حمله های سایبری اخیر از کجا آغاز شد؟

وب سایت شبکه - حمیدرضا تائبی: تیم‌های امنیتی در مواجه شدن با یک تهدید سایبری با یک سؤال مهم و اساسی روبه‌رو می‌شوند. اولین بار حمله از چه مکانی به وقوع پیوسته است؟

نزدیک به دو ماه از شناسایی و پیدایش باج‌افزار واناکرای می‌گذرد. در این مدت باج‌افزار فوق موفق شد به سامانه‌های کامپیوتری در ۱۵۰ کشور جهان حمله و آن‌ها را قربانی خود کند. در این مدت شرکت‌های امنیتی و حتی نهادهای دولتی درباره توسعه‌دهندگان اصلی و مبدأ انتشار این باج‌افزار اقدام به انتشار گزارش‌های مختلفی کردند.

با وجود آنکه شرکت‌های امنیتی در آن زمان تلاش کردند تا گزارش‌های دقیقی در ارتباط با باج‌افزار فوق ارائه کنند، اما گزارش‌های منتشر شده موفق نشدند به شرکت‌ها و سازمان‌‌ها به‌منظور مقابله با باج‌افزار فوق کمک چندانی کنند. همین موضوع نشان می‌دهد که هیچ‌یک از تکنیک‌های تحلیلی که برای آماده‌سازی این گزارش‌ها به کار گرفته شده بود، در عمل کارآمد نبودند و در زمان مناسب نیز منتشر نشدند. در نتیجه، شرکت‌های بسیاری به‌واسطه آلودگی متحمل خسارت شدند..

کارشناسان امنیتی سرانجام به این نتیجه رسیدند که برای انجام تحلیل‌های پویای منابع مختلف مجبور هستند به طور دستی کدهای مخرب را مورد ارزیابی قرار دهند. همین موضوع باعث شد تا کارشناسان امنیتی در ارتباط با پیدا کردن سر نخ‌های اولیه در ارتباط با این باج‌افزار چند روز زمان از دست بدهند و جالب‌تر آنکه کارشناسان اعلام داشتند برای تحلیل‌های قوی‌تر و دقیق‌تر به هفته‌ها زمان نیاز دارند.

مشکلی که امروزه کارشناسان حوزه امنیت با آن دست به گریبان هستند این است که برای مقایسه هزاران نمونه کد مرتبط با انواع مختلفی از عامل‌های مخرب به زمان نسبتاً زیادی نیاز دارند و الگوریتم‌های یادگیری ماشینی نیز در این زمینه با محدودیت‌های مختلفی روبه‌رو هستند.

این مشکل از آن جهت به وجود آمده است که هر روزه بر تعداد بدافزارها افزوده می‌شود و هکرها با یک تغییر کوچک در کدهای یک بدافزار قادرند همه چیز را به کلی تغییر دهند. از طرفی، تحلیل‌های پویا در مقطع زمانی فوق این توانایی را ندارند با گسترش روزافزون بدافزارها و تهدیدات خود را وفق دهند. به عبارت ساده‌تر، در این زمینه گسترش‌پذیر نیستند. گزارشی که به‌تازگی از سوی مؤسسه AV-TEST منتشر شده است نشان می‌دهد این مؤسسه روزانه 390 هزار برنامه مخرب را شناسایی می‌کند.

این رقم خیره‌کننده نشان می‌دهد هر روزه شرایط بدتر از روز قبل می‌شود و تحلیل‌های پویا این توانایی را ندارند تا در سریع‌ترین زمان ممکن ریشه مشکلات و قطعات بدافزاری جدید را تشخیص دهند. به‌رغم آنکه تحلیل‌های پویا در بعضی شرایط این پتانسیل را دارند تا میزان تأثیرگذاری اجرای یک قطعه کد مخرب را به‌صورت بی‌درنگ ارزیابی کنند و نتیجه را اعلام دارند، اما با وجود ظهور فناوری‌های تشخیصی همچون جعبه شنی و مکانیسم‌های مشابه، تحلیل‌های پویا به حاشیه رفته‌اند.

از طرفی، با مقایسه و ارزیابی کدهای بدافزاری به دست آمده به‌طور دقیق نمی‌توان درباره عملکرد کدهای مخربی همچون باج‌افزار‌ها با صراحت سخن گفت. به‌واسطه آنکه باید از روش‌های مختلفی برای ارزیابی کدها استفاده کنیم تا درنهایت به یک جمع‌بندی واحد برسیم. همچنین، تکنیک مقایسه درهم‌سازی (Hash) نیز همیشه راهگشا نیستند و هکرها در اغلب موارد از تکنیک‌های چندریختی استفاده می‌کنند تا هر نمونه شناسایی شده از یک بدافزاری با مقادیر درهم‌سازی شده دیگر کاملاً متفاوت باشد.

تکنیک درهم‌سازی که این روزها به‌شکل فزاینده‌ از سوی کارشناسان امنیتی مورد استفاده قرار می‌گیرد، سعی می‌کند شباهت‌های دو فایل باینری را مورد ارزیابی قرار دهد. اما مشکلی که در این بین وجود دارد این است که ابزارهای درهم‌سازی فازی همچون ssdeep یک فایل واحد را مورد بررسی قرار می‌دهند و این توانایی را ندارند تا شباهت‌های موجود میان یک فایل با سایر فایل‌ها را تشخیص دهند.

اما کارشناسان حوزه امنیت اعلام داشته‌اند این امکان وجود دارد تا راهکارهای درهم‌سازی فازی را به‌منظور پیدا کردن شباهت‌های میان فایل‌ها در سطوح جزئی‌تر و سطح پایین‌تری به کار گرفت. اگر چنین ایده‌ای محقق شود، گام مهمی در زمینه شناسایی نمونه کدهای مخرب برداشته خواهد شد.

اگر از طریق تکنیک فوق بتوانیم به مقایسه تکه‌های مختلف یک بدافزار بپردازیم، این توانایی را به دست خواهیم آورد تا نمونه جدیدی از یک بدافزار را ایجاد و به‌شکل دقیق و کارآمدی عملکرد یک بدافزار را درک کنیم. جالب آنکه از طریق تکنیک فوق می‌توانیم چند ابزار ضدبدافزاری را با یکدیگر ادغام و ابزار قدرتمندتری را عرضه کنیم.