Анализ вредоносного ПО

Анализ вредоносного ПО - это исследование или процесс определения функциональности, происхождения и потенциального воздействия конкретного образца вредоносного ПО, например вируса , червя , троянского коня , руткита или бэкдора . ^[1] Вредоносное ПО или вредоносное программное обеспечение - это любое компьютерное программное обеспечение, предназначенное для нанесения вреда операционной системе хоста или для кражи конфиденциальных данных у пользователей, организаций или компаний. Вредоносное ПО может включать программное обеспечение, которое собирает информацию о пользователях без разрешения. ^[2]

Сценарии использования [ править ]

Существует три типичных варианта использования, которые вызывают необходимость в анализе вредоносных программ:

Управление инцидентами компьютерной безопасности : если организация обнаруживает или подозревает, что какое-то вредоносное ПО могло проникнуть в ее системы, группа реагирования может пожелать выполнить анализ вредоносных программ на любых потенциальных образцах, обнаруженных в процессе расследования, чтобы определить, являются ли они вредоносным ПО и, если Итак, какое влияние это вредоносное ПО может оказать на системы в среде целевой организации.
Исследование вредоносных программ : академические или отраслевые исследователи вредоносных программ могут выполнять анализ вредоносных программ, просто чтобы понять, как ведет себя вредоносная программа и какие новейшие методы используются при ее создании.
Индикатор извлечения компрометации : поставщики программных продуктов и решений могут выполнять массовый анализ вредоносных программ для определения новых потенциальных индикаторов компрометации; эта информация может затем использоваться в продукте или решении для обеспечения безопасности, чтобы помочь организациям лучше защищаться от атак вредоносных программ.

Типы [ править ]

Метод, с помощью которого выполняется анализ вредоносных программ, обычно подпадает под один из двух типов:

Статический анализ вредоносных программ : статический анализ или анализ кода обычно выполняется путем анализа различных ресурсов двоичного файла без его выполнения и изучения каждого компонента. Двоичный файл также можно разобрать (или реконструировать).) с помощью дизассемблера, такого как IDA или Ghidra. Машинный код иногда можно преобразовать в код сборки, который может быть прочитан и понят людьми: аналитик вредоносных программ может затем прочитать сборку, поскольку она коррелирует с конкретными функциями и действиями внутри программы, затем понять инструкции сборки и получить лучшая визуализация того, что делает программа и как она была изначально разработана. Просмотр сборки позволяет аналитику вредоносных программ / обратному инженеру лучше понять, что должно произойти, по сравнению с тем, что происходит на самом деле, и начать выявлять скрытые действия или непредвиденные функции. Некоторые современные вредоносные программы создаются с использованием методов уклонения, чтобы обойти этот тип анализа.например, путем внедрения синтаксических ошибок кода, которые запутают дизассемблеры, но которые все равно будут работать во время фактического выполнения.^[3]
Динамический анализ вредоносных программ : динамический или поведенческий анализ выполняется путем наблюдения за поведением вредоносного ПО, когда оно фактически работает в хост-системе. Эта форма анализа часто выполняется в среде «песочницы», чтобы предотвратить заражение вредоносными программами производственных систем; многие такие песочницы представляют собой виртуальные системы, которые можно легко вернуть в чистое состояние после завершения анализа. Вредоносное ПО также может быть отлажено во время работы с помощью отладчика, такого как GDB или WinDbg.чтобы шаг за шагом наблюдать за поведением и воздействием вредоносного ПО на хост-систему, пока обрабатываются его инструкции. Современные вредоносные программы могут демонстрировать широкий спектр методов обхода, предназначенных для предотвращения динамического анализа, включая тестирование виртуальных сред или активных отладчиков, задержку выполнения вредоносных полезных нагрузок или требование некоторой формы интерактивного ввода данных пользователем. ^[4]

Этапы [ править ]

Изучение вредоносного программного обеспечения включает несколько этапов, включая, помимо прочего, следующие:

Ручное изменение кода
Интерактивный анализ поведения
Статический анализ свойств
Полностью автоматизированный анализ

Ссылки [ править ]

^ «Международный журнал перспективных исследований в области анализа вредоносных программ» (PDF) . ijarcsse. Архивировано из оригинала (PDF) на 2016-04-18 . Проверено 30 мая 2016 .
^ «Определение вредоносного ПО» . Проверено 30 мая 2016 .
^ Хониг, Эндрю; Сикорский, Майкл (февраль 2012 г.). Практический анализ вредоносного ПО . Пресс без крахмала. ISBN 9781593272906. Проверено 5 июля +2016 .
^ Keragala, Dilshan (январь 2016). «Обнаружение вредоносных программ и методы обхода песочницы» . Институт SANS.

[1] «Международный журнал перспективных исследований в области анализа вредоносных программ» (PDF) . ijarcsse. Архивировано из оригинала (PDF) на 2016-04-18 . Проверено 30 мая 2016 .

[2] «Определение вредоносного ПО» . Проверено 30 мая 2016 .

[3] Хониг, Эндрю; Сикорский, Майкл (февраль 2012 г.). Практический анализ вредоносного ПО . Пресс без крахмала. ISBN 9781593272906. Проверено 5 июля +2016 .

[4] Keragala, Dilshan (январь 2016). «Обнаружение вредоносных программ и методы обхода песочницы» . Институт SANS.

[1]