴിക്ക് വിടുക. ചിലപ്പോൾ അതിൻ്റെ പ്രവർത്തനങ്ങൾ ഉടനടി ആയിരിക്കും; മറ്റ് സമയങ്ങളിൽ, അതിന് ഒരു സ്ലീപ്പ് ടൈമർ ഉണ്ടാകാം, നിങ്ങൾ കാത്തിരിക്കേണ്ടിവരും. കൂടുതൽ സ്വഭാവം പ്രവർത്തനക്ഷമമാക്കുന്നതിന് ആവശ്യമെങ്കിൽ സിസ്റ്റവുമായി സംവദിക്കുക (ഉദാഹരണത്തിന്, അത് ഉത്പാദിപ്പിക്കുന്ന ഒരു വ്യാജ പിശക് സന്ദേശത്തിൽ ക്ലിക്കുചെയ്യുന്നത്).

ഘട്ടം 3: പ്രധാന സ്വഭാവ സൂചകങ്ങൾ നിരീക്ഷിക്കൽ

മാൽവെയറിൻ്റെ പ്രവർത്തനത്തിൻ്റെ ഒരു ചിത്രം നിർമ്മിക്കുന്നതിന് നിങ്ങളുടെ എല്ലാ മോണിറ്ററിംഗ് ടൂളുകളിൽ നിന്നുമുള്ള ഡാറ്റ പരസ്പരം ബന്ധിപ്പിക്കുന്ന വിശകലനത്തിൻ്റെ കാതലാണിത്. നിങ്ങൾ നിരവധി ഡൊമെയ്‌നുകളിലുടനീളം നിർദ്ദിഷ്ട പാറ്റേണുകൾക്കായി തിരയുന്നു.

1. പ്രോസസ്സ് ആക്റ്റിവിറ്റി

ഉത്തരം നൽകാൻ Process Monitor, Process Hacker എന്നിവ ഉപയോഗിക്കുക:

• പ്രോസസ്സ് ക്രിയേഷൻ: മാൽവെയർ പുതിയ പ്രോസസ്സുകൾ ആരംഭിച്ചോ? മാരകമായ പ്രവർത്തനങ്ങൾ നടത്താൻ അത് നിയമാനുസൃതമായ വിൻഡോസ് യൂട്ടിലിറ്റികൾ (`powershell.exe`, `schtasks.exe`, അല്ലെങ്കിൽ `bitsadmin.exe` പോലുള്ളവ) ആരംഭിച്ചോ? ഇത് ലിവിംഗ് ഓഫ് ദി ലാൻഡ് (LotL) എന്നറിയപ്പെടുന്ന ഒരു സാധാരണ സാങ്കേതികതയാണ്.
• പ്രോസസ്സ് ഇൻജെക്ഷൻ: യഥാർത്ഥ പ്രോസസ്സ് അവസാനിച്ച് `explorer.exe` അല്ലെങ്കിൽ `svchost.exe` പോലുള്ള ഒരു നിയമാനുസൃത പ്രോസസ്സിലേക്ക് 'അപ്രത്യക്ഷമായി' മാറിയോ? ഇത് ഒരു ക്ലാസിക് ഒഴിഞ്ഞുമാറൽ സാങ്കേതികതയാണ്. ഇൻജെക്റ്റ് ചെയ്ത പ്രോസസ്സുകൾ തിരിച്ചറിയാൻ Process Hacker-ന് സഹായിക്കാനാകും.
• മ്യൂട്ടക്സ് ക്രിയേഷൻ: മാൽവെയർ ഒരു മ്യൂട്ടക്സ് ഒബ്ജക്റ്റ് ഉണ്ടാക്കുന്നുണ്ടോ? ഒരു സിസ്റ്റത്തിൽ ഒരേ സമയം അതിൻ്റെ ഒരൊറ്റ ഇൻസ്റ്റൻസ് മാത്രമേ പ്രവർത്തിക്കുന്നുള്ളൂ എന്ന് ഉറപ്പാക്കാൻ മാൽവെയർ പലപ്പോഴും ഇത് ചെയ്യാറുണ്ട്. മ്യൂട്ടക്സിൻ്റെ പേര് വളരെ വിശ്വസനീയമായ ഒരു IOC ആകാം.

2. ഫയൽ സിസ്റ്റം മാറ്റങ്ങൾ

ഉത്തരം നൽകാൻ ProcMon, നിങ്ങളുടെ Regshot താരതമ്യം എന്നിവ ഉപയോഗിക്കുക:

• ഫയൽ ക്രിയേഷൻ (ഡ്രോപ്പിംഗ്): മാൽവെയർ പുതിയ ഫയലുകൾ ഉണ്ടാക്കിയോ? അവയുടെ പേരുകളും സ്ഥാനങ്ങളും ശ്രദ്ധിക്കുക (ഉദാഹരണത്തിന്, `C:\Users\\AppData\Local\Temp`, `C:\ProgramData`). ഈ ഡ്രോപ്പ് ചെയ്ത ഫയലുകൾ അതിൻ്റെ തന്നെ പകർപ്പുകളോ, സെക്കൻഡറി പേലോഡുകളോ, അല്ലെങ്കിൽ കോൺഫിഗറേഷൻ ഫയലുകളോ ആകാം. അവയുടെ ഫയൽ ഹാഷുകൾ കണക്കാക്കാൻ ഉറപ്പാക്കുക.
• ഫയൽ ഡിലീഷൻ: മാൽവെയർ ഏതെങ്കിലും ഫയലുകൾ ഡിലീറ്റ് ചെയ്തോ? അതിൻ്റെ തുമ്പുകൾ മായ്ക്കാൻ (ആൻ്റി-ഫോറൻസിക്സ്) സുരക്ഷാ ടൂൾ ലോഗുകളോ അല്ലെങ്കിൽ യഥാർത്ഥ സാമ്പിൾ തന്നെയോ ഡിലീറ്റ് ചെയ്യാൻ അത് ശ്രമിച്ചേക്കാം.
• ഫയൽ മോഡിഫിക്കേഷൻ: നിലവിലുള്ള ഏതെങ്കിലും സിസ്റ്റം അല്ലെങ്കിൽ യൂസർ ഫയലുകളിൽ അത് മാറ്റം വരുത്തിയോ? റാൻസംവെയർ ഇതിന് ഒരു പ്രധാന ഉദാഹരണമാണ്, കാരണം അത് യൂസർ ഡോക്യുമെൻ്റുകൾ വ്യവസ്ഥാപിതമായി എൻക്രിപ്റ്റ് ചെയ്യുന്നു.

3. രജിസ്ട്രി മാറ്റങ്ങൾ

വിൻഡോസ് രജിസ്ട്രി മാൽവെയറിൻ്റെ ഒരു പതിവ് ലക്ഷ്യമാണ്. ഇവയ്ക്കായി തിരയാൻ ProcMon, Regshot എന്നിവ ഉപയോഗിക്കുക:

• പെർസിസ്റ്റൻസ് മെക്കാനിസങ്ങൾ: ഇത് ഒരു മുൻഗണനയാണ്. ഒരു റീബൂട്ടിനെ മാൽവെയർ എങ്ങനെ അതിജീവിക്കും? `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` അല്ലെങ്കിൽ `HKLM\Software\Microsoft\Windows\CurrentVersion\Run` പോലുള്ള സാധാരണ ഓട്ടോറൺ ലൊക്കേഷനുകളിൽ പുതിയ എൻട്രികൾക്കായി നോക്കുക. ഇത് ഒരു പുതിയ സേവനം അല്ലെങ്കിൽ ഷെഡ്യൂൾഡ് ടാസ്ക് സൃഷ്ടിച്ചേക്കാം.
• കോൺഫിഗറേഷൻ സ്റ്റോറേജ്: മാൽവെയർ അതിൻ്റെ കോൺഫിഗറേഷൻ ഡാറ്റ, അതായത് C2 വിലാസങ്ങൾ അല്ലെങ്കിൽ എൻക്രിപ്ഷൻ കീകൾ, രജിസ്ട്രിയിൽ സൂക്ഷിച്ചേക്കാം.
• സുരക്ഷാ ഫീച്ചറുകൾ പ്രവർത്തനരഹിതമാക്കൽ: വിൻഡോസ് ഡിഫൻഡർ അല്ലെങ്കിൽ യൂസർ അക്കൗണ്ട് കൺട്രോൾ (UAC) ക്രമീകരണങ്ങളിലെ മാറ്റങ്ങൾ പോലുള്ള സിസ്റ്റത്തിൻ്റെ പ്രതിരോധം ദുർബലപ്പെടുത്താൻ രൂപകൽപ്പന ചെയ്ത മാറ്റങ്ങൾക്കായി നോക്കുക.

4. നെറ്റ്‌വർക്ക് ആശയവിനിമയങ്ങൾ

Wireshark-ൽ, നിങ്ങളുടെ VM-ൽ നിന്ന് ഉത്ഭവിക്കുന്ന ട്രാഫിക്കിനായി ഫിൽട്ടർ ചെയ്യുക. സ്വയം ചോദിക്കുക:

• DNS ക്വറികൾ: മാൽവെയർ ഏതൊക്കെ ഡൊമെയ്ൻ നാമങ്ങളാണ് റിസോൾവ് ചെയ്യാൻ ശ്രമിക്കുന്നത്? കണക്ഷൻ പരാജയപ്പെട്ടാലും, ക്വറി തന്നെ ഒരു ശക്തമായ IOC ആണ്.
• C2 ബീക്കണിംഗ്: ഒരു കമാൻഡ് ആൻഡ് കൺട്രോൾ (C2) സെർവറിലേക്ക് 'കോൾ ഹോം' ചെയ്യാൻ അത് ശ്രമിക്കുന്നുണ്ടോ? IP വിലാസം, പോർട്ട്, പ്രോട്ടോക്കോൾ (HTTP, HTTPS, അല്ലെങ്കിൽ ഒരു കസ്റ്റം TCP/UDP പ്രോട്ടോക്കോൾ) എന്നിവ ശ്രദ്ധിക്കുക.
• ഡാറ്റ എക്സ്ഫിൽട്രേഷൻ: വലിയ അളവിലുള്ള ഡാറ്റ പുറത്തേക്ക് അയക്കുന്നത് നിങ്ങൾ കാണുന്നുണ്ടോ? ഇത് ഡാറ്റ മോഷണത്തെ സൂചിപ്പിക്കാം. എൻകോഡ് ചെയ്ത ഡാറ്റ അടങ്ങിയ ഒരു HTTP POST അഭ്യർത്ഥന ഒരു സാധാരണ പാറ്റേണാണ്.
• പേലോഡുകൾ ഡൗൺലോഡ് ചെയ്യുന്നു: ഇത് അധിക ഫയലുകൾ ഡൗൺലോഡ് ചെയ്യാൻ ശ്രമിക്കുന്നുണ്ടോ? URL ഒരു വിലപ്പെട്ട IOC ആണ്. INetSim ഉള്ള നിങ്ങളുടെ സിമുലേറ്റഡ് എൻവയോൺമെൻ്റിൽ, നിങ്ങൾക്ക് GET അഭ്യർത്ഥന കാണാനും അത് എന്ത് ലഭ്യമാക്കാൻ ശ്രമിക്കുകയായിരുന്നുവെന്ന് വിശകലനം ചെയ്യാനും കഴിയും.

ഘട്ടം 4: എക്സിക്യൂഷന് ശേഷമുള്ള വിശകലനവും ശുചീകരണവും

1. ക്യാപ്ച്ചറിംഗ് നിർത്തുക: മാൽവെയർ അതിൻ്റെ പ്രാഥമിക പ്രവർത്തനങ്ങൾ പൂർത്തിയാക്കി എന്ന് നിങ്ങൾക്ക് തോന്നുമ്പോൾ, ProcMon, Wireshark എന്നിവയിലെ ക്യാപ്ച്ചറിംഗ് നിർത്തുക.
2. അവസാന സ്നാപ്പ്ഷോട്ട് എടുക്കുക: Regshot-ൽ '2nd shot' എടുത്ത് ഫയൽ സിസ്റ്റത്തിലും രജിസ്ട്രിയിലുമുള്ള എല്ലാ മാറ്റങ്ങളുടെയും ഒരു വ്യക്തമായ റിപ്പോർട്ട് ഉണ്ടാക്കാൻ താരതമ്യം ചെയ്യുക.
3. വിശകലനം ചെയ്യുകയും ഡോക്യുമെൻ്റ് ചെയ്യുകയും ചെയ്യുക: നിങ്ങളുടെ എല്ലാ ടൂളുകളിൽ നിന്നുമുള്ള ലോഗുകൾ സേവ് ചെയ്യുക. സംഭവങ്ങളെ പരസ്പരം ബന്ധിപ്പിച്ച് മാൽവെയറിൻ്റെ പ്രവർത്തനങ്ങളുടെ ഒരു ടൈംലൈൻ നിർമ്മിക്കുക. കണ്ടെത്തിയ എല്ലാ IOC-കളും രേഖപ്പെടുത്തുക.
4. VM-നെ പഴയപടിയാക്കുക: ഇത് ഒത്തുതീർപ്പിന് വിധേയമല്ലാത്ത കാര്യമാണ്. നിങ്ങളുടെ ഡാറ്റ സുരക്ഷിതമായി എക്സ്പോർട്ട് ചെയ്തുകഴിഞ്ഞാൽ, VM-നെ അതിൻ്റെ ക്ലീൻ സ്നാപ്പ്ഷോട്ടിലേക്ക് തിരികെ കൊണ്ടുവരിക. രോഗബാധിതമായ ഒരു VM വീണ്ടും ഉപയോഗിക്കരുത്.

ഒളിച്ചുകളി: മാൽവെയർ ഒഴിഞ്ഞുമാറൽ തന്ത്രങ്ങളെ മറികടക്കുന്നു

മാൽവെയർ രചയിതാക്കൾ നിഷ്കളങ്കരല്ല. അവർക്ക് ഡൈനാമിക് അനാലിസിസിനെക്കുറിച്ച് അറിയാം, അത് കണ്ടെത്താനും ഒഴിവാക്കാനുമുള്ള സവിശേഷതകൾ അവർ സജീവമായി നിർമ്മിക്കുന്നു. ഒരു അനലിസ്റ്റിൻ്റെ ജോലിയുടെ ഒരു പ്രധാന ഭാഗം ഈ തന്ത്രങ്ങൾ തിരിച്ചറിയുകയും മറികടക്കുകയുമാണ്.

ആൻ്റി-സാൻഡ്ബോക്സ്, ആൻ്റി-വിഎം ഡിറ്റക്ഷൻ

മാൽവെയറിന് അത് ഒരു വെർച്വലൈസ്ഡ് അല്ലെങ്കിൽ ഓട്ടോമേറ്റഡ് എൻവയോൺമെൻ്റിൽ പ്രവർത്തിക്കുന്നുണ്ടോ എന്നതിൻ്റെ അടയാളങ്ങൾ പരിശോധിക്കാൻ കഴിയും. സാധാരണ പരിശോധനകളിൽ ഇവ ഉൾപ്പെടുന്നു:

• VM ആർട്ടിഫാക്റ്റുകൾ: VM-നിർദ്ദിഷ്ട ഫയലുകൾ (`vmtoolsd.exe`), ഡിവൈസ് ഡ്രൈവറുകൾ, രജിസ്ട്രി കീകൾ (`HKLM\HARDWARE\Description\System\SystemBiosVersion`-ൽ 'VMWARE' അല്ലെങ്കിൽ 'VBOX' അടങ്ങിയിരിക്കുന്നത്), അല്ലെങ്കിൽ VMware/VirtualBox-ൻ്റേതാണെന്ന് അറിയപ്പെടുന്ന MAC വിലാസങ്ങൾ എന്നിവയ്ക്കായി തിരയുന്നു.
• ഉപയോക്തൃ പ്രവർത്തനത്തിൻ്റെ അഭാവം: സമീപകാല ഡോക്യുമെൻ്റുകൾ, ബ്രൗസർ ചരിത്രം, അല്ലെങ്കിൽ മൗസ് ചലനം എന്നിവ പരിശോധിക്കുന്നു. ഒരു ഓട്ടോമേറ്റഡ് സാൻഡ്ബോക്സ് ഇവയെ വിശ്വസനീയമായി സിമുലേറ്റ് ചെയ്തേക്കില്ല.
• സിസ്റ്റം സവിശേഷതകൾ: അസാധാരണമായി കുറഞ്ഞ സിപിയു എണ്ണം, കുറഞ്ഞ റാം, അല്ലെങ്കിൽ ചെറിയ ഡിസ്ക് വലുപ്പങ്ങൾ എന്നിവ പരിശോധിക്കുന്നു, ഇത് ഒരു ഡിഫോൾട്ട് VM സജ്ജീകരണത്തിൻ്റെ സവിശേഷതയാകാം.

അനലിസ്റ്റിൻ്റെ പ്രതികരണം: നിങ്ങളുടെ VM-നെ ഒരു യഥാർത്ഥ ഉപയോക്താവിൻ്റെ മെഷീൻ പോലെയാക്കാൻ കഠിനമാക്കുക. ഇത് 'ആൻ്റി-ആൻ്റി-വിഎം' അല്ലെങ്കിൽ 'ആൻ്റി-ആൻ്റി-സാൻഡ്ബോക്സ്' എന്നറിയപ്പെടുന്ന ഒരു പ്രക്രിയയാണ്, ഇതിൽ VM പ്രോസസ്സുകളുടെ പേരുമാറ്റുക, തിരിച്ചറിയാൻ സഹായിക്കുന്ന രജിസ്ട്രി കീകൾ വൃത്തിയാക്കുക, ഉപയോക്തൃ പ്രവർത്തനം സിമുലേറ്റ് ചെയ്യുന്നതിന് സ്ക്രിപ്റ്റുകൾ ഉപയോഗിക്കുക എന്നിവ ഉൾപ്പെടുന്നു.

ആൻ്റി-ഡീബഗ്ഗിംഗ്

മാൽവെയർ അതിൻ്റെ പ്രോസസ്സിൽ ഒരു ഡീബഗ്ഗർ ഘടിപ്പിച്ചിട്ടുണ്ടെന്ന് കണ്ടെത്തിയാൽ, അത് ഉടനടി പുറത്തുകടക്കുകയോ അനലിസ്റ്റിനെ തെറ്റിദ്ധരിപ്പിക്കാൻ അതിൻ്റെ സ്വഭാവം മാറ്റുകയോ ചെയ്തേക്കാം. ഇതിന് `IsDebuggerPresent()` പോലുള്ള വിൻഡോസ് API കോളുകളോ അല്ലെങ്കിൽ ഡീബഗ്ഗറിൻ്റെ സാന്നിധ്യം കണ്ടെത്താൻ കൂടുതൽ വികസിത തന്ത്രങ്ങളോ ഉപയോഗിക്കാം.

അനലിസ്റ്റിൻ്റെ പ്രതികരണം: ഡീബഗ്ഗർ പ്ലഗിനുകളോ അല്ലെങ്കിൽ മാൽവെയറിൽ നിന്ന് അവയുടെ സാന്നിധ്യം മറയ്ക്കാൻ രൂപകൽപ്പന ചെയ്ത പരിഷ്കരിച്ച ഡീബഗ്ഗറുകളോ ഉപയോഗിക്കുക.

സമയം അടിസ്ഥാനമാക്കിയുള്ള ഒഴിഞ്ഞുമാറൽ

പല ഓട്ടോമേറ്റഡ് സാൻഡ്ബോക്സുകൾക്കും പരിമിതമായ പ്രവർത്തന സമയമുണ്ട് (ഉദാഹരണത്തിന്, 5-10 മിനിറ്റ്). മാൽവെയറിന് അതിൻ്റെ മാരകമായ കോഡ് എക്സിക്യൂട്ട് ചെയ്യുന്നതിന് മുമ്പ് 15 മിനിറ്റ് സ്ലീപ്പ് ചെയ്തുകൊണ്ട് ഇത് മുതലെടുക്കാൻ കഴിയും. അത് ഉണരുമ്പോഴേക്കും, ഓട്ടോമേറ്റഡ് അനാലിസിസ് അവസാനിച്ചിരിക്കും.

അനലിസ്റ്റിൻ്റെ പ്രതികരണം: മാനുവൽ അനാലിസിസ് സമയത്ത്, നിങ്ങൾക്ക് വെറുതെ കാത്തിരിക്കാം. ഒരു സ്ലീപ്പ് കോൾ നിങ്ങൾ സംശയിക്കുന്നുവെങ്കിൽ, സ്ലീപ്പ് ഫംഗ്ഷൻ കണ്ടെത്താനും അത് ഉടൻ മടങ്ങിവരാൻ പാച്ച് ചെയ്യാനും ഒരു ഡീബഗ്ഗർ ഉപയോഗിക്കാം, അല്ലെങ്കിൽ സമയം വേഗത്തിലാക്കാൻ VM-ൻ്റെ സിസ്റ്റം ക്ലോക്ക് കൈകാര്യം ചെയ്യാൻ ടൂളുകൾ ഉപയോഗിക്കാം.

പ്രയത്നം വിപുലീകരിക്കുന്നു: മാനുവൽ vs. ഓട്ടോമേറ്റഡ് ഡൈനാമിക് അനാലിസിസ്

മുകളിൽ വിവരിച്ച മാനുവൽ പ്രക്രിയ അവിശ്വസനീയമായ ആഴം നൽകുന്നു, എന്നാൽ ഒരു ദിവസം നൂറുകണക്കിന് സംശയാസ്പദമായ ഫയലുകളുമായി ഇടപെഴുകുമ്പോൾ അത് വിപുലീകരിക്കാൻ കഴിയില്ല. ഇവിടെയാണ് ഓട്ടോമേറ്റഡ് സാൻഡ്ബോക്സുകൾ വരുന്നത്.

ഓട്ടോമേറ്റഡ് സാൻഡ്ബോക്സുകൾ: വിപുലീകരണത്തിൻ്റെ ശക്തി

ഓട്ടോമേറ്റഡ് സാൻഡ്‌ബോക്‌സുകൾ ഒരു ഫയലിനെ ഒരു ഇൻസ്ട്രുമെൻ്റഡ് എൻവയോൺമെൻ്റിൽ സ്വയമേവ എക്‌സിക്യൂട്ട് ചെയ്യുകയും, നമ്മൾ ചർച്ച ചെയ്ത എല്ലാ നിരീക്ഷണ ഘട്ടങ്ങളും നടത്തുകയും, ഒരു സമഗ്രമായ റിപ്പോർട്ട് ഉണ്ടാക്കുകയും ചെയ്യുന്ന സിസ്റ്റങ്ങളാണ്. ജനപ്രിയ ഉദാഹരണങ്ങളിൽ ഇവ ഉൾപ്പെടുന്നു:

• ഓപ്പൺ സോഴ്‌സ്: Cuckoo Sandbox ഏറ്റവും അറിയപ്പെടുന്ന ഓപ്പൺ സോഴ്‌സ് സൊല്യൂഷനാണ്, എന്നിരുന്നാലും ഇത് സജ്ജീകരിക്കുന്നതിനും പരിപാലിക്കുന്നതിനും കാര്യമായ പ്രയത്നം ആവശ്യമാണ്.
• കൊമേഴ്സ്യൽ/ക്ലൗഡ്: ANY.RUN (ഇത് ഇൻ്ററാക്ടീവ് അനാലിസിസ് വാഗ്ദാനം ചെയ്യുന്നു), Hybrid Analysis, Joe Sandbox, VMRay Analyzer തുടങ്ങിയ സേവനങ്ങൾ ശക്തവും ഉപയോഗിക്കാൻ എളുപ്പമുള്ളതുമായ പ്ലാറ്റ്‌ഫോമുകൾ നൽകുന്നു.

പ്രയോജനങ്ങൾ: വലിയ അളവിലുള്ള സാമ്പിളുകൾ തരംതിരിക്കുന്നതിന് അവ അവിശ്വസനീയമാംവിധം വേഗതയേറിയതും കാര്യക്ഷമവുമാണ്, ഇത് ഒരു ദ്രുത വിധിയും IOC-കളുടെ സമ്പന്നമായ റിപ്പോർട്ടും നൽകുന്നു.

പോരായ്മകൾ: മുകളിൽ സൂചിപ്പിച്ച ഒഴിഞ്ഞുമാറൽ തന്ത്രങ്ങളുടെ പ്രധാന ലക്ഷ്യമാണ് അവ. ഒരു സങ്കീർണ്ണമായ മാൽവെയർ ഓട്ടോമേറ്റഡ് എൻവയോൺമെൻ്റ് കണ്ടെത്തുകയും നിരുപദ്രവകരമായ സ്വഭാവം കാണിക്കുകയും ചെയ്തേക്കാം, ഇത് ഒരു തെറ്റായ നെഗറ്റീവിലേക്ക് നയിക്കുന്നു.

മാനുവൽ അനാലിസിസ്: അനലിസ്റ്റിൻ്റെ സ്പർശം

ഇത് നമ്മൾ ശ്രദ്ധ കേന്ദ്രീകരിച്ച വിശദമായ, ഹാൻഡ്‌സ്-ഓൺ പ്രക്രിയയാണ്. ഇത് അനലിസ്റ്റിൻ്റെ വൈദഗ്ധ്യവും അവബോധവും കൊണ്ട് നയിക്കപ്പെടുന്നു.

പ്രയോജനങ്ങൾ: ഇത് വിശകലനത്തിൻ്റെ ഏറ്റവും വലിയ ആഴം വാഗ്ദാനം ചെയ്യുന്നു. ഒരു വൈദഗ്ധ്യമുള്ള അനലിസ്റ്റിന് ഒരു ഓട്ടോമേറ്റഡ് സിസ്റ്റത്തെ കബളിപ്പിക്കുന്ന ഒഴിഞ്ഞുമാറൽ തന്ത്രങ്ങൾ തിരിച്ചറിയാനും മറികടക്കാനും കഴിയും.

പോരായ്മകൾ: ഇത് വളരെ സമയമെടുക്കുന്നതും വിപുലീകരിക്കാൻ കഴിയാത്തതുമാണ്. ഉയർന്ന മുൻഗണനയുള്ള സാമ്പിളുകൾക്കോ അല്ലെങ്കിൽ ഓട്ടോമേറ്റഡ് അനാലിസിസ് പരാജയപ്പെടുകയോ അപര്യാപ്തമായ വിശദാംശങ്ങൾ നൽകുകയോ ചെയ്ത സന്ദർഭങ്ങളിൽ ഇത് ഏറ്റവും അനുയോജ്യമാണ്.

ഒരു ആധുനിക സെക്യൂരിറ്റി ഓപ്പറേഷൻസ് സെൻ്ററിലെ (SOC) ഏറ്റവും മികച്ച സമീപനം ഒരു ടയേർഡ് ഒന്നാണ്: എല്ലാ സാമ്പിളുകളുടെയും പ്രാരംഭ തരംതിരിക്കലിനായി ഓട്ടോമേഷൻ ഉപയോഗിക്കുക, കൂടാതെ ഏറ്റവും രസകരമോ, ഒഴിഞ്ഞുമാറുന്നതോ, അല്ലെങ്കിൽ നിർണ്ണായകമോ ആയ സാമ്പിളുകൾ മാനുവൽ ഡീപ്-ഡൈവ് അനാലിസിസിനായി എസ്‌കലേറ്റുചെയ്യുക.

എല്ലാം ഒരുമിച്ച് ചേർക്കുമ്പോൾ: ആധുനിക സൈബർ സുരക്ഷയിൽ ഡൈനാമിക് അനാലിസിസിൻ്റെ പങ്ക്

ഡൈനാമിക് അനാലിസിസ് ഒരു അക്കാദമിക് വ്യായാമം മാത്രമല്ല; ഇത് ആധുനിക പ്രതിരോധ, ആക്രമണ സൈബർ സുരക്ഷയുടെ ഒരു അടിസ്ഥാന സ്തംഭമാണ്. മാൽവെയർ സുരക്ഷിതമായി പൊട്ടിത്തെറിപ്പിച്ച് അതിൻ്റെ സ്വഭാവം നിരീക്ഷിക്കുന്നതിലൂടെ, നമ്മൾ ഒരു നിഗൂഢമായ ഭീഷണിയെ അറിയാവുന്ന ഒന്നാക്കി മാറ്റുന്നു. നമ്മൾ എക്‌സ്‌ട്രാക്റ്റുചെയ്യുന്ന IOC-കൾ ഭാവിയിലെ ആക്രമണങ്ങൾ തടയുന്നതിനായി ഫയർവാളുകൾ, ഇൻട്രൂഷൻ ഡിറ്റക്ഷൻ സിസ്റ്റങ്ങൾ, എൻഡ്‌പോയിൻ്റ് പ്രൊട്ടക്ഷൻ പ്ലാറ്റ്‌ഫോമുകൾ എന്നിവയിലേക്ക് നേരിട്ട് നൽകുന്നു. നമ്മൾ ഉണ്ടാക്കുന്ന ബിഹേവിയറൽ റിപ്പോർട്ടുകൾ ഇൻസിഡൻ്റ് റെസ്പോണ്ടർമാരെ അറിയിക്കുന്നു, ഇത് അവരുടെ നെറ്റ്‌വർക്കുകളിൽ നിന്ന് ഭീഷണികളെ ഫലപ്രദമായി കണ്ടെത്താനും ഉന്മൂലനം ചെയ്യാനും അവരെ അനുവദിക്കുന്നു.

സാഹചര്യങ്ങൾ നിരന്തരം മാറിക്കൊണ്ടിരിക്കുകയാണ്. മാൽവെയർ കൂടുതൽ ഒഴിഞ്ഞുമാറുമ്പോൾ, നമ്മുടെ വിശകലന രീതികളും അതിനനുസരിച്ച് വികസിക്കണം. നിങ്ങൾ ഒരു വളർന്നുവരുന്ന SOC അനലിസ്റ്റ് ആണെങ്കിലും, പരിചയസമ്പന്നനായ ഒരു ഇൻസിഡൻ്റ് റെസ്പോണ്ടർ ആണെങ്കിലും, അല്ലെങ്കിൽ ഒരു സമർപ്പിത ത്രെഡ് ഗവേഷകൻ ആണെങ്കിലും, ഡൈനാമിക് അനാലിസിസിൻ്റെ തത്വങ്ങൾ സ്വായത്തമാക്കുന്നത് ഒരു അത്യാവശ്യ വൈദഗ്ധ്യമാണ്. ഇത് അലേർട്ടുകളോട് പ്രതികരിക്കുന്നതിനപ്പുറം ശത്രുവിനെ മുൻകൂട്ടി മനസ്സിലാക്കാൻ നിങ്ങളെ പ്രാപ്തരാക്കുന്നു, ഓരോ ഡിറ്റൊണേഷനിലും.