narm-afzar

تواناتک: امروزه تولید کنندگان بدافزار مالور (malware) تکنیک‌های پیشرفته‌ای را به کار می‌گیرند تا روش‌های سنتی کشف شدن را از کار بیندازند. باید بدانیم که امروزه فیلتر کردن وبسایت‌ها و آنتی ویروس‌ها دیگر به تنهایی برای تشخیص بدافزار‌ها کافی نیستند و برای مقابله با مالور‌های به شدت پیشرفته که هدفشان دزدی اطلاعات حساس است، باید به فکر بود.
ابزارهای جدید تشخیص بدافزار‌ها از طریق تکنیک «sandboxing» کار می‌کنند. این تکنولوژی قصد دارد تا با مالورهای پیشرفته امروزی مبارزه کند. تمامی شرکت‌هایی که محصولاتی را با این تکنولوژی ارائه می‌کنند، به دنبال این هستند که تاجایی که امکان دارد در برابر مالور مقاومت کنند. در این مطلب می‌خواهیم شما را با این تکنولوژی‌ها آشنا‌تر کنیم. بد نیست اندکی در این باره دقیق‌تر شویم و از نحوه کار مالور‌ها و آنتی مالور‌ها بیشتر بدانیم.
تکنولوژی «sandboxing» امروزه از طرف آنتی ویروس‌ها و آنتی مالور‌ها به شدت مورد استفاده قرار می‌گیرد. سیستم تشخیص مالور در این تکنولوژی متنوع است. روش تحلیل ترافیک شبکه برای تشخیص تهدیدهای احتمالی در شبکه به کار می‌رود. الگوهای رفتاری مورد دقت قرار می‌گیرند و فایل‌های مشکوک به سندباکس (sandbox) فرستاده می‌شوند. این فایل‌ها سپس در محیطی از ماشین‌های مجازی امتحان می‌شوند و کارکرد این ماشین‌های مجازی، تحلیل رفتار فایل‌ها در سیستم عامل‌های مختلف و نسخه‌های متفاوت نرم افزار‌ها است. هر تغییری که فایل‌های مشکوک ایجاد کنند، ثبت می‌شود و گزارشی تهیه می‌شود که تمامی مناطقی از سیستم عامل و نرم افزار‌ها را که تغییر کرده‌اند، نشان می‌دهد. بر اساس همین گزارش، فایل‌ها به عنوان مالور معرفی می‌شوند.
بهترین جنبه این روش این است که مهم نیست مالور چقدر تلاش می‌کند تا ترافیک خودش را مخفی کند، بلکه مجبور است تغییراتی را هر چند ناچیز روی سیستم عامل ایجاد کند و سندباکس این تغییرات را تشخیص می‌دهد. این پروسه دو مرحله ای- اول تشخیص تهدید و بعد فرستادن فایل به سندباکس- روشی کارا و مفید بوده است.
همچنین فایل‌ها هنگام ورودشان به شبکه مورد تحلیل قرار می‌گیرند، مثلا وقتی از وبسایت دانلود می‌شوند. ترافیک اینترنت توسط محصولات آنتی مالور شکل داده می‌شوند و ناهنجاری‌ها تشخیص داده می‌شوند. در لحظاتی معین، ترافیک مشکوک به سند باکس هدایت می‌شود. تهدیدهایی هم که از قبل در شبکه وجود داشته‌اند با قفل کردن راه‌های خروج اطلاعات بر اساس ترافیک شبکه، به حداقل رسانده می‌شوند. مالور‌ها عادت دارند که وقتی در جایی وارد شدند، بقیه مالور‌ها را هم به آنجا دعوت کنند. در این لحظه هم می‌توان جلوی رشد مالور را گرفت. از آنجا که سیستم سندباکس بر اساس الگوی خاصی از بدافزار کار نمی‌کند و بر اساس تغییرات مشکوک تصمیم می‌گیرد، مالورهای جدیدالورود هم قابل تشخیص خواهند بود. اطلاعات یک مالورِ لو رفته با بقیه دستگاه‌ها همخوان می‌شوند تا بقیه هم اطلاع داشته باشند و از رشد آن مالور جلوگیری کنند.