شناسایی بدافزار ها با استفاده از آنالیز مجموعه مقادیر

امروزه کدهای مخرب یک مشکل اساسی و ریشه اکثر تهدیدات امنیتی در اینترنت محسوب می شود. واژه بدافزار کوتاه شده نرم افزار مخرب می باشد. این واژه اصطلاحی عمومی برای توصیف تمام ویروس ها، تروجان ها، جاسوس افزار ها، تبلیغ افزار ها، بات ها، درهای پشتی و تقریباً هر چیزی که به طور خاص برای صدمه زدن به کامپیوتر و یا سرقت اطلاعات طراحی شده است، می باشد[1]. بر اساس تحقیقی که شرکت سمنتک در سال 2012 انجام داده است تعداد نمونه های یکتای جدید بدافزارها در سال 2010 بالغ بر دویست و هشتاد و شش میلیون نمونه جدید و در سال 2011 این تعداد به چهارصد و سه میلیون رسید. نکته حائز اهمیت در مورد ضرورت شناسایی بدافزارها این است که امروزه نویسندگان بدافزارها بسیار هدفمند به تولید نرم افزار های مخرب می پردازند. بدافزارها صرفاً برای مختل کردن سرویس های یک کامپیوتر خانگی نوشته نمی شوند بلکه آنها برای هدف های بسیار کلان و برنامه ریزی شده نوشته می شود. درصد بدافزارهایی که با اهداف سوء استفاده های مالی تولید می شوند به دلیل تقاضای فزاینده ی استفاده از خدمات الکترونیکی نظیر بانکداری الکترونیکی، خرید اینترنتی و به طور کلی مباحث مربوط به تجارت الکترونیک، به حدی افزایش یافته که دسته جدیدی از بدافزارها را بدافزارهای مالی می نامند [2]. انگیزه های جاسوسی صنعتی، تروریسم صنعتی یا حتی انگیزه های منفی برخی کارکنان و همچنین انگیزه های کشف اطلاعات محرمانه توسط رقبا ممکن است از جمله دلایل ایجاد این بدافزارها باشد. از نمونه های یک بدافزار صنعتی می توان به بدافزار استاکس نت اشاره کرد که در اوایل سال 2010 شناخته شد. این بدافزار، سیستم های مدیریتی اسکادا زیمنس را که معمولاً در کارخانه های بزرگ تولیدی و صنعتی مورد استفاده قرار می گیرد، مورد هدف قرار می دهد و اسرار صنعتی رایانه های این کارخانه ها را روی اینترنت بارگذاری می کند. بدافزار مذکور از پیچیدگی خاصی برخوردار بوده و قادر است ساختارهای حیاتی یک کارخانه مانند موتورها، پمپ ها، سیستم های هشدار و سایر فرامین صنعتی را از کار بیندازد. همچنین قادر است دیگ های بخار یا خطوط لوله گاز یا حتی تأسیسات حساس صنایع را منفجر کند. سیستم های مدیریت و کنترل زیمنس عمدتاً در صنایع بزرگ مانند نیروگاه های آبی، گازی و هسته ای، سکوهای نفتی، مدیریت منابع آب و سایر ساختارهای صنعتی بزرگ به کار می رود. هدف استاکس نت، مختل کردن کنترل کننده های منطقی قابل برنامه ریزی که در مراکز صنعتی، فعالیت خودکار تجهیزاتی مانند موتورها و پمپ ها را به عهده دارند و گرفتن حق دسترسی مدیریتی و دسترسی به داده های سیستم های اسکادا است که معمولاً توسط سازمان های دارای زیرساخت های حیاتی مورد استفاده قرار می گیرد. بدیهی است که در این گونه موارد امنیت یک جامعه مطرح است. بنابراین در نظر گرفتن مسئله بدافزارها جهت ارتقاء امنیت کامپیوتری امری حیاتی به نظر می رسد [3]. در حال حاضر برای شناسائی بدافزارها، اغلب از نظریه های مبتنی بر امضا استفاده می شود. امضاها عموماً رشته های بایتی یا یک توالی از دستورات هستند که برای یک نمونه بدافزار خاص از یک خانواده از بدافزارها، مشخص هستند [4]. متأسفانه به دلیل تکنیک های مبهم سازی و چندریخت کردن کدها، بدافزارها به راحتی می توانند از شناسایی شدن از طریق امضاها مصون بمانند. بدافزارهای چندریختی ، ساختار کدشان را در هر اجرای آلوده تغییر می دهند. به عنوان مثال اضافه کردن کدهای آشغال ، جایگزین کردن دستورات با دستورات معادل، جابجا کردن ترتیب دستورات، اضافه کردن کدهای مرده و ... است [5]. بدافزارهای چندریختی برای پنهان کردن خود، بدنه کدشان را رمزگذاری می کنند. این بدافزارها برای اینکه بتوانند اجرا شوند نیاز دارند از یک یا چندین تابع رمزگشا برای رمزگشایی بدنه خود استفاده نمایند. یک بدافزار فرا ریختی شامل تعداد بسیار زیادی تابع رمزگشا می باشد [6]. یک نمونه مشهور از بدافزار فرا ریختی lexotan32 [5] است که در سال 2002 شناخته شد و فقط 12.6% از نمونه های این بدافزار توسط چهل ضد-ویروس موجود شناسایی شدند. هیچکدام از این چهل ضد-ویروس نتوانستند تمام نمونه های این بدافزار را شناسایی کنند. به دلیل محدودیت هایی که روش های شناسایی مبتنی بر امضا دارد، روش های شناسایی مبتنی بر رفتار، به عنوان یک ایده نوین برای شناسایی مطرح می شود [7 و 8]. شناساگرهای مبتنی بر رفتار بجای بررسی محتوای استاتیک یک باینری، فعالیت های پویای آن ها را مد نظر قرار می دهند. ایده ی مطرح شده در روش های شناسایی مبتنی بر رفتار این است که با وجود بکارگیری تکنیک های چندریختی در بدافزارها، کماکان رفتار ثابت می ماند. به طور کلی یک راه عمومی برای شناسایی رفتار برنامه ها، بر اساس آنالیز فراخوانی های سیستمی یا فراخوانی های رابط برنامه های کاربردی می باشد که یک برنامه دارد یا می تواند داشته باشد. امروزه ابزارهای آنالیز پویا بهترین انتخاب برای تحلیل بدافزارها به صورت اتوماتیک می باشند. این ابزارها، باینری ها را تحت یک محیط کنترل شده اجرا می کنند و رفتار زمان اجرای آن ها را با استفاده از فراخوانی های رابط برنامه های کاربردی، فراخوانی های سیستمی و بررسی وابستگی داده ای بین آنها و توابع کتابخانه ای مانیتور می کنند. تولید کنندگان ضد-ویروس ها و تحلیلگرها نیز، برای کنترل روند رو به رشد بدافزار ها، به دنبال ابزاری هستند که به صورت اتوماتیک به شناسایی بدافزار ها و تحلیل کد های مخرب بپردازد [4]. از مزایای روش آنالیز پویا این است که تکنیک های مبهم سازی و رمزگذاری نمی تواند بر رفتار باینری ها تأثیر بگذارد [9]. در مقابل، از معایب تکنیک های آنالیز پویا می توان به این مطلب اشاره کرد که نمی تواند تمام رفتارهای ممکن یک باینری را به سادگی نمایش دهد. اگرچه آنالیز پویا اطلاعات واقعی در مورد کنترل و جریان داده ها به ما می دهد اما دارای سربار اضافی زمان اجرا است هرچند برای شناسایی و جمع آوری رفتارهای بدافزارهای ناشناخته موثر عمل می کند. محققان اغلب از فراخوانی واسط برنامه های کاربردی باینری ها برای مدل کردن رفتارشان استفاده می کنند. برای مثال، نویسندگان [6] خصیصه های رشته ای را از توالی فراخوانی واسط برنامه های کاربردی استخراج می کند، نویسندگان مقاله [7] از خصوصیات آماری مربوط به آدرس اشاره گرها، پارامترها و خصیصه هایشان برای نمایش ترتیب فراخوانی های واسط برنامه های کاربردی صدا زده شده استفاده می کنند. در مقاله [8] نیز خصیصه ها بر اساس فرکانس رشته های یکتا از فایل های لاگ شده استخراج می شود. متد ارائه شده در این پایان نامه بر اساس آنالیز مجموعه مقادیر رجیسترها برای شناسایی نمونه های جدید بدافزارهای چندریخت است. اساس این ایده این است که تغییرات و پخش مقادیر را در فایل اجرایی دنبال می کند. بر اساس این ایده، محتوای حافظه برای نمونه های مختلف یک بدافزار چندریخت و فراریخت تقریباً بدون تغییر باقی می ماند. از آنجایی که این بدافزارها ساختارشان را عوض می کنند، اما رفتار تحت بدنه کدهای مخربشان ثابت باقی می ماند، در نتیجه می توان انتظار داشت که تأثیراتی که بر حافظه گذاشته می شود دارای تغییرات مشابهی باشد. در این پایان نامه، اساس آنالیز مجموعه مقادیر، به صورت پویا استفاده شده است. تمرکز کار ما بر استخراج محتوای رجیسترها می باشد. برای این منظور، رفتار زمان اجرای نمونه ها به وسیله ابزاری که توسط افراد تیممان توسعه داده شده، ثبت می شود. با توجه به اینکه ابزار تیم ما قادر است که محتوای رجیسترها را قبل و بعد از هر فراخوانی واسط برنامه های کاربردی گزارش کند، ما قادر هستیم که پخش و تغییرات مقادیر رجیسترها را در اجرای باینری ها مشاهده کنیم. با استفاده آنالیزی که بر روی مقادیر رجیسترها انجام می شود، می-توان فاصله شباهت را بین باینری ها محاسبه نمود. برای سرعت دادن به پروسه شناسایی و محاسبه شباهت، نماینده هایی از مجموعه داده ها انتخاب می شوند که بتوانند رفتار تمام مجموعه داده ها را نمایش دهد. برای شناسایی نمونه جدیدی که وارد سیستم می شود، می-بایست تنها با نماینده های انتخاب شده مقایسه شود. آزمایشات نشان می دهد که متد ارائه شده قادر به شناسایی %98.4 از نمونه ها با نرخ مثبت کاذب کمتر از %3 می باشد.