ارايه يك محيط امن براي تحليل رفتار بدافزارها

A Secure Environment for Behavioral Malware Analysis

اين مقاله يك محيط تحليل‌گر مبتني بر جعبه شن در سمت كاربر براي اجراي بي‌خطر و ايمن يك برنامه مشكوك و ناشناس به‌منظور تعيين بدخواه يا بي‌خطر بودن و همچنين اجراي كنترل شده يك بدافزار براي تشخيص نحوه عملكرد و الگوي آلودگي آن براي مدل‌سازي رفتار به‌منظور ارايه راه‌كار خنثي‌سازي و رفع آلودگي را اريه مي‌كند. اهميت اجرا و تحليل بدافزار به‌صورت پويا در رفع مشكلات موجود براي كشف و تحليل بدافزار‌هاي مبهم شده، دگرديس و چندريخت كه با روش‌هاي مبتني بر امضا و تحليل‌هاي رفتار ايستا قابل كشف نيستند غيرقابل چشم‌پوشي است و هدف اصلي اين مقاله كه فراهم كردن بستر لازم براي تحليل رفتار پويا است را شامل مي‌شود. جعبه شن پيشنهادي با نظارت، رهگيري و كنترل درخواست‌ها و تعاملات برنامه تحت تحليل در سطح كاربر و هسته سيستم عامل امكان استخراج رفتار را فراهم مي‌كند در طول فرآيند تحليل جعبه مسيول پاسخ‌گويي به درخواست‌هاي برنامه تحت تحليل است اين مقاله با مكاشفه بروي تعداد 21000 نمونه بدافزار و برنامه بي‌خطر امكان دسته‌بندي درخواست‌ها را در 8 خانواده براي پاسخ‌گويي مناسب فراهم كرده است جعبه شن پيشنهادي درخواست‌هاي وارده را با 5 سياست شامل ثبت تنها، منحرف‌سازي، محدود‌سازي، فريب دادن و مجازي‌سازي منابع سيستم عامل پاسخ مي‌دهد و تضمين مي‌كند در طي اجرا و تحليل بدافزار به سيستم كاربر هيچ‌گونه آسيبي وارد نشود. اين مقاله همچنين چالش‌هاي موجود بر محيط‌هاي تحليل را مورد آسيب‌شناسي قرار داده و راهكارهايي براي عبور از آن‌ها بيان مي‌كند اين چالش‌ها عمدتاً راه‌هاي شناسايي و خروج از محيط تحليل‌گر مي‌باشند. اين مقاله در پايان جعبه شن پيشنهادي را از حيث توانايي و قابليت‌هاي رهگيري رفتار و ميزان مصرف منابع سيستمي ارزيابي و با برترين نمونه‌هاي خارجي مقايسه مي‌كند.

In this article we propose a file analyzer based on sandbox in the client side. This analyzer environment is used for safe execution of a suspicious application to find its behavior and determine if it is safe or not. This sandbox can also be used for behavioral modeling of a malware by in hand execution for understanding distractive and infecting pattern of malwares for creating disinfection and a cleaner method. The advantages of proposed method is in reducing problems with malware detection specifically in detection of obfuscated and metamorphic malwares that can’t be detected by signature and static base analysis methods. So this contains the main goal of this article for providing platform of dynamic analysis. Proposed sandbox can monitor and track incoming requests of an application in both user and kernel mode of operating system. This article clusters incoming requests in 8 families with performing data mining on 21000 samples of malwares and benign files and replying them with 5 policies y including logging, redirection, rejecting, cheating and emulating of system resources. Our sandbox guarantees health of operation system during execution and analysis of malwares. In addition this article discusses challenges on dynamic analysis and analyzer environment and gives solutions for them. Most of the challenges focus on methods of detecting and bypassing analyzer environments. At last, this article evaluates the proposed sandbox based on the potentiality and capabilities of behavioral tracking and usage of system resources and compares it with some top famous analyzers in the word.