بخشی از پاورپوینت
اسلاید 1 :
کارگاه آموزشی تحلیل بدافزارها
اسلاید 2 :
مقدمات طراحی آزمایشگاه تحلیل بدافزار
اسلاید 3 :
مقدمه
روشهای جمعآوری بدافزار
طراحی آزمایشگاه پایه
مطالب
اسلاید 4 :
مقدمه
اسلاید 5 :
بدافزار
”هرگونه برنامهی کامپیوتری که با هدف اخلال در کار سایر برنامهها، جمعآوری اطلاعات بدون اجازه، دستیابی غیر مجاز به منابع سیستم و سایر مقاصد غیر قانونی نوشته و منتشر میشود“
شامل ویروسها، کرمهای اینترنتی، اسبهای تروی، دربهای پشتی، روتکیتها، باتنتها
بدافزارها برای مقاصد سیاسی و اقتصادی
Flame
Stuxnet
Duqu
آلودگی سیستمهای به غیر از سیستمهای کامپیوتری به بدافزارها
آلودگی در سیستم عاملهای موبایل
Android، J2ME، iOS
سیستم های صنعتی
اسلاید 6 :
میزبانهای پشتیبانی کنندهی بدافزارها
اسلاید 7 :
آلودگی در سیستمعاملهای موبایل
اسلاید 8 :
تولیدکنندگان ابزارهای با بیشترین آسیبپذیری
اسلاید 9 :
بدافزار توزیع شده توسط ایمیل
اسلاید 10 :
انتشار بدافزارها با سو استفاده از شبکههای اجتماعی
بستههای سواستفاده کننده از آسیبپذیری مرورگر (BEP)
حملات انجام شده به کمک بارگذاری توسط خود کاربر
سو استفاده از آسیبپذیریهای موجود در افزونههای مرورگر و کامپوننتها
تبلیغات و Appهای مخرب
اسلاید 11 :
روشهای جمعآوری بدافزارها
اسلاید 12 :
روشهای جمعآوری بدافزارها
هرزنامهها
جمعآوری و طبقه بندی هرزنامهها به عنوان یکی از منابع اصلی انتشار بدافزارها
جمعآوری پیوستهای هرزنامهها
آلوده بودن درصد قابل توجهی از پیوستهای هرزنامهها به بدافزار
بررسی و ارجاع به آدرسهای اینترنتی همراه هرزنامهها
آلوده بودن آدرسهای مورد اشاره به بدافزارهای گوناگون
تلاش برای بارگذاری بدافزارها توسط این آدرسها با سوء استفاده از نقایص امنیتی
اسلاید 13 :
روشهای جمعآوری بدافزارها
ظروف عسل (Honey Pots)
تلههایی برای شناسایی، ثبت و گزارش نمونههای بدافزار
نشان دادن خود به صورت یک سیستم آسیبپذیر در شبکه
تلاش برای ایفا کردن نقش یک ماشین معتبر
دربردارندهی داده یا سرویسهای مورد توجه مهاجمان
سیستمهای کاملا ایزوله و تحت نظر در قالب یک میزبان آسیبپذیر
سعی در سوء استفاده از این میزبانها توسط مهاجمان یا ابزارهای تهاجمی
ثبت هرگونه نمونهی مشکوک با مشاهدهی رفتار غیر معمول
اسلاید 14 :
روشهای جمعآوری بدافزارها
ظروف عسل (Honey Pots) - ادامه
انواع ظروف عسل
ظروف عسل با تعامل پایین
با هدف به دام انداختن تهاجم علیه سرویس یا دادهی خاص
پیادهسازی سادهتر، ارزانتر و مدیریتپذیری بیشتر
امکان تشخیص از طرف مهاجمان با تجربه به دلیل فقدان برخی ویژگیهای واقعی
ظروف عسل با تعامل بالا
با هدف شبیهسازی یک محیط شبه واقعی با سرویسهای متعدد
امکان تشخیص کمتر به دلیل شبیهسازی کاملتر محیط واقعی
امکان مدیریت سادهتر این سیستمها پس از ظهور ماشینهای مجازی
اسلاید 15 :
روشهای جمعآوری بدافزارها
ظروف عسل (Honey Pots) - ادامه
نمونه ظروف عسل
تعامل پایین
Dionaea
Honeyd
تعامل بالا
Honeywall
PEhunter
اسلاید 16 :
روشهای جمعآوری بدافزارها
ظروف عسل (Honey Pots) - ادامه
Dionaea
پشتیبانی از IPv6
تشخیص سوء استفاده از پوسته به کمک کتابخانهی
libemu
استفاده از اسکریپتها به زبان Python
ثبت گزارش کامل از رویدادهای مشاهده شده
امکان مشاهدهی گزارشها به صورت آماری
ذخیره سازی نمونههای بدافزار و بارگذاری آنها در پایگاههای اینترنتی بررسی بدافزار
اسلاید 17 :
طراحی آزمایشگاه پایه
اسلاید 18 :
طراحی آزمایشگاه پایه
تعیین نیازهای سختافزاری
ماشین حاوی سیستم عامل و محیط نرمافزاری مورد هدف بدافزار
ماشین حاوی سرویس دهندهی شبیه ساز شبکه
سیستم عامل لینوکس
شبیهسازی سرویسهای شبکهی بیرونی (اینترنت) برای ماشینهای متصل
DNS
SMTP
IRC
روبردارهای سختافزاری حافظهی RAM
روبردارهای FireWire
در صورت لزوم اتصال با سرعت پایین به اینترنت
اسلاید 19 :
طراحی آزمایشگاه پایه
تعیین نیازهای نرمافزاری
ماشینهای مجازی
مزایا
شبکهبندی ساده
مانیتور دقیقتر و آسانتر محیط نرمافزاری
قابلیت بازگشت به وضعیت قبلی در هر زمان
کنترل کامل بر روی جریان پردازهها
معایب
تشخیص محیطهای شبیهسازی شده و مجازی توسط برخی بدافزارها
تشخیص محیط مجازی با بررسی ارجاعات به آدرسهای حافظه توسط کد Red Pill
تفاوت تاخیر بین عملیات پردازهها و تعداد سیکلهای پردازنده بین ماشین مجازی و محیط واقعی
اسلاید 20 :
طراحی آزمایشگاه پایه
تعیین نیازهای نرمافزاری - ادامه
نمونههایی از ماشینهای مجازی
VMWare Player
رایگان
توانایی ایجاد ماشین مجازی از نسخهی 3.0.1 به بعد
VMWare Workstation
تجاری
امکانات کامل ماشین مجازی مانند ثبت نقطهی بازگشت و ایجاد ماشین جدید
Oracle VirtualBox
جزو محبوبترین ماشینهای مجازی