September 30, 2008

بات نت ها و روش های شناسایی و بررسی - قسمت اول

از حدود سه ماه پیش درگیر پروژه ای شدم که ماهیت کلی آن آنالیز نمونه های Malware فعال در کشور و سنجش رفتارهای آنهاست . یکی از قسمت های جالب کار در این مورد ، بررسی رفتار BotNet ها و نحوه کارکرد آنها در سطح کلان می باشد . منظور از سطح کلان ، زیر نظر گرفتن فعالیت های سیستم های آلوده در سطوح گسترده ای مانند کل سیستم های متصل به اینترنت یک شهر ، منطقه و یا کشور است . هدف از این پست صحبت در مورد جزئیات پروژه نیست بلکه قصد من تنها سعی در منتقل کردن بخشی از تجربیاتی است که در طول این مدت بدست آوردم .

پیش از اتمام فاز مطالعاتی چون پیش بینی می کردم که روزی مجددآ اطلاعات گرد آوری شده را بازگو کنم ، همه چیز را خیلی مرتب و منظم مستند سازی کردم ، اما بر خلاف انتظار درست روزی که قصد انتشار آنرا داشتم با خط قرمز NDA ( تعهد عدم افشای اطلاعات) مواجه شدم . هرچند این مورد من را از بازگویی مستقیم و دست نخورده اطلاعات منع می کند ، اما بازنویسی بخشی از این یافته ها به روشی متفاوت خلاف NDA نخواهد بود :-)

قبل از اینکه خیلی خلاصه مطالب را مرور کنم ، چند کتاب را معرفی می کنم که برای افرادی که تجربه قبلی در مورد این فیلد کاری ندارند می تواند بسیار مفید و آمورنده باشد .اگرچه هیچ کتابی کامل و بی نقص نیست اما با ترکیب محتوا و نکات چند کتاب خوب و کمی جستجو در اینترنت همیشه می توان به نتایج دلخواه و قابل قبول رسید.


کتاب اول :BotNets – The Killer Web App

در صورتی که آگاهی قبلی در مورد Malware ها و خصوصآ BotNet ها ندارید ، این کتاب می تواند شروع مناسبی باشد اما هرگز به آن اکتفا نکنید ! بر خلاف آنچه عنوان و ظاهر کتاب به خواننده القاء می کند کتاب مذکور تنها به اشاره به مجموعه ایی از بحث های مرتبط با Botnet ها بصورت سطحی و گذرا بسنده کرده است و پس از مطالعه آن خواننده با انبوهی از کلمات کلیدی که یاد گرفته می بایست به سراغ Google برود . در غیر اینصورت اطلاعات عنوان شده در کتاب به هیچ عنوان کافی وکامل نمی باشند .در طی 5 فصل اول خواننده با انواع BotNet ها و نحوه گسترش ، فعالیت و کنترل آنها آشنا می گردد .آگاهی از مطالب عنوان شده در این فصول می تواند بعنوان پیش نیاز برای مطالعه بسیاری از کتاب ها و مقالات در زمینه مشابه فرض شود. بنظر من اگر در این کتاب تنها 5 فصل اول وجود داشت اما کامل و واضح ، بسیار مفید تر از قالب کنونی آن بود . در هر صورت نباید فراموش کرد که مخاطب این کتاب افراد کم یا بی تجربه در این زمینه است . فصول 6 , 7 و 9 کتاب به معرفی قابلیت های نرم افزار Ourmon می پردازد که بنظر من انتخاب زیاد مناسبی برای این کتاب نیست . فصل 11 کتاب مطالب جالبی را در خصوص منابع اطلاعاتی که در زمینه آنالیز BotNet ها می توان به آنها مراجعه کرد را عنوان می کند . دانستن برخی از این نکته ها برای افرادی که قصد همکاری با گروه های فعال در این زمینه (مانند Shadow-Server) را دارند الزامی می باشد . امتیازی که من به این کتاب می دهم 3 از 5 است . فکر می کنم دلیل این رتبه بندی را ذکر کردم!


کتاب دوم : Virtual Honeypots

قدم اول در شناسایی Malware ها و آنالیز آنها ، بدست آوردن یک نمونه از آنهاست . تآکید اصلی کتاب فوق نیز بر همین موضوع می باشد . در این کتاب شما با انواع مختلف سیستم های Honeypot از نظر نحوه کارکرد آنها و دسته بندی های فنی آنها آشنا خواهید شد و در خلال آشنایی با هر خانواده ، تعدادی از شناخته شده ترین نرم افزارها و سیستم های مربوطه نیز از لحاظ مکانیزم کاری و روش راه اندازی اولیه مورد بررسی قرار می گیرند . تنها نکته ایی که در خصوص این کتاب وجود دارد و می بایست پیش از مطالعه آن در نظر داشته باشید این است که ، متن و نحوه نگارش این کتاب برای مخاطبی است که آگاهی و آشنایی قبلی با انواع Malware ها ، دسته بندی آنها و روش های کاری آنها دارد . بنا بر این خواندن کتابی مانند BotNets که به آن اشاره شد قبل از مطالعه این عنوان می تواند به شما در درک مطالب آن کمک زیادی کند . همچنین این کتاب توضیح و مطلب خاص و قابل توجهی در خصوص نحوه آنالیز نمونه های Malware ها ندارد . اگر چه در فصل 12 کتاب مروری بر نحوه کارکرد CWSandbox شده اما استفاده از سیستم های Sandbox تنها بخش اندکی از پروسه آنالیز یک نمونه Malware را پوشش می دهند. امتیازی که من به این کتاب می دهم 4 از 5 است . دلیل عدم اختصاص 5 امتیاز ، ناقص بودن بسیاری از مطالب عنوان شده و همچنین در مواردی انتقال مطلب تنها به روش معرفی یک ابزار یا نرم افزار خاص می باشد .


دو عنوان کتاب دیگر که مطالعه آنها می تواند به شما در آشنایی با این زمینه کمک کند ، کتاب جدید انتشارات Symantec تحت عنوان Crimeware : Understanding new attacks and defenses و کتاب BotNet Detection : Countering the largest security threat می باشد . البته عنوان اول (Crimeware) تنها 2 فصل در مورد موضوع مورد نظر ما دارد ، اما مطالعه این کتاب خالی از لطف نیست .

بجز عناوین ذکر شده کتاب های خاص و قابل توجه دیگری در این زمینه و با این روش دسته بندی اطلاعات منتشر نشده یا حداقل من از آنها اطلاعی ندارم . سایر کتب منتشر شده بیشتر در مورد Virus ها و یا مکانیزم های صرفآ دفاعی می باشد که کتاب The Art of computer virus research & defense یک نمونه خوب از این دسته می باشد .


خلاصه ایی از آنچه پس از مطالعه این عناوین و مقاله های مربوطه می توانید فرا بگیرید را در پست بعدی خواهم آورد.

3 comments: