மால்வேர் பகுப்பாய்வு வெளிக்கொணரப்பட்டது: டைனமிக் பகுப்பாய்வு நுட்பங்கள் குறித்த ஒரு ஆழமான பார்வை

சைபர் பாதுகாப்பின் ஓயாத பூனை-எலி விளையாட்டில், உங்கள் எதிரியைப் புரிந்துகொள்வது மிக முக்கியம். தீங்கிழைக்கும் மென்பொருள், அல்லது மால்வேர், உலகெங்கிலும் உள்ள சைபர் குற்றவாளிகள், அரசு ஆதரவுபெற்ற நடிகர்கள் மற்றும் ஹேக்டிவிஸ்டுகளின் ஆயுதக் களஞ்சியத்தில் முதன்மை ஆயுதமாகும். இந்த அச்சுறுத்தல்களிலிருந்து பாதுகாக்க, நாம் அவற்றை ஆராய்ந்து, அவற்றின் நோக்கங்களைப் புரிந்துகொண்டு, அவை எவ்வாறு செயல்படுகின்றன என்பதைக் கற்றுக்கொள்ள வேண்டும். இது மால்வேர் பகுப்பாய்வின் ಕ್ಷೇತ್ರமாகும், இது எந்தவொரு நவீன பாதுகாப்பு நிபுணருக்கும் ஒரு முக்கியமான ஒழுக்கமாகும். இதை அணுக பல வழிகள் இருந்தாலும், இன்று நாம் மிகவும் வெளிப்படையான முறைகளில் ஒன்றான டைனமிக் பகுப்பாய்வு குறித்து ஆழமாக ஆராய்கிறோம்.

மால்வேர் பகுப்பாய்வு என்றால் என்ன? ஒரு விரைவான மீள்பார்வை

அதன் மையத்தில், மால்வேர் பகுப்பாய்வு என்பது ஒரு மால்வேர் மாதிரியை அதன் தோற்றம், செயல்பாடு மற்றும் சாத்தியமான தாக்கத்தைப் புரிந்துகொள்வதற்காக ஆய்வு செய்யும் செயல்முறையாகும். பாதுகாப்பை மேம்படுத்தவும், சம்பவங்களுக்கு பதிலளிக்கவும், அச்சுறுத்தல்களை முன்கூட்டியே வேட்டையாடவும் பயன்படுத்தக்கூடிய செயல் நுண்ணறிவை உருவாக்குவதே இறுதி இலக்கு. இந்த செயல்முறை பொதுவாக இரண்டு பரந்த வகைகளாக பிரிக்கப்படுகிறது:

• நிலையான பகுப்பாய்வு (Static Analysis): மால்வேரை இயக்காமல் அதன் குறியீடு மற்றும் கட்டமைப்பை ஆராய்வது. இது ஒரு கட்டிடத்தின் வடிவமைப்பைப் புரிந்துகொள்ள அதன் வரைபடத்தைப் படிப்பதைப் போன்றது.
• டைனமிக் பகுப்பாய்வு (Dynamic Analysis): மால்வேரை ஒரு பாதுகாப்பான, கட்டுப்படுத்தப்பட்ட சூழலில் இயக்கி அதன் நடத்தையை நிகழ்நேரத்தில் கவனிப்பது. இது ஒரு கார் சாலையில் எப்படி செயல்படுகிறது என்பதைப் பார்க்க அதை ஓட்டிப் பார்ப்பதைப் போன்றது.

நிலையான பகுப்பாய்வு ஒரு அடிப்படை புரிதலை வழங்கினாலும், குறியீடு குழப்பம் (code obfuscation) மற்றும் பேக்கிங் போன்ற நுட்பங்களால் அதைத் தடுக்க முடியும். இங்குதான் டைனமிக் பகுப்பாய்வு பிரகாசிக்கிறது, மால்வேர் கட்டவிழ்த்து விடப்படும்போது அது உண்மையில் என்ன செய்கிறது என்பதைப் பார்க்க அனுமதிக்கிறது.

இயக்கத்தில் தீங்கை டிகோடிங் செய்தல்: டைனமிக் பகுப்பாய்வைப் புரிந்துகொள்ளுதல்

டைனமிக் மால்வேர் பகுப்பாய்வு, பெரும்பாலும் நடத்தை பகுப்பாய்வு என்று அழைக்கப்படுகிறது, இது மால்வேர் இயங்கும்போது அதைக் கவனிக்கும் கலை மற்றும் அறிவியல் ஆகும். பிரிக்கப்பட்ட குறியீட்டின் வரிகளைப் பார்ப்பதற்குப் பதிலாக, ஆய்வாளர் ஒரு டிஜிட்டல் உயிரியலாளராகச் செயல்படுகிறார், மாதிரியை ஒரு பெட்ரி டிஷ்ஷில் (பாதுகாப்பான மெய்நிகர் சூழல்) வைத்து, அதன் செயல்களையும் தொடர்புகளையும் கவனமாக ஆவணப்படுத்துகிறார். இது போன்ற முக்கியமான கேள்விகளுக்கு பதிலளிக்கிறது:

• இது கணினியில் என்ன கோப்புகளை உருவாக்குகிறது அல்லது மாற்றுகிறது?
• ஒரு ரீபூட்டிற்குப் பிறகும் நிலைத்திருக்க அது முயற்சிக்குமா?
• இது ஒரு தொலைநிலை சேவையகத்துடன் தொடர்பு கொள்கிறதா? அப்படியானால், எங்கே, ஏன்?
• தரவைத் திருட, கோப்புகளை என்க்ரிப்ட் செய்ய, அல்லது ஒரு பின்கதவை (backdoor) நிறுவ இது முயற்சிக்கிறதா?
• இது பாதுகாப்பு மென்பொருளை முடக்க முயற்சிக்கிறதா?

நிலையான மற்றும் டைனமிக் பகுப்பாய்வு: இரண்டு வழிமுறைகளின் கதை

டைனமிக் பகுப்பாய்வை உண்மையிலேயே பாராட்ட, அதை அதன் நிலையான đối counterpart உடன் நேரடியாக ஒப்பிடுவது உதவியாக இருக்கும். அவை பரஸ்பரம் பிரத்தியேகமானவை அல்ல; உண்மையில், மிகவும் பயனுள்ள பகுப்பாய்வு பெரும்பாலும் இரண்டின் கலவையையும் உள்ளடக்கியது.

• நிலையான பகுப்பாய்வு
  • ஒப்புமை: ஒரு செய்முறையைப் படிப்பது. நீங்கள் அனைத்து பொருட்களையும் படிகளையும் பார்க்க முடியும், ஆனால் இறுதி உணவின் சுவை எப்படி இருக்கும் என்று உங்களுக்குத் தெரியாது.
  • நன்மைகள்: குறியீடு ஒருபோதும் இயக்கப்படாததால் இது இயல்பாகவே பாதுகாப்பானது. கோட்பாட்டளவில், இது ஒரு ஒற்றை ஓட்டத்தின் போது காணப்பட்ட ஒன்றை மட்டுமல்ல, மால்வேரின் சாத்தியமான அனைத்து εκτέλεσης பாதைகளையும் வெளிப்படுத்த முடியும்.
  • தீமைகள்: இது மிகவும் நேரத்தை எடுத்துக்கொள்ளக்கூடியது மற்றும் அசெம்ப்ளி மொழி மற்றும் ரிவர்ஸ் இன்ஜினியரிங் ஆகியவற்றில் ஆழ்ந்த நிபுணத்துவம் தேவைப்படுகிறது. மிக முக்கியமாக, அச்சுறுத்தல் நடிகர்கள் வேண்டுமென்றே பேக்கர்கள் மற்றும் குழப்பிகளைப் பயன்படுத்தி குறியீட்டைப் படிக்க முடியாததாக ஆக்குகிறார்கள், இது அடிப்படை நிலையான பகுப்பாய்வை பயனற்றதாக்குகிறது.
• டைனமிக் பகுப்பாய்வு
  • ஒப்புமை: செய்முறையை சமைத்து சுவைப்பது. நீங்கள் அதன் நேரடி விளைவுகளை அனுபவிக்கிறீர்கள், ஆனால் இந்த முறை பயன்படுத்தப்படாத ஒரு விருப்பப் பொருளை நீங்கள் தவறவிடலாம்.
  • நன்மைகள்: இது மால்வேரின் உண்மையான நடத்தையை வெளிப்படுத்துகிறது, பெரும்பாலும் எளிய குழப்பத்தைத் தவிர்க்கிறது, ஏனெனில் குறியீடு இயங்குவதற்கு நினைவகத்தில் குழப்ப நீக்கம் செய்யப்பட வேண்டும். முக்கிய செயல்பாடுகளை அடையாளம் காணவும், உடனடியாகப் பயன்படுத்தக்கூடிய சமரசத்தின் குறிகாட்டிகளை (IOCs) உருவாக்கவும் இது பொதுவாக வேகமானது.
  • தீமைகள்: பகுப்பாய்வு சூழல் முழுமையாக தனிமைப்படுத்தப்படாவிட்டால் இது ஒரு உள்ளார்ந்த ஆபத்தைக் கொண்டுள்ளது. மேலும், மேம்பட்ட மால்வேர் ஒரு சாண்ட்பாக்ஸ் அல்லது மெய்நிகர் இயந்திரத்தில் பகுப்பாய்வு செய்யப்படுவதைக் கண்டறிந்து அதன் நடத்தையை மாற்றலாம் அல்லது வெறுமனே இயங்க மறுக்கலாம். இது அந்த குறிப்பிட்ட ஓட்டத்தின் போது எடுக்கப்பட்ட εκτέλεσης பாதையை மட்டுமே வெளிப்படுத்துகிறது; மால்வேருக்கு தூண்டப்படாத பிற திறன்கள் இருக்கலாம்.

டைனமிக் பகுப்பாய்வின் இலக்குகள்

ஒரு ஆய்வாளர் டைனமிக் பகுப்பாய்வு செய்யும்போது, அவர்கள் குறிப்பிட்ட நுண்ணறிவைச் சேகரிக்கும் பணியில் உள்ளனர். முதன்மை நோக்கங்கள் பின்வருமாறு:

• சமரசத்தின் குறிகாட்டிகளை (IOCs) அடையாளம் காணுதல்: இது மிகவும் உடனடி இலக்கு. IOCs என்பவை மால்வேர் விட்டுச்செல்லும் டிஜிட்டல் தடயங்கள், கோப்பு ஹாஷ்கள் (MD5, SHA-256), கட்டளை மற்றும் கட்டுப்பாட்டு (C2) சேவையகங்களின் IP முகவரிகள் அல்லது டொமைன்கள், நிலைத்தன்மைக்காகப் பயன்படுத்தப்படும் ரெஜிஸ்ட்ரி விசைகள் அல்லது குறிப்பிட்ட மியூடெக்ஸ் பெயர்கள் போன்றவை.
• செயல்பாடு மற்றும் நோக்கத்தைப் புரிந்துகொள்ளுதல்: இது கோப்புகளை என்க்ரிப்ட் செய்ய வடிவமைக்கப்பட்ட ransomware-ஆ? இது நற்சான்றிதழ்களைத் திருட வடிவமைக்கப்பட்ட வங்கி ட்ரோஜனா? இது ஒரு தாக்குபவருக்கு தொலைநிலை கட்டுப்பாட்டைக் கொடுக்கும் பின்கதவா? இது ஒரு சக்திவாய்ந்த இரண்டாம் நிலை பேலோடைப் பெறுவதே ஒரே வேலையாகக் கொண்ட ஒரு எளிய பதிவிறக்கியா?
• நோக்கம் மற்றும் தாக்கத்தை தீர்மானித்தல்: அதன் நடத்தையைக் கவனிப்பதன் மூலம், ஒரு ஆய்வாளர் சாத்தியமான சேதத்தை மதிப்பிட முடியும். இது நெட்வொர்க்கில் பரவுகிறதா? இது முக்கியமான ஆவணங்களை வெளியேற்றுகிறதா? இதைப் புரிந்துகொள்வது சம்பவம் பதிலளிப்பு முயற்சிகளுக்கு முன்னுரிமை அளிக்க உதவுகிறது.
• கண்டறிதல் விதிகளுக்கான நுண்ணறிவைச் சேகரித்தல்: காணப்பட்ட நடத்தைகள் மற்றும் கலைப்பொருட்கள் பாதுகாப்பு கருவிகளுக்கான வலுவான கண்டறிதல் கையொப்பங்களை உருவாக்கப் பயன்படுத்தப்படலாம். இது நெட்வொர்க் அடிப்படையிலான விதிகள் (எ.கா., Snort அல்லது Suricata) மற்றும் ஹோஸ்ட் அடிப்படையிலான விதிகள் (எ.கா., YARA) ஆகியவற்றை உள்ளடக்கியது.
• கட்டமைப்புத் தரவைப் பிரித்தெடுத்தல்: பல மால்வேர் குடும்பங்கள் உட்பொதிக்கப்பட்ட கட்டமைப்புத் தரவைக் கொண்டுள்ளன, இதில் C2 சேவையக முகவரிகள், குறியாக்க விசைகள் அல்லது பிரச்சார அடையாளங்காட்டிகள் அடங்கும். டைனமிக் பகுப்பாய்வு பெரும்பாலும் மால்வேரை இந்தத் தரவை நினைவகத்தில் டிகிரிப்ட் செய்து பயன்படுத்தும்படி தூண்ட முடியும், அங்கு அதை ஆய்வாளர் கைப்பற்ற முடியும்.

உங்கள் கோட்டையைக் கட்டுதல்: ஒரு பாதுகாப்பான பகுப்பாய்வு சூழலை அமைத்தல்

எச்சரிக்கை: இது செயல்முறையின் மிக முக்கியமான பகுதியாகும். ஒருபோதும் சந்தேகத்திற்கிடமான கோப்பை உங்கள் தனிப்பட்ட அல்லது கார்ப்பரேட் கணினியில் இயக்க வேண்டாம். டைனமிக் பகுப்பாய்வின் முழு आधारமும் ஒரு முழுமையான தனிமைப்படுத்தப்பட்ட மற்றும் கட்டுப்படுத்தப்பட்ட ஆய்வக சூழலை உருவாக்குவதில் உள்ளது, இது பொதுவாக சாண்ட்பாக்ஸ் என்று அழைக்கப்படுகிறது. மால்வேரை இந்த கட்டுப்படுத்தப்பட்ட இடத்திற்குள் தடையின்றி இயங்க அனுமதிப்பதே இதன் குறிக்கோள், அது தப்பித்து நிஜ உலக சேதத்தை ஏற்படுத்தும் எந்த ஆபத்தும் இல்லாமல்.

ஆய்வகத்தின் இதயம்: மெய்நிகர் இயந்திரம் (VM)

மெய்நிகராக்கம் ஒரு மால்வேர் பகுப்பாய்வு ஆய்வகத்தின் மூலக்கல்லாகும். ஒரு மெய்நிகர் இயந்திரம் (VM) என்பது உங்கள் ಭೌತಿಕ கணினியில் (ஹோஸ்ட்) இயங்கும் ஒரு முழுமையாக உருவகப்படுத்தப்பட்ட கணினி அமைப்பாகும். Oracle VM VirtualBox (இலவசம்) அல்லது VMware Workstation Player/Pro போன்ற மென்பொருட்கள் தொழில் தரநிலைகளாகும்.

ஒரு VM ஐ ஏன் பயன்படுத்த வேண்டும்?

• தனிமைப்படுத்தல்: ஒரு VM ஹோஸ்ட் இயக்க முறைமையிலிருந்து சாண்ட்பாக்ஸ் செய்யப்பட்டுள்ளது. மால்வேர் VM இன் முழு C: டிரைவையும் என்க்ரிப்ட் செய்தால், உங்கள் ஹோஸ்ட் கணினி பாதிக்கப்படாமல் இருக்கும்.
• மீளமைத்தல்: VM களின் மிகவும் சக்திவாய்ந்த அம்சம் 'ஸ்னாப்ஷாட்களை' எடுக்கும் திறன் ஆகும். ஒரு ஸ்னாப்ஷாட் ஒரு நேரத்தில் VM இன் சரியான நிலையைப் பிடிக்கிறது. நிலையான பணிப்பாய்வு: ஒரு சுத்தமான VM ஐ அமைக்கவும், ஒரு ஸ்னாப்ஷாட் எடுக்கவும், மால்வேரை இயக்கவும், மற்றும் பகுப்பாய்விற்குப் பிறகு, VM ஐ சுத்தமான ஸ்னாப்ஷாட்டிற்கு மீட்டெடுக்கவும். இந்த செயல்முறை வினாடிகள் எடுக்கும் மற்றும் ஒவ்வொரு புதிய மாதிரிக்கும் உங்களிடம் ஒரு புதிய, களங்கமற்ற சூழல் இருப்பதை உறுதி செய்கிறது.

உங்கள் பகுப்பாய்வு VM ஒரு வழக்கமான கார்ப்பரேட் சூழலைப் பிரதிபலிக்கும் வகையில் கட்டமைக்கப்பட வேண்டும், இதனால் மால்வேர் 'வீட்டில்' இருப்பது போல் உணரும். இதில் Microsoft Office, Adobe Reader மற்றும் ஒரு வலை உலாவி போன்ற பொதுவான மென்பொருட்களை நிறுவுவதும் அடங்கும்.

நெட்வொர்க் தனிமைப்படுத்தல்: டிஜிட்டல் அலைகளைக் கட்டுப்படுத்துதல்

VM இன் நெட்வொர்க் இணைப்பைக் கட்டுப்படுத்துவது முக்கியம். நீங்கள் அதன் நெட்வொர்க் போக்குவரத்தைக் கவனிக்க விரும்புகிறீர்கள், ஆனால் அது உங்கள் உள்ளூர் நெட்வொர்க்கில் உள்ள மற்ற கணினிகளை வெற்றிகரமாகத் தாக்கவோ அல்லது ஒரு தொலைநிலை தாக்குபவரை எச்சரிக்கவோ நீங்கள் விரும்பவில்லை. நெட்வொர்க் கட்டமைப்பில் பல நிலைகள் உள்ளன:

• முழுமையாக தனிமைப்படுத்தப்பட்டது (ஹோஸ்ட்-மட்டும்): VM ஹோஸ்ட் கணினியுடன் மட்டுமே தொடர்பு கொள்ள முடியும், வேறு எதனுடனும் இல்லை. இது பாதுகாப்பான விருப்பமாகும், மேலும் அதன் முக்கிய நடத்தையை வெளிப்படுத்த இணைய இணைப்பு தேவைப்படாத மால்வேரை பகுப்பாய்வு செய்ய இது பயனுள்ளதாக இருக்கும் (எ.கா., ஒரு எளிய கோப்பு-குறியாக்க ransomware).
• உருவகப்படுத்தப்பட்ட இணையம் (உள் நெட்வொர்க்கிங்): ஒரு மேம்பட்ட அமைப்பில் ஒரு உள்-மட்டும் நெட்வொர்க்கில் இரண்டு VM கள் அடங்கும். முதலாவது உங்கள் பகுப்பாய்வு VM. இரண்டாவது VM INetSim போன்ற கருவிகளை இயக்கி ஒரு போலி இணையமாக செயல்படுகிறது. INetSim HTTP/S, DNS மற்றும் FTP போன்ற பொதுவான சேவைகளை உருவகப்படுத்துகிறது. மால்வேர் `www.evil-c2-server.com` ஐ தீர்க்க முயற்சிக்கும்போது, உங்கள் போலி DNS சேவையகம் பதிலளிக்க முடியும். அது ஒரு கோப்பை பதிவிறக்க முயற்சிக்கும்போது, உங்கள் போலி HTTP சேவையகம் ஒன்றை வழங்க முடியும். இது மால்வேர் உண்மையான இணையத்தைத் தொடாமல் நெட்வொர்க் கோரிக்கைகளைக் கவனிக்க உங்களை அனுமதிக்கிறது.
• கட்டுப்படுத்தப்பட்ட இணைய அணுகல்: மிகவும் ஆபத்தான விருப்பம். இங்கே, நீங்கள் VM ஐ உண்மையான இணையத்தை அணுக அனுமதிக்கிறீர்கள், பொதுவாக ஒரு VPN அல்லது முற்றிலும் தனி ಭೌತಿಕ நெட்வொர்க் இணைப்பு மூலம். இது சில நேரங்களில் மேம்பட்ட மால்வேருக்கு அவசியமாகிறது, இது அதன் தீங்கிழைக்கும் பேலோடை இயக்கும் முன் உண்மையான இணைய இணைப்பு உள்ளதா என்பதை சரிபார்க்க நுட்பங்களைப் பயன்படுத்துகிறது. இது அபாயங்களை முழுமையாகப் புரிந்துகொண்ட அனுபவம் வாய்ந்த ஆய்வாளர்களால் மட்டுமே செய்யப்பட வேண்டும்.

ஆய்வாளரின் கருவித்தொகுப்பு: அத்தியாவசிய மென்பொருள்

உங்கள் 'சுத்தமான' ஸ்னாப்ஷாட்டை எடுப்பதற்கு முன், உங்கள் பகுப்பாய்வு VM ஐ சரியான கருவிகளுடன் ஆயுதபாணியாக்க வேண்டும். இந்த கருவித்தொகுப்பு பகுப்பாய்வின் போது உங்கள் கண்களாகவும் காதுகளாகவும் இருக்கும்.

• செயல்முறை கண்காணிப்பு: சிசிஸ்டர்னல்ஸ் சூட்டிலிருந்து Process Monitor (ProcMon) மற்றும் Process Hacker/Explorer ஆகியவை செயல்முறை உருவாக்கம், கோப்பு I/O மற்றும் ரெஜிஸ்ட்ரி செயல்பாட்டைக் கண்காணிக்க இன்றியமையாதவை.
• கணினி நிலை ஒப்பீடு: Regshot என்பது உங்கள் ரெஜிஸ்ட்ரி மற்றும் கோப்பு முறைமையின் 'முன்' மற்றும் 'பின்' ஸ்னாப்ஷாட்டை எடுத்து, ஒவ்வொரு மாற்றத்தையும் எடுத்துக்காட்டும் ஒரு எளிய ஆனால் பயனுள்ள கருவியாகும்.
• நெட்வொர்க் போக்குவரத்து பகுப்பாய்வு: Wireshark என்பது மூல நெட்வொர்க் பாக்கெட்டுகளைப் பிடித்து பகுப்பாய்வு செய்வதற்கான உலகளாவிய தரநிலையாகும். குறியாக்கம் செய்யப்பட்ட HTTP/S போக்குவரத்திற்கு, Fiddler அல்லது mitmproxy ஒரு மனிதன்-நடுவில் ஆய்வைச் செய்யப் பயன்படுத்தப்படலாம்.
• பிழைதிருத்திகள் மற்றும் பிரிப்பான்கள்: ஆழமான ஆய்வுகளுக்கு, x64dbg, OllyDbg, அல்லது IDA Pro போன்ற கருவிகள் பயன்படுத்தப்படுகின்றன, இருப்பினும் இவை பெரும்பாலும் டைனமிக் மற்றும் நிலையான பகுப்பாய்வுக்கு இடையிலான இடைவெளியைக் குறைக்கின்றன.

வேட்டை தொடங்குகிறது: டைனமிக் பகுப்பாய்வுக்கான ஒரு படிப்படியான வழிகாட்டி

உங்கள் பாதுகாப்பான ஆய்வகம் தயாரானதும், பகுப்பாய்வைத் தொடங்குவதற்கான நேரம் இது. இந்த செயல்முறை முறைப்படுத்தப்பட்டது மற்றும் கவனமான ஆவணப்படுத்தல் தேவை.

கட்டம் 1: தயாரிப்பு மற்றும் அடிப்படை நிலை

1. சுத்தமான ஸ்னாப்ஷாட்டிற்குத் திரும்புதல்: எப்போதும் ஒரு அறியப்பட்ட-நல்ல நிலையில் இருந்து தொடங்கவும். உங்கள் VM ஐ நீங்கள் அமைத்த பிறகு எடுத்த சுத்தமான ஸ்னாப்ஷாட்டிற்கு மீட்டெடுக்கவும்.
2. அடிப்படை நிலைப் பிடிப்பைத் தொடங்குதல்: Regshot போன்ற ஒரு கருவியைத் துவக்கி '1வது ஷாட்' எடுக்கவும். இது கோப்பு முறைமை மற்றும் ரெஜிஸ்ட்ரியின் உங்கள் அடிப்படை நிலையை உருவாக்குகிறது.
3. கண்காணிப்புக் கருவிகளைத் துவக்குதல்: Process Monitor மற்றும் Wireshark ஐத் திறந்து நிகழ்வுகளைப் பிடிக்கத் தொடங்கவும். இன்னும் இயக்கப்படாத மால்வேர் செயல்முறையில் கவனம் செலுத்த உங்கள் ProcMon இல் உள்ள வடிப்பான்களை உள்ளமைக்கவும், ஆனால் அது மற்ற செயல்முறைகளில் உருவாகினால் அல்லது செலுத்தினால் அவற்றை அழிக்கத் தயாராக இருங்கள்.
4. மாதிரியை மாற்றுதல்: மால்வேர் மாதிரியை VM க்கு பாதுகாப்பாக மாற்றவும். ஒரு பகிரப்பட்ட கோப்புறை (இது உடனடியாக முடக்கப்பட வேண்டும்) அல்லது ஒரு எளிய இழுத்து-விடுதல் பொதுவானது.

கட்டம் 2: இயக்கம் மற்றும் கவனிப்பு

இது உண்மையின் தருணம். கோப்பு வகையைப் பொறுத்து, மால்வேர் மாதிரியை இருமுறை கிளிக் செய்யவும் அல்லது கட்டளை வரியிலிருந்து இயக்கவும். உங்கள் வேலை இப்போது ஒரு செயலற்ற ஆனால் விழிப்புடன் இருக்கும் பார்வையாளராக இருப்பது. மால்வேரை அதன் போக்கில் இயங்க விடுங்கள். சில நேரங்களில் அதன் செயல்கள் உடனடியாக இருக்கும்; மற்ற நேரங்களில், அது ஒரு ஸ்லீப் டைமரைக் கொண்டிருக்கலாம், நீங்கள் காத்திருக்க வேண்டியிருக்கும். மேலும் நடத்தையைத் தூண்டுவதற்குத் தேவைப்பட்டால் கணினியுடன் தொடர்பு கொள்ளுங்கள் (எ.கா., அது உருவாக்கும் ஒரு போலி பிழைச் செய்தியில் கிளிக் செய்தல்).

கட்டம் 3: முக்கிய நடத்தை குறிகாட்டிகளைக் கண்காணித்தல்

இது பகுப்பாய்வின் மையமாகும், இங்கு நீங்கள் உங்கள் அனைத்து கண்காணிப்புக் கருவிகளிலிருந்தும் தரவைத் தொடர்புபடுத்தி மால்வேரின் செயல்பாட்டின் ஒரு சித்திரத்தை உருவாக்குகிறீர்கள். நீங்கள் பல களங்களில் குறிப்பிட்ட வடிவங்களைத் தேடுகிறீர்கள்.

1. செயல்முறை செயல்பாடு

பதிலளிக்க Process Monitor மற்றும் Process Hacker ஐப் பயன்படுத்தவும்:

• செயல்முறை உருவாக்கம்: மால்வேர் புதிய செயல்முறைகளைத் தொடங்கியதா? தீங்கிழைக்கும் செயல்களைச் செய்ய அது முறையான விண்டோஸ் பயன்பாடுகளை (`powershell.exe`, `schtasks.exe`, அல்லது `bitsadmin.exe` போன்றவை) தொடங்கியதா? இது நிலத்திலிருந்து வாழ்வது (Living Off the Land - LotL) எனப்படும் ஒரு பொதுவான நுட்பமாகும்.
• செயல்முறை ஊசி (Process Injection): அசல் செயல்முறை முடிவடைந்து `explorer.exe` அல்லது `svchost.exe` போன்ற ஒரு முறையான செயல்முறைக்குள் 'மறைந்து' போனதா? இது ஒரு உன்னதமான ஏமாற்று நுட்பமாகும். Process Hacker செலுத்தப்பட்ட செயல்முறைகளை அடையாளம் காண உதவும்.
• மியூடெக்ஸ் உருவாக்கம்: மால்வேர் ஒரு மியூடெக்ஸ் பொருளை உருவாக்குகிறதா? மால்வேர் ஒரு கணினியில் அதன் ஒரே ஒரு நிகழ்வு மட்டுமே இயங்குவதை உறுதி செய்ய இதை அடிக்கடி செய்கிறது. மியூடெக்ஸின் பெயர் மிகவும் நம்பகமான IOC ஆக இருக்கலாம்.

2. கோப்பு முறைமை மாற்றங்கள்

பதிலளிக்க ProcMon மற்றும் உங்கள் Regshot ஒப்பீட்டைப் பயன்படுத்தவும்:

• கோப்பு உருவாக்கம் (டிராப்பிங்): மால்வேர் புதிய கோப்புகளை உருவாக்கியதா? அவற்றின் பெயர்கள் மற்றும் இருப்பிடங்களைக் கவனியுங்கள் (எ.கா., `C:\Users\\AppData\Local\Temp`, `C:\ProgramData`). இந்த கைவிடப்பட்ட கோப்புகள் அதன் நகல்களாக, இரண்டாம் நிலை பேலோடுகளாக அல்லது கட்டமைப்பு கோப்புகளாக இருக்கலாம். அவற்றின் கோப்பு ஹாஷ்களைக் கணக்கிடுவதை உறுதிப்படுத்திக் கொள்ளுங்கள்.
• கோப்பு நீக்கம்: மால்வேர் ஏதேனும் கோப்புகளை நீக்கியதா? அது பாதுகாப்பு கருவி பதிவுகளை அல்லது அதன் தடயங்களை மறைக்க அசல் மாதிரியையே நீக்க முயற்சி செய்யலாம் (எதிர்-தடயவியல்).
• கோப்பு மாற்றம்: அது ஏற்கனவே உள்ள கணினி அல்லது பயனர் கோப்புகளை மாற்றியதா? Ransomware ஒரு சிறந்த எடுத்துக்காட்டு, ஏனெனில் அது முறையாக பயனர் ஆவணங்களை என்க்ரிப்ட் செய்கிறது.

3. ரெஜிஸ்ட்ரி மாற்றங்கள்

விண்டோஸ் ரெஜிஸ்ட்ரி மால்வேருக்கான ஒரு அடிக்கடி இலக்காகும். ProcMon மற்றும் Regshot ஐப் பயன்படுத்தி தேடுங்கள்:

• நிலைத்தன்மை வழிமுறைகள்: இது ஒரு முதன்மை முன்னுரிமை. ஒரு ரீபூட்டிற்குப் பிறகு மால்வேர் எப்படி உயிர்வாழும்? `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` அல்லது `HKLM\Software\Microsoft\Windows\CurrentVersion\Run` போன்ற பொதுவான ஆட்டோரன் இடங்களில் புதிய உள்ளீடுகளைத் தேடுங்கள். அது ஒரு புதிய சேவை அல்லது திட்டமிடப்பட்ட பணியையும் உருவாக்கலாம்.
• கட்டமைப்பு சேமிப்பு: மால்வேர் அதன் கட்டமைப்புத் தரவை, C2 முகவரிகள் அல்லது குறியாக்க விசைகள் போன்றவை, ரெஜிஸ்ட்ரிக்குள் சேமிக்கலாம்.
• பாதுகாப்பு அம்சங்களை முடக்குதல்: விண்டோஸ் டிஃபென்டர் அல்லது பயனர் கணக்கு கட்டுப்பாடு (UAC) அமைப்புகளில் மாற்றங்கள் போன்ற, கணினியின் பாதுகாப்பை பலவீனப்படுத்த வடிவமைக்கப்பட்ட மாற்றங்களைத் தேடுங்கள்.

4. நெட்வொர்க் தொடர்புகள்

Wireshark இல், உங்கள் VM இலிருந்து வரும் போக்குவரத்திற்கு வடிப்பானிடவும். உங்களை நீங்களே கேட்டுக்கொள்ளுங்கள்:

• DNS வினவல்கள்: மால்வேர் எந்த டொமைன் பெயர்களைத் தீர்க்க முயற்சிக்கிறது? இணைப்பு தோல்வியுற்றாலும், வினவல் என்பதே ஒரு வலுவான IOC ஆகும்.
• C2 பீக்கனிங்: அது ஒரு கட்டளை மற்றும் கட்டுப்பாட்டு (C2) சேவையகத்திற்கு 'வீட்டிற்கு அழைக்க' முயற்சிக்கிறதா? IP முகவரி, போர்ட் மற்றும் நெறிமுறையைக் (HTTP, HTTPS, அல்லது ஒரு தனிப்பயன் TCP/UDP நெறிமுறை) கவனியுங்கள்.
• தரவு வெளியேற்றம்: நீங்கள் அதிக அளவு தரவு வெளியே அனுப்பப்படுவதைப் பார்க்கிறீர்களா? இது தரவுத் திருட்டைக் குறிக்கலாம். குறியாக்கம் செய்யப்பட்ட தரவைக் கொண்ட ஒரு HTTP POST கோரிக்கை ஒரு பொதுவான வடிவமாகும்.
• பேலோடுகளைப் பதிவிறக்குதல்: இது கூடுதல் கோப்புகளைப் பதிவிறக்க முயற்சிக்கிறதா? URL ஒரு மதிப்புமிக்க IOC ஆகும். INetSim உடன் உங்கள் உருவகப்படுத்தப்பட்ட சூழலில், நீங்கள் GET கோரிக்கையைப் பார்க்கலாம் மற்றும் அது எதைப் பெற முயன்றது என்பதை பகுப்பாய்வு செய்யலாம்.

கட்டம் 4: இயக்கத்திற்குப் பிந்தைய பகுப்பாய்வு மற்றும் சுத்தம் செய்தல்

1. பிடிப்பதை நிறுத்துதல்: மால்வேர் அதன் முதன்மை நடவடிக்கைகளை முடித்துவிட்டதாக நீங்கள் நம்பியவுடன், ProcMon மற்றும் Wireshark இல் பிடிப்பதை நிறுத்தவும்.
2. இறுதி ஸ்னாப்ஷாட் எடுத்தல்: Regshot இல் '2வது ஷாட்' எடுத்து, அனைத்து கோப்பு முறைமை மற்றும் ரெஜிஸ்ட்ரி மாற்றங்களின் ஒரு நேர்த்தியான அறிக்கையை உருவாக்க ஒப்பீட்டை இயக்கவும்.
3. பகுப்பாய்வு மற்றும் ஆவணப்படுத்துதல்: உங்கள் அனைத்து கருவிகளிலிருந்தும் பதிவுகளைச் சேமிக்கவும். நிகழ்வுகளைத் தொடர்புபடுத்தி மால்வேரின் செயல்களின் ஒரு காலவரிசையை உருவாக்கவும். கண்டுபிடிக்கப்பட்ட அனைத்து IOC களையும் ஆவணப்படுத்தவும்.
4. VM ஐ மீட்டெடுக்கவும்: இது பேரம் பேச முடியாதது. உங்கள் தரவு பாதுகாப்பாக ஏற்றுமதி செய்யப்பட்டவுடன், VM ஐ அதன் சுத்தமான ஸ்னாப்ஷாட்டிற்கு மீட்டெடுக்கவும். பாதிக்கப்பட்ட VM ஐ மீண்டும் பயன்படுத்த வேண்டாம்.

பூனை மற்றும் எலி விளையாட்டு: மால்வேர் ஏமாற்று நுட்பங்களை சமாளித்தல்

மால்வேர் ஆசிரியர்கள் அப்பாவிகள் அல்லர். அவர்கள் டைனமிக் பகுப்பாய்வு பற்றி அறிந்திருக்கிறார்கள் மற்றும் அதைக் கண்டறிந்து தவிர்க்க அம்சங்களை தீவிரமாக உருவாக்குகிறார்கள். ஒரு ஆய்வாளரின் வேலையின் ஒரு குறிப்பிடத்தக்க பகுதி இந்த நுட்பங்களை அங்கீகரித்து கடந்து செல்வதாகும்.

சாண்ட்பாக்ஸ்-எதிர்ப்பு மற்றும் VM-எதிர்ப்பு கண்டறிதல்

மால்வேர் ஒரு மெய்நிகராக்கப்பட்ட அல்லது தானியங்கு சூழலில் இயங்குவதற்கான அறிகுறிகளைச் சரிபார்க்க முடியும். பொதுவான சோதனைகள் பின்வருமாறு:

• VM கலைப்பொருட்கள்: VM-குறிப்பிட்ட கோப்புகளை (`vmtoolsd.exe`), சாதன இயக்கிகள், ரெஜிஸ்ட்ரி விசைகள் (`HKLM\HARDWARE\Description\System\SystemBiosVersion` 'VMWARE' அல்லது 'VBOX' ஐக் கொண்டவை), அல்லது VMware/VirtualBox க்கு சொந்தமான MAC முகவரிகளைத் தேடுதல்.
• பயனர் செயல்பாடு இல்லாமை: சமீபத்திய ஆவணங்கள், உலாவி வரலாறு அல்லது சுட்டி இயக்கத்தைச் சரிபார்த்தல். ஒரு தானியங்கு சாண்ட்பாக்ஸ் இவற்றை நம்பத்தகுந்த வகையில் உருவகப்படுத்தாமல் இருக்கலாம்.
• கணினி விவரக்குறிப்புகள்: வழக்கத்திற்கு மாறாக குறைந்த CPU எண்ணிக்கை, சிறிய அளவு ரேம் அல்லது சிறிய வட்டு அளவுகளைச் சரிபார்த்தல், இது ஒரு இயல்புநிலை VM அமைப்பின் சிறப்பியல்பாக இருக்கலாம்.

ஆய்வாளரின் பதில்: உங்கள் VM ஐ ஒரு உண்மையான பயனரின் கணினி போல தோற்றமளிக்க கடினப்படுத்துங்கள். இது 'எதிர்-எதிர்-VM' அல்லது 'எதிர்-எதிர்-சாண்ட்பாக்ஸ்' எனப்படும் ஒரு செயல்முறையாகும், இதில் VM செயல்முறைகளை மறுபெயரிடுதல், சொல்லும் ரெஜிஸ்ட்ரி விசைகளை சுத்தம் செய்தல் மற்றும் பயனர் செயல்பாட்டை உருவகப்படுத்த ஸ்கிரிப்ட்களைப் பயன்படுத்துதல் ஆகியவை அடங்கும்.

பிழைதிருத்தி-எதிர்ப்பு

மால்வேர் அதன் செயல்முறையுடன் ஒரு பிழைதிருத்தி இணைக்கப்பட்டுள்ளதைக் கண்டறிந்தால், அது உடனடியாக வெளியேறலாம் அல்லது ஆய்வாளரைத் தவறாக வழிநடத்த அதன் நடத்தையை மாற்றலாம். இது `IsDebuggerPresent()` போன்ற விண்டோஸ் API அழைப்புகளை அல்லது பிழைதிருத்தியின் இருப்பைக் கண்டறிய மேம்பட்ட தந்திரங்களைப் பயன்படுத்தலாம்.

ஆய்வாளரின் பதில்: மால்வேரிலிருந்து தங்கள் இருப்பை மறைக்க வடிவமைக்கப்பட்ட பிழைதிருத்தி செருகுநிரல்கள் அல்லது மாற்றியமைக்கப்பட்ட பிழைதிருத்திகளைப் பயன்படுத்தவும்.

நேரம் சார்ந்த ஏமாற்றுதல்

பல தானியங்கு சாண்ட்பாக்ஸ்கள் ஒரு வரையறுக்கப்பட்ட இயக்க நேரத்தைக் கொண்டுள்ளன (எ.கா., 5-10 நிமிடங்கள்). மால்வேர் அதன் தீங்கிழைக்கும் குறியீட்டை இயக்கும் முன் 15 நிமிடங்கள் தூங்குவதன் மூலம் இதை சுரண்டலாம். அது விழித்தெழும் நேரத்தில், தானியங்கு பகுப்பாய்வு முடிந்துவிடும்.

ஆய்வாளரின் பதில்: கைமுறை பகுப்பாய்வின் போது, நீங்கள் வெறுமனே காத்திருக்கலாம். நீங்கள் ஒரு தூக்க அழைப்பை சந்தேகித்தால், நீங்கள் ஒரு பிழைதிருத்தியைப் பயன்படுத்தி தூக்க செயல்பாட்டைக் கண்டுபிடித்து, உடனடியாகத் திரும்பும்படி அதை ஒட்டலாம் அல்லது நேரத்தை வேகமாக முன்னோக்கி நகர்த்த VM இன் கணினி கடிகாரத்தைக் கையாள கருவிகளைப் பயன்படுத்தலாம்.

முயற்சியை அளவிடுதல்: கைமுறை எதிராக தானியங்கு டைனமிக் பகுப்பாய்வு

மேலே விவரிக்கப்பட்ட கைமுறை செயல்முறை நம்பமுடியாத ஆழத்தை வழங்குகிறது, ஆனால் ஒரு நாளைக்கு நூற்றுக்கணக்கான சந்தேகத்திற்கிடமான கோப்புகளைக் கையாளும்போது அது அளவிடக்கூடியதல்ல. இங்குதான் தானியங்கு சாண்ட்பாக்ஸ்கள் வருகின்றன.

தானியங்கு சாண்ட்பாக்ஸ்கள்: அளவின் சக்தி

தானியங்கு சாண்ட்பாக்ஸ்கள் என்பது ஒரு கருவியிடப்பட்ட சூழலில் ஒரு கோப்பை தானாக இயக்கி, நாம் விவாதித்த அனைத்து கண்காணிப்பு நடவடிக்கைகளையும் செய்து, ஒரு விரிவான அறிக்கையை உருவாக்கும் அமைப்புகளாகும். பிரபலமான எடுத்துக்காட்டுகள் பின்வருமாறு:

• திறந்த மூலம்: குக்கூ சாண்ட்பாக்ஸ் மிகவும் அறியப்பட்ட திறந்த மூல தீர்வாகும், இருப்பினும் அதை அமைப்பதற்கும் பராமரிப்பதற்கும் குறிப்பிடத்தக்க முயற்சி தேவைப்படுகிறது.
• வணிக/கிளவுட்: ANY.RUN (இது ஊடாடும் பகுப்பாய்வை வழங்குகிறது), ஹைப்ரிட் பகுப்பாய்வு, ஜோ சாண்ட்பாக்ஸ், மற்றும் VMRay அனலைசர் போன்ற சேவைகள் சக்திவாய்ந்த, பயன்படுத்த எளிதான தளங்களை வழங்குகின்றன.

நன்மைகள்: அவை அதிக அளவிலான மாதிரிகளை வகைப்படுத்துவதற்கு நம்பமுடியாத வேகமாகவும் திறமையாகவும் இருக்கின்றன, ஒரு விரைவான தீர்ப்பையும் IOC களின் வளமான அறிக்கையையும் வழங்குகின்றன.

தீமைகள்: அவை மேலே குறிப்பிடப்பட்ட ஏமாற்று நுட்பங்களுக்கு ஒரு முக்கிய இலக்காகும். ஒரு அதிநவீன மால்வேர் தானியங்கு சூழலைக் கண்டறிந்து தீங்கற்ற நடத்தையைக் காட்டலாம், இது ஒரு தவறான எதிர்மறைக்கு வழிவகுக்கும்.

கைமுறை பகுப்பாய்வு: ஆய்வாளரின் தொடுதல்

இது நாம் கவனம் செலுத்திய விரிவான, கைமுறை செயல்முறையாகும். இது ஆய்வாளரின் நிபுணத்துவம் மற்றும் உள்ளுணர்வால் இயக்கப்படுகிறது.

நன்மைகள்: இது பகுப்பாய்வின் மிகப்பெரிய ஆழத்தை வழங்குகிறது. ஒரு திறமையான ஆய்வாளர் ஒரு தானியங்கு அமைப்பை ஏமாற்றும் ஏமாற்று நுட்பங்களை அங்கீகரித்து கடந்து செல்ல முடியும்.

தீமைகள்: இது மிகவும் நேரத்தை எடுத்துக்கொள்ளக்கூடியது மற்றும் அளவிட முடியாதது. இது உயர் முன்னுரிமை மாதிரிகள் அல்லது தானியங்கு பகுப்பாய்வு தோல்வியுற்ற அல்லது போதுமான விவரங்களை வழங்காத நிகழ்வுகளுக்கு சிறப்பாக ஒதுக்கப்பட்டுள்ளது.

ஒரு நவீன பாதுகாப்பு செயல்பாட்டு மையத்தில் (SOC) சிறந்த அணுகுமுறை ஒரு அடுக்கு அணுகுமுறையாகும்: அனைத்து மாதிரிகளின் ஆரம்ப வகைப்படுத்தலுக்கு ஆட்டோமேஷனைப் பயன்படுத்தவும், மற்றும் மிகவும் சுவாரஸ்யமான, ஏமாற்றும் அல்லது முக்கியமான மாதிரிகளை கைமுறை ஆழமான பகுப்பாய்வுக்கு leo escalated செய்யவும்.

அனைத்தையும் ஒன்றிணைத்தல்: நவீன சைபர் பாதுகாப்பில் டைனமிக் பகுப்பாய்வின் பங்கு

டைனமிக் பகுப்பாய்வு ஒரு கல்விப் பயிற்சி மட்டுமல்ல; இது நவீன தற்காப்பு மற்றும் தாக்குதல் சைபர் பாதுகாப்பின் ஒரு அடிப்படை தூணாகும். மால்வேரைப் பாதுகாப்பாக வெடிக்கச் செய்து அதன் நடத்தையைக் கவனிப்பதன் மூலம், நாம் ஒரு μυστηριώδη அச்சுறுத்தலை ஒரு அறியப்பட்ட அளவாக மாற்றுகிறோம். நாம் பிரித்தெடுக்கும் IOC கள் எதிர்காலத் தாக்குதல்களைத் தடுக்க ஃபயர்வால்கள், ஊடுருவல் கண்டறிதல் அமைப்புகள் மற்றும் இறுதிப்புள்ளி பாதுகாப்பு தளங்களுக்கு நேரடியாக ஊட்டப்படுகின்றன. நாம் உருவாக்கும் நடத்தை அறிக்கைகள் சம்பவம் பதிலளிப்பாளர்களுக்குத் தெரிவிக்கின்றன, இது அவர்களின் நெட்வொர்க்குகளிலிருந்து அச்சுறுத்தல்களை திறம்பட வேட்டையாடவும் ஒழிக்கவும் அனுமதிக்கிறது.

நிலப்பரப்பு தொடர்ந்து மாறிக்கொண்டே இருக்கிறது. மால்வேர் மேலும் ஏமாற்றுவதாக மாறும்போது, நமது பகுப்பாய்வு நுட்பங்கள் அதனுடன் சேர்ந்து உருவாக வேண்டும். நீங்கள் ஒரு ஆர்வமுள்ள SOC ஆய்வாளராக இருந்தாலும், ஒரு அனுபவமிக்க சம்பவம் பதிலளிப்பாளராக இருந்தாலும், அல்லது ஒரு அர்ப்பணிப்புள்ள அச்சுறுத்தல் ஆராய்ச்சியாளராக இருந்தாலும், டைனமிக் பகுப்பாய்வின் கொள்கைகளில் தேர்ச்சி பெறுவது ஒரு அத்தியாவசிய திறமையாகும். இது எச்சரிக்கைகளுக்கு வெறுமனே ಪ್ರತಿಕ್ರಿಯಿಸುವುದைத் தாண்டி, எதிரியை முன்கூட்டியே புரிந்துகொள்ளத் தொடங்க உங்களுக்கு அதிகாரம் அளிக்கிறது, ஒரு நேரத்தில் ஒரு வெடிப்பு.