وبلاگ

راهکارهای امنیتی سیمانتک در برابر نرم‌افزارهای جاسوسی، تکنیک‌های پنهان‌کاری و مقابله با تحلیل‌های استاتیک

  • ارسال توسط author-avatar
۱۹ مهر

 

در دنیای امروزی که استفاده از اپلیکیشن‌های موبایل به طرز چشم‌گیری افزایش یافته است، امنیت سایبری با چالش‌های جدید و پیچیده‌ای روبروست. یکی از بزرگترین تهدیدات، نرم‌افزارهای جاسوسی هستند که با استفاده از تکنیک‌های پنهان‌کاری و ترفندهای مختلف تلاش می‌کنند از دید ابزارهای تحلیل و شناسایی دور بمانند. در این مقاله به بررسی برخی از مهم‌ترین تکنیک‌های پنهان‌کاری استفاده‌شده توسط نویسندگان نرم‌افزارهای مخرب می‌پردازیم و همچنین راهکارهای امنیتی سیمانتک برای مقابله با این تهدیدات را معرفی می‌کنیم.

 

پنهان‌سازی کد (Code Obfuscation): راهکاری برای گمراه کردن تحلیل‌گران

یکی از معمول‌ترین روش‌هایی که مهاجمان سایبری از آن استفاده می‌کنند، پنهان‌سازی کد است. این تکنیک شامل تغییرات عمدی در ساختار کد می‌شود، به طوری که نام‌ها و توابع، کلاس‌ها و متغیرها به صورتی تغییر داده می‌شوند که معنای اصلی آن‌ها غیرقابل فهم گردد. در این حالت، حتی اگر شخصی به کد دسترسی پیدا کند، به‌راحتی نمی‌تواند هدف و کارکرد آن را درک کند. این تغییرات باعث می‌شود که فرآیند دی‌کامپایل و تحلیل بسیار پیچیده‌تر و زمان‌برتر شود.

 

سیمانتک با بهره‌گیری از روش‌های پیشرفته تحلیل رفتاری، توانایی شناسایی نرم‌افزارهای جاسوسی را حتی در صورت پنهان‌سازی کد حفظ کرده و می‌تواند به کاربران کمک کند از این تهدیدات محافظت شوند.

 

استتار منابع (Resource Camouflage): پنهان‌سازی منابع در فایل‌های APK

در دنیای امنیت اپلیکیشن‌های موبایل، تکنیک‌های خلاقانه‌ای برای مخفی کردن منابع حیاتی در فایل‌های APK وجود دارد. یکی از این تکنیک‌ها، ایجاد دایرکتوری‌هایی با نام‌ها و دسترسی‌های مشابه منابع حیاتی است. این تکنیک می‌تواند ابزارهای تحلیلی مانند Jadx، که یکی از ابزارهای دی‌کامپایل اپلیکیشن‌های اندرویدی است، را دچار مشکل کند.

 

نرم‌افزارهای جاسوسی با استفاده از این تکنیک‌ها، مسیر تحلیل و استخراج فایل‌هایی همچون AndroidManifest.xml را دشوار می‌کنند. این مسئله نه تنها کار تحلیل‌گران امنیتی را پیچیده‌تر می‌سازد، بلکه به جاسوس‌افزارها امکان می‌دهد تا بدون شناسایی توسط برخی از ابزارهای تحلیل، عملکرد خود را ادامه دهند.

 

فشرده‌سازی معکوس (Compression Trickery): ترفندی برای مخفی کردن فایل‌ها

یکی دیگر از روش‌های پنهان‌کاری که در برخی از نرم‌افزارهای جاسوسی دیده می‌شود، استفاده از روش‌های فشرده‌سازی غیرمعمول برای پنهان‌سازی فایل‌های مهم در APK است. به‌طور معمول، هدر فایل‌های APK از روش‌های فشرده‌سازی استانداردی مانند Deflate استفاده می‌کنند. اما برخی جاسوس‌افزارها از هدرهای فشرده‌سازی استفاده می‌کنند که توسط برخی از کتابخانه‌های تحلیلی مانند Apktool و 7z پشتیبانی نمی‌شود.

 

این ترفند باعث می‌شود که این ابزارها در فرآیند استخراج و تحلیل فایل‌های APK با خطا مواجه شوند. البته، سیستم‌عامل اندروید به دلیل توانایی دریافت روش فشرده‌سازی صحیح از هدر مرکزی فایل‌ها، می‌تواند این فایل‌ها را به درستی مدیریت کند، اما بسیاری از ابزارهای تحلیل قادر به شناسایی و کار با این نوع فشرده‌سازی نیستند.

 

دور زدن سیستم امضای APK (APK Signature Scheme Evasion): مقابله با تحلیل استاتیک از طریق داده‌های فشرده‌نشده

یکی از تکنیک‌های جذابی که در تحلیل این نرم‌افزارهای جاسوسی مشاهده شد، استفاده از داده‌های فشرده‌نشده (No Compression Data) برای دور زدن سیستم امضای APK بود. سیستم امضای V2 و V3 اندروید به‌طور کامل از این تکنیک پشتیبانی می‌کند و این امر به جاسوس‌افزارها امکان می‌دهد تا با کدهای فشرده‌نشده و ورودی‌های مبهم، همچنان بر روی دستگاه‌های اندرویدی نصب شوند.

 

نرم‌افزارهای جاسوسی با استفاده از این تکنیک‌ها، مسیر شناسایی توسط ابزارهای تحلیل مانند Apktool و Jadx را دشوارتر می‌کنند. به‌علاوه، ابزارهای فشرده‌سازی متداول مانند 7z و Unzip نیز نمی‌توانند به‌درستی فایل‌های APK با این روش فشرده‌سازی را استخراج کنند.

 

پنهان‌سازی منابع (Resource Obfuscation): پیچیدگی در تحلیل فایل‌های AndroidManifest و resources.arsc

یکی دیگر از روش‌های پنهان‌کاری که به‌طور گسترده توسط جاسوس‌افزارها استفاده می‌شود، پنهان‌سازی منابعی مانند AndroidManifest.xml و resources.arsc است. با افزودن مقادیر نامعتبر به این فایل‌ها، ابزارهای تحلیل‌گر مانند JEB و Apktool دچار خطا می‌شوند.

 

این مقادیر نامعتبر در منابع، هرچند ممکن است برای عملکرد اپلیکیشن مشکلی ایجاد نکند، اما فرآیند دی‌کامپایل و تحلیل را با مشکلات متعددی مواجه می‌کند و از شناسایی اهداف مخرب جلوگیری می‌کند.

 

پوشش هویت: تقلید از برنامه‌های معتبر و معروف

یکی از رایج‌ترین روش‌هایی که جاسوس‌افزارها برای مخفی کردن هویت خود استفاده می‌کنند، تقلید از برنامه‌های معروف و شناخته‌شده است. این جاسوس‌افزارها با استفاده از تکنیک‌هایی مانند بازپکیج کردن (Repackaging)، خود را به‌عنوان برنامه‌های محبوبی مانند گوگل پلی استور، گوگل میت، یوتیوب، فیسبوک، و بسیاری دیگر جا می‌زنند. این روش به آن‌ها کمک می‌کند تا از دید کاربران عادی پنهان بمانند و شناسایی نشوند.

 

درخواست مجوزهای حساس: تله‌ای برای کاربران ناآگاه

هنگامی که کاربر ناآگاهانه یکی از این برنامه‌های مخرب را نصب و اجرا می‌کند، این نرم‌افزارها شروع به درخواست مجوزهای حساس مانند دسترسی به اطلاعات سیستم یا غیرفعال‌سازی بهینه‌سازی‌های باتری می‌کنند. این درخواست‌ها در ظاهر بی‌ضرر به نظر می‌رسند، اما پس از دریافت این مجوزها، جاسوس‌افزارها می‌توانند به راحتی به اطلاعات حساس کاربر دسترسی پیدا کنند.

 

جمع‌آوری داده‌ها و ارتباط با سرورهای مخرب

پس از نصب و اجرای این نرم‌افزارهای جاسوسی، آن‌ها شروع به ارسال اطلاعات اولیه اپلیکیشن و دستگاه به سرورهای مخرب می‌کنند. هرچند سرورهای پیش‌فرض در حال حاضر فعال نیستند، اما نویسندگان جاسوس‌افزارها می‌توانند در هر زمانی با ایجاد ارتباط با این سرورها، دستورات مخرب بیشتری را ارسال کنند و به طور مداوم به‌روزرسانی‌هایی برای پنهان‌کاری بیشتر ارائه دهند.

 

راهکارهای سیمانتک برای مقابله با جاسوس‌افزارها

با توجه به پیچیدگی‌های فنی که در تکنیک‌های پنهان‌کاری جاسوس‌افزارها وجود دارد، سیمانتک به عنوان یکی از پیشروهای حوزه امنیت سایبری، از روش‌های پیشرفته تحلیل رفتاری و تحلیل پویا برای شناسایی این تهدیدات استفاده می‌کند. کاربران با نصب و استفاده از Broadcom SEP Mobile می‌توانند از محافظت کامل در برابر این جاسوس‌افزارها بهره‌مند شوند.

 

سیمانتک با بهره‌گیری از تحلیل‌های مبتنی بر هوش مصنوعی و الگوریتم‌های پیشرفته، نه تنها قادر به شناسایی جاسوس‌افزارهای پنهان شده است، بلکه به‌روزرسانی‌های مداوم این سیستم‌ها به کاربران این اطمینان را می‌دهد که همیشه در برابر جدیدترین تهدیدات امنیتی محافظت می‌شوند.

 

نرم‌افزارهای جاسوسی با استفاده از تکنیک‌های مختلف پنهان‌کاری مانند فشرده‌سازی معکوس، پنهان‌سازی منابع و دور زدن سیستم‌های امضای APK، تلاش می‌کنند از دید ابزارهای تحلیل استاتیک و کاربران پنهان بمانند. در این میان، سیمانتک با ارائه راهکارهای پیشرفته امنیتی، به کاربران کمک می‌کند تا از خود در برابر این تهدیدات محافظت کنند و همواره امنیت دستگاه‌های خود را حفظ کنند. استفاده از نرم‌افزارهای امنیتی مانند Broadcom SEP Mobile راهکاری مؤثر برای مقابله با این تهدیدات است. آلما شبکه نمایندگی سیمانتک در ایران، با مدیریت جناب آقای وحید فوائدی آماده ارائه انواع راه حل های امنیتی بر پایه محصولات و نرم افزارهای اورجینال سیمانتک به سازمان ها و ارگان ها می باشد.

جدیدتر تحلیل ساختاری سیمانتک و راهکارهای چندلایه برای مقابله با هکرها
بازگشت به لیست
قدیمی تر رنسام‌هاب، ظهور تهدیدی جدید با ریشه‌های قدیمی در دنیای باج‌افزارها

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

4 × 4 =