آلية تحديد الوصول
حول تقنية آلية تحديد الوصول
إن آلية تحديد الوصول هي نظام للكشف عن البرامج الضارة يقوم بتشغيل كائن مشبوه في جهاز افتراضي مع نظام تشغيل كامل المزايا، وكشف النشاط الضار لهذا الكائن عن طريق تحليل سلوكه. إذا قام الكائن بتنفيذ إجراءات ضارة في جهاز افتراضي، تكشف آلية تحديد الوصول عنه كبرنامج ضار. الأجهزة الافتراضية معزولة عن البنية التحتية الحقيقية للشركات.
آلية تحديد الوصول تحلل سلوك كائن ما أثناء تنفيذه، مما يجعلها فعالة ضد البرامج الضارة التي تفلت من التحليل الثابت. وفي الوقت نفسه، وعند مقارنتها بتصميمات تحليل السلوك الأخرى، فإن آلية تحديد الوصول أكثر أمانًا لأنها لا تجازف بتشغيل كائن مشبوه في البنية التحتية الحقيقية للشركات.
Kaspersky Sandbox
عملنا على تطوير آلية تحديد الوصول الخاصة بنا قبل بضع سنوات. وفي البنية التحتية لدينا، تعد آلية تحديد الوصول إحدى أدوات تحليل البرامج الضارة والبحث وإنشاء قواعد البيانات المضادة للفيروسات. كما أن آلية تحديد الوصول جزء من Kaspersky Anti-Targeted Attack PlatformوKaspersky Attack Intelligence Platform . وهي تساعد في تصنيف الملفات وعناوين URL إما كملفات ضارة أو حميدة وتوفر معلومات حول نشاطها تفيد لإنشاء قواعد وخوارزميات الكشف.
مزايا آلية تحديد الوصول
- تستند آلية تحديد الوصول إلى المحاكاة الافتراضية للأجهزة، مما يجعلها سريعة ومستقرة.
- الأجهزة الافتراضية متوفرة لما يلي:
- Windows OS (جميع إصدارات الكمبيوتر الشخصي بدءًا من Windows XP، وجميع إصدارات الخادم بدءًا من Windows Server 2003)،
- نظام التشغيل Android (x86، بنية معالج ARM).
- آلية تحديد الوصول تراقب تفاعل العملية المستكشفة مع نظام التشغيل في الحالات المشبوهة، وتتعمق آلية تحديد الوصول.
- توفر آلية تحديد الوصول اكتشاف الفيروسات المعطلة للأمان بدءًا من المراحل الأولى من الاستغلال، فهي تكتشف سلوك الاستغلال التقليدي، مثل https://en.wikipedia.org/wiki/Return-oriented_programmingاستخدام سلسلة ROP، وتعمية الذاكرة، والتحوير، وتغييرات الرموز المميزة للأمان، وتغييرات مشبوهة في حماية الذاكرة، وغيرها. بإمكان وضع الحماية اكتشاف الفيروسات المعطلة للأمان التي تم استخدامها في الهجمات المستهدفة.
أنواع الكائنات التي يمكن تنفيذها
- Windows: أي ملفات، على سبيل المثال: *.exe، و *.dll، و .NET Objects، وملفات MS Office، وملفات PDF.
- Android: APK (DEX).
- عناوين URL: تنتقل آلية تحديد الوصول إلى عنوان URL وتكشف عن الأحداث التالية: التنزيلات، وJavaScript، وAdobe Flash Execution وغيرها.
خطوات اكتشاف البرمجيات الضارة
- تتلقى آلية تحديد الوصول طلبًا لإجراء فحص لكائن (ملف أو عنوان URL) من مكون حل أمان آخر مع إرشادات: نظام التشغيل والتكوين لتشغيل الكائن، ومعلمات تنفيذ الكائن، وتطبيقات طرف ثالث أخرى مثبتة في الآلة الافتراضية، وحد وقت الاختبار، إلخ.
- يتم تشغيل الكائن الذي يتم اختباره.
- تجمع آلية تحديد الوصول الأدوات التي تخفي الوقت المحدد. إذا تفاعل الكائن مع عمليات أخرى أو عناوين URL ذات سمعة معروفة، تلتقط آلية تحديد الوصول ذلك.
- آلية تحديد الوصول تحلل الأدوات وتقدم حكمها إلى النظام الذي يطلب المساعدة، محددةً فيه ما إذا كانت البرمجيات ضارة أم غير ضارة. تضيف آلية تحديد الوصول بيانات الكائن إلى الحكم (الهوية والمزايا والسجلات وتفاصيل السلوك)، وهو ما قد يساعد في المزيد من التحليل دون الحاجة إلى توجيه طلب جديد إلى آلية تحديد الوصول.
الأدوات التي تم جمعها بواسطة آلية تحديد الوصول
- سجلات تنفيذ التطبيق (اتصالات وظائف واجهة برمجة التطبيقات مع المعلمات الخاصة بها، وأحداث التنفيذ)
- عمليات تفريغ الذاكرة
- تفريغ الوحدات المحملة
- التغييرات في نظام الملفات، السجل
- استخدام الشبكة (ملفات PCAP)
- لقطات الشاشة (لمراجعة الحسابات والتحليل اليدوي بشكل أسهل إذا لزم الأمر)
- أدوات نشاط الاستغلال
منع التهرب
من المعتاد أن تحاول البرامج الضارة اليوم الكشف عن آلية تحديد الوصول والتهرب منها. وبمجرد أن يعرف البرنامج الضار أنه يعمل في إطار آلية تحديد الوصول، قد يتخطى تنفيذ أي نشاط ضار أو يمحو نفسه من الأقراص أو ينهي نفسه أو يستخدم أسلوب تهرب آخر!
ثمة تصميم أبسط لمراقبة آلية تحديد الوصول للأجهزة (مثل وظائف واجهة برمجة التطبيقات الخطافية) من شأنه أن يترك آثارًا تشير إلى مراقبة عملية مشبوهة. لهذا قمنا بتطبيق تقنيات مراقبة أخرى غير متطفلة ولا تترك أي أثر مرئي للكائن الذي تم فحصه. تتحكم آلية تحديد الوصول في وحدة المعالجة المركزية (CPU) وذاكرة الوصول العشوائي (RAM)، ولكنها لا تعدِّل عملية المعالجة والذاكرة ومكتبات النظام على القرص وفي الذاكرة، ولا تترك أي آثار للمراقبة.
كما أنها نتعقب أساليب التهرب الجديدة الناشئة ونضبط آلية تحديد الوصول الخاصة بنا للتصدي لها، على سبيل المثال:
التهرب أ:تكون بيئة آلية تحديد الوصول هي البيئة التقليدية لبعض أنواع الآليات المعروفة. تتعرف البرامج الضارة عليها وتتهرب من الاكتشاف.
مكافحة التهرب (أ):وضع الحماية يدرج بيئة الجهاز الافتراضي عشوائيًا قبل بدء الجهاز الافتراضي.
التهرب ب:يمكن للبرامج الضارة اكتشاف بيئة آلية تحديد الوصول من خلال نقص نشاط المستخدم. لكي تعمل بعض البرامج الضارة، يحتاج المستخدم إلى إدخال كلمة مرور من بريد إلكتروني أو النقر عبر معالج أو القيام بأمور "بشرية" أخرى. العديد من آليات تحديد الوصول لا تحاكي هذا الأمر، وبالتالي لا ترى البرامج الضارة وهي تبطل مفعول نفسها.
مكافحة التهرب ب:آلية تحديد الوصول تحاكي إجراءات المستخدم: حركات الماوس والتمرير عبر المستندات التي يتم فتحها. أيضًا يفعل برنامج الحماية الخاص بنا العديد من الأشياء التي يفعلها المستخدمون لتنشيط البرامج الضارة.
الكشف عن الهجمات مع Kaspersky Sandbox
أمثلة عن موجات جديدة من الهجمات المستهدفة التي تم الكشف عنها باستخدام آلية تحديد الوصول في منتجات البنية التحتية من Kaspersky في 2016-2017: Sofacy (أكتوبر 2017)، Zero.T (أكتوبر 2016، نوفمبر 2016، أبريل 2017)، Enfal (سبتمبر، أكتوبر، نوفمبر 2016)، Freakyshelly (أكتوبر 2016)، NetTraveller (أغسطس 2016)، CobaltGoblin (أغسطس 2016)، Microcin (يونيو 2016) وغيرها.
منتجات ذات صلة
Kaspersky Anti Targeted Attack Platform
Cybersecurity Services
Kaspersky Endpoint Detection and Response
Article
Article“A simple example of a complex cyberattack” captured by Sandbox
Article
ArticleVulnerable driver: lesson almost learned. How not to use a driver to execute code with kernel privileges.
Article
ArticleA Modern Hypervisor as a Basis for a Sandbox
