یک مثال واقعی

در اين بخش يک بدافزار واقعي مورد تحليل قرار مي‌گيرد. اين بدافزار از virussign.com گرفته شده است.

در اينجا فرض مي­‌شود خواننده قبلا نحوه استفاده از قسمت‌هاي مختلف جعبه شن پارسا را مطالعه کرده است.  براي شروع تحيل ترجيحا جعبه­ شن در يک محيط مجازي اجرا شود.

در اين نمونه براي ايجاد محيط تحليل از محيط مجازي VMware  و سيستم عامل 32 بيتي Windows 7 Sp1 استفاده شده است. جهت امکان بازگشت سريع به حالت قبل از اجراي بدافزار، توصيه مي‌شود ابتدا يک Snapshot از وضعيت فعلي سيستم ايجاد ­کنيد تا در صورت آلوده شدن محيط آن را بازسازي نماييد.

 

 

همانند شکل زير جعبه­ شن پارسا را اجرا کرده و وارد تنظيمات فايل سيستم مي‌­شويم.

 

 

همانطور که در شکل بالا نشان داده شده است، براي فعال کردن گزارش‌گيري گزينه "لاگ گيري از اعمال تغييرات روي فايل سيستم" را تيک مي­‌زنيم و همچنين براي گرفتن نسخه پشتيبان از فايل‌هاي Drop شده، گزينه "گرفتن نسخه پشتيبان از فايلهاي Drop شده" را تيک زده و مسيري براي ذخيره اين فايل‌ها انتخاب کنيد. از گزينه "فيلترخروجي" توابعي را براي فيلتر کردن انتخاب مي‌­کنيم. بر حسب نياز مي­‌توان همه يا تنها تعدادي ازاين توابع را فعال کرد. در اين نمونه توابع به شکل زير انتخاب شده­، و ذخيره مي­‌شوند.

 

 

همانند شکل زير از تنظيمات شبکه گزينه "لاگ گيري از ارتباطات شبکه" را تيک زده، و فيلتر خروجي را تنظيم کنيد تا از کليه فعاليت‌هاي شبکه گزارش‌گيري شود.

 

 

در سربرگ تنظيمات رجيستري نيز همانند شکل زيرگزينه "لاگ گيري از اعمال تغييرات روي رجيستري" را تيک زده و از فيلتر خروجي گزينه­­‌هاي نشان داده شده را انتخاب و تنظيمات را ذخيره مي‌­کنيم. مي­‌توانيم همه گزينه­‌ها را فعال کنيم اما فعلا نيازي به همه موارد ديده نشده و تنها مواردي را که باعث تغييرات اساسي بر روي رجيستري مي‌شوند را انتخاب کرده‌ايم تا سربار اضافي به سيستم وارد نشود و در گزارش خروجي تنها موارد اساسي ديده شود.

 

 

در مورد تنظيمات پردازش‌ها طبق شکل زير هر سه گزينه "لاگ گيري از عمليات­‌هاي مرتبط به پردازش و نخ" ، "دفاع از جعبه­ شن در مقابل برنامه تحت تحليل" و "جلوگيري از بارگذاري درايور" را فعال کرده و از فيلتر خروجي گزينه "فعال سازي همه گزينه­‌ها" را تيک زده و تنظيمات را ذخير­ه مي­‌کنيم.

 

 

تنظيمات انجام شده براي تزريق کتابخانه به شکل زير مي‌باشد.

 

 

بعد از انجام تنظيمات لازم بدافزار را به عنوان فايل ورودي به جعبه ­شن اضافه کرده و شروع تحليل را انتخاب مي­‌کنيم. همانطور که در شکل زير نشان داده شده جعبه شن شروع به اجراي بدافزار مي­‌کند و گزارش را در قسمت خروجي نمايش مي‌­دهد.

 

 

با توجه به خروجي نتيجه مي­‌گيريم اين بدافزار ابتدا خود را به رجيستري و در مسير زیر کپي مي‌­کند:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

همچنين کپي­‌هايي از خود به نام­‌هاي .exe و Services.exe  در مسير C:\Windows\System32\ ايجاد مي­‌کند. سپس  يک کليد رجيستري با نام taskmgr.exe را توسط دستور RegCreateKeyEx در مسير زیر ايجاد مي‌کند:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe

و با استفاده از خاصيت کليد رجيستري Image File Execution Options باعث مي­‌شود زماني که کاربر Task manager را اجرا کند Services.exe اجرا شود يعني عمل Redirect Execution صورت خواهد گرفت. همانطور که در تصوير زير مشخص است دايرکتوري مربوط به فايل‌هاي Drop شده يک نسخه از تمامي فايل‌هايي که بدافزار ايجاد کرده را نگه داشته است. البته اسم فايل‌ها طوري تغيير داده شده­‌اند که مشخص کننده مسير فايل نيز باشد. بطور مثال فايل C__Windows_system32_†_servicess.exe به اين معني است که فايلي به نام servicess.exe در مسير C:\Windows\system32\† ايجاد شده است.

 

 

همچنين با بررسي startup متوجه مي‌­شويم بدافزار همانطور که جعبه­ شن گزارش داده بود خود را در مسير Currentversion\Run کپي کرده تا در زمان startup اجرا شود.

 

 

و با ايجاد تغييرات در کليد رجيستري Image File Execution Options که توسط جعبه ­شن گزارش شده بود عمل Redirect execution انجام گرفته است.

 

 

حال مي‌توانيم لاگ خروجي اين بدافزار را با فرمت‌ HTML ذخيره کرده، و براي تحليل ویروس بعدي با استفاده از Snapshot گرفته شده، سيستم را به وضعيت قبلي بازگردانيم.

نمی‌توانید پاسخی پیدا کنید؟ آیا به دنبال مقاله خاصی هستید که در سؤالات عمومی قرار دارد؟ فقط پوشه ها و دسته بندی های مختلف مربوطه را مرور کنید و سپس مقاله مورد نظر خود را پیدا خواهید کرد.
صفحه اصلی تماس با ما سایبرنو
تمامی حقوق مادی و معنوی این سایت متعلق به شرکت مهندسی دنیای فناوری امن ویرا می‌باشد.