1
00:00:00,000 --> 00:00:10,320
Η ανάλυση Malware είναι μια ζωτική διαδικασία στην κυβερνοασφάλεια που περιλαμβάνει την ανατομία και την κατανόηση

2
00:00:10,320 --> 00:00:12,920
του κακόβουλου λογισμικού.

3
00:00:12,920 --> 00:00:18,960
Ο πρωταρχικός στόχος είναι να καθοριστεί πώς λειτουργεί το malware, ποια συστήματα στοχεύει και τι

4
00:00:18,960 --> 00:00:21,480
είδους ζημιά μπορεί να προκαλέσει.

5
00:00:21,480 --> 00:00:26,960
Μελετώντας προσεκτικά δείγματα malware, οι ειδικοί κυβερνοασφάλειας αποκτούν πολύτιμες γνώσεις σχετικά με

6
00:00:26,960 --> 00:00:32,240
τη δομή, τη λειτουργικότητα και την προέλευσή του.

7
00:00:32,240 --> 00:00:37,800
Αυτή η γνώση τους επιτρέπει να χτίσουν ισχυρότερους μηχανισμούς άμυνας, να δημιουργήσουν signatures ανίχνευσης

8
00:00:37,800 --> 00:00:41,840
και να ανταποκριθούν πιο αποτελεσματικά στα περιστατικά.

9
00:00:41,840 --> 00:00:46,720
Στο σημερινό τοπίο απειλών, όπου οι κυβερνοεπιθέσεις γίνονται πιο εξελιγμένες, η ανάλυση malware

10
00:00:46,720 --> 00:00:51,520
είναι κρίσιμη για να παραμένουμε ένα βήμα μπροστά από τους επιτιθέμενους.

11
00:00:51,520 --> 00:00:56,240
Υπάρχουν διάφοροι τύποι ανάλυσης malware, ο καθένας προσφέροντας μια μοναδική οπτική στο πώς

12
00:00:56,240 --> 00:01:04,880
λειτουργεί το malware. Η Static analysis για παράδειγμα, περιλαμβάνει την επιθεώρηση του κώδικα του malware χωρίς να τρέξει.

13
00:01:04,880 --> 00:01:11,160
Αυτή η προσέγγιση βοηθά στον εντοπισμό κρυφών εντολών, ενσωματωμένων URLs, ρουτινών κρυπτογράφησης και ύποπτων

14
00:01:11,160 --> 00:01:17,400
συναρτήσεων, όλα χωρίς τον κίνδυνο εκτέλεσης δυνητικά επιβλαβούς κώδικα.

15
00:01:17,400 --> 00:01:23,120
Άρα ανοίγουμε το malware χωρίς να το εκτελέσουμε, αυτό είναι η Static analysis.

16
00:01:23,120 --> 00:01:28,600
Οι ειδικοί χρησιμοποιούν συχνά εργαλεία όπως disassemblers και decompilers για reverse engineering στα

17
00:01:28,600 --> 00:01:34,840
binaries, διευκολύνοντας την αποκάλυψη του πώς είναι προγραμματισμένο το malware.

18
00:01:34,840 --> 00:01:41,120
Η Dynamic και η Behavioral analysis ακολουθούν μια πιο πρακτική προσέγγιση.

19
00:01:41,120 --> 00:01:47,560
Η Dynamic analysis περιλαμβάνει την εκτέλεση του malware σε ένα ασφαλές και απομονωμένο περιβάλλον, συνήθως

20
00:01:47,560 --> 00:01:52,880
ένα sandbox ή virtual machine, για να παρατηρηθεί η συμπεριφορά του σε πραγματικό χρόνο.

21
00:01:52,880 --> 00:02:00,160
Αυτό επιτρέπει στους αναλυτές να δουν πώς το malware αλληλεπιδρά με τα αρχεία συστήματος, τους πόρους δικτύου

22
00:02:00,160 --> 00:02:02,440
και άλλο λογισμικό. 

23
00:02:02,440 --> 00:02:10,360
Η Behavioral analysis συμπληρώνει αυτό, εστιάζοντας στον αντίκτυπο που έχει το malware κατά την εκτέλεση.

24
00:02:10,360 --> 00:02:12,160
Επιβραδύνει το σύστημα;

25
00:02:12,160 --> 00:02:14,480
Τροποποιεί ή διαγράφει αρχεία;

26
00:02:14,480 --> 00:02:16,720
Συνδέεται με άγνωστους servers;

27
00:02:16,720 --> 00:02:22,800
Εξετάζοντας τέτοιες ενέργειες, οι αναλυτές μπορούν να κατανοήσουν καλύτερα την απειλή.

28
00:02:22,800 --> 00:02:29,720
Να αναπτύξουν στρατηγικές για τον εντοπισμό και την εξουδετέρωση παρόμοιας συμπεριφοράς στο μέλλον.

29
00:02:29,720 --> 00:02:35,360
Το malware έρχεται σε πολλές μορφές, φτιαγμένο με μοναδικό σκοπό, είτε είναι η κλοπή

30
00:02:35,360 --> 00:02:41,720
δεδομένων, η διακοπή κανονικών λειτουργιών, η καταστροφή συστημάτων ή η απόκτηση μη εξουσιοδοτημένης πρόσβασης.

31
00:02:41,720 --> 00:02:47,440
Η αναγνώριση αυτών των διαφορετικών τύπων malware είναι απαραίτητη για τους επαγγελματίες κυβερνοασφάλειας

32
00:02:47,440 --> 00:02:54,240
και τους χρήστες εξίσου, καθώς επιτρέπει ταχύτερη ταυτοποίηση και πιο αποτελεσματική απόκριση.

33
00:02:54,240 --> 00:02:59,640
Κατανοώντας πώς συμπεριφέρεται η κάθε κατηγορία, οι οργανισμοί μπορούν να εφαρμόσουν στοχευμένα μέτρα ασφαλείας

34
00:02:59,640 --> 00:03:02,760
και να προστατεύσουν καλύτερα τα ψηφιακά τους περιουσιακά στοιχεία.

35
00:03:02,760 --> 00:03:04,920
Ας ξεκινήσουμε με τους ιούς (Viruses).

36
00:03:04,920 --> 00:03:10,600
Αυτοί είναι από τις παλαιότερες μορφές malware και τυπικά προσκολλώνται σε νόμιμα

37
00:03:10,600 --> 00:03:12,800
προγράμματα ή αρχεία.

38
00:03:12,800 --> 00:03:18,880
Καθώς ένας χρήστης εκτελεί εν αγνοία του το μολυσμένο αρχείο, ο ιός ενεργοποιείται, αναπαράγεται και

39
00:03:18,880 --> 00:03:22,120
εξαπλώνεται σε άλλα αρχεία ή συστήματα.

40
00:03:22,120 --> 00:03:28,640
Η ζημιά που προκαλείται από ιούς μπορεί να κυμαίνεται από κατεστραμμένα αρχεία ή απώλεια δεδομένων έως πλήρη

41
00:03:28,640 --> 00:03:30,200
αστοχία συστήματος.

42
00:03:30,200 --> 00:03:36,600
Σημαντικό είναι ότι οι ιοί συχνά απαιτούν αλληλεπίδραση χρήστη, όπως το πάτημα ενός κακόβουλου συνδέσμου ή

43
00:03:36,600 --> 00:03:41,600
το άνοιγμα ενός συνημμένου email για να ξεκινήσει ο καταστροφικός κύκλος.

44
00:03:41,600 --> 00:03:43,080
Στη συνέχεια έχουμε τα Worms.

45
00:03:43,080 --> 00:03:49,520
Σε αντίθεση με τους ιούς, τα Worms μπορούν να πολλαπλασιαστούν μόνα τους χωρίς καμία αλληλεπίδραση χρήστη.

46
00:03:49,520 --> 00:03:55,720
Εκμεταλλεύονται ευπάθειες σε λειτουργικά συστήματα ή λογισμικό για να εξαπλωθούν στα δίκτυα

47
00:03:55,720 --> 00:03:58,040
συχνά με μεγάλη ταχύτητα.

48
00:03:58,040 --> 00:04:03,560
Αυτό μπορεί να οδηγήσει σε σοβαρές συνέπειες, όπως επιβραδύνσεις δικτύου, συνθήκες Denial of Service

49
00:04:03,560 --> 00:04:09,600
και μαζική μόλυνση, σε συσκευές σε μικρό χρονικό διάστημα.

50
00:04:09,600 --> 00:04:15,400
Τα Trojan horses, από την άλλη πλευρά, μεταμφιέζονται ως νόμιμο λογισμικό ή αρχεία

51
00:04:15,400 --> 00:04:18,120
για να ξεγελάσουν τους χρήστες ώστε να τα εγκαταστήσουν.

52
00:04:18,120 --> 00:04:24,200
Μόλις μπουν στο σύστημα, ανοίγουν την πόρτα στους επιτιθέμενους για να κλέψουν ευαίσθητες πληροφορίες,

53
00:04:24,200 --> 00:04:28,760
να χειραγωγήσουν τις ρυθμίσεις συστήματος ή ακόμη και να πάρουν πλήρη απομακρυσμένο έλεγχο.

54
00:04:28,760 --> 00:04:35,760
Τέλος, το Ransomware είναι ένας από τους πιο οικονομικά επιζήμιους τύπους και πιο ευρέως

55
00:04:35,760 --> 00:04:40,120
διαδεδομένους τα τελευταία χρόνια.

56
00:04:40,120 --> 00:04:46,160
Κρυπτογραφεί τα αρχεία του χρήστη ή τα αρχεία συστήματος, κλειδώνει το σύστημά τους και απαιτεί πληρωμή λύτρων,

57
00:04:46,160 --> 00:04:51,720
συνήθως σε Bitcoin, ως αντάλλαγμα για την επαναφορά της πρόσβασης.

58
00:04:51,720 --> 00:05:01,040
Αυτές οι επιθέσεις μπορούν να παραλύσουν ιδιώτες, επιχειρήσεις και ακόμη και κρίσιμες υποδομές, κρυπτογραφώντας

59
00:05:01,040 --> 00:05:06,520
τα εμπιστευτικά δεδομένα, τα σημαντικά δεδομένα των συστημάτων, καθιστώντας το Ransomware την πιο

60
00:05:06,520 --> 00:05:12,080
φοβερή απειλή στο τοπίο της κυβερνοασφάλειας σήμερα. 

61
00:05:12,080 --> 00:05:18,520
Πέρα από τους πιο κοινούς τύπους, υπάρχουν διάφορες άλλες επικίνδυνες μορφές που λειτουργούν

62
00:05:18,520 --> 00:05:23,360
πιο συγκαλυμμένα αλλά μπορούν να είναι εξίσου επιζήμιες.

63
00:05:23,360 --> 00:05:29,880
Αυτές περιλαμβάνουν Spyware, Adware, Rootkits, Bots και Key loggers, τα οποία θέτουν σοβαρούς

64
00:05:29,880 --> 00:05:35,240
κινδύνους για τους χρήστες και τους οργανισμούς κλέβοντας δεδομένα, καταλαμβάνοντας συστήματα ή λειτουργώντας ως

65
00:05:35,240 --> 00:05:38,800
σημεία εισόδου για περαιτέρω παραβίαση.

66
00:05:38,800 --> 00:05:45,000
Το Spyware είναι μια ιδιαίτερα επεμβατική μορφή malware που παρακολουθεί κρυφά τη δραστηριότητα του χρήστη

67
00:05:45,000 --> 00:05:47,120
χωρίς τη γνώση του.

68
00:05:47,120 --> 00:05:52,520
Μόλις εγκατασταθεί, μπορεί να παρακολουθεί τα πάντα, από πατήματα πλήκτρων έως ιστορικό περιήγησης, καταγράφοντας

69
00:05:52,520 --> 00:05:58,160
προσωπικές πληροφορίες όπως κωδικούς πρόσβασης, τραπεζικά στοιχεία και διαπιστευτήρια σύνδεσης.

70
00:05:58,160 --> 00:06:03,160
Αυτά τα δεδομένα συχνά μεταδίδονται πίσω στους κυβερνοεγκληματίες για εκμετάλλευση ή πώληση στο

71
00:06:03,160 --> 00:06:05,160
Dark web.

72
00:06:05,160 --> 00:06:11,080
Το Adware, αν και μερικές φορές κατατάσσεται ως λιγότερο σοβαρό, μπορεί να αποτελέσει σημαντική απειλή.

73
00:06:11,080 --> 00:06:17,480
Η κύρια λειτουργία του είναι να βομβαρδίζει τους χρήστες με ανεπιθύμητες διαφημίσεις, pop-ups, banners

74
00:06:17,480 --> 00:06:19,040
και ανακατευθύνσεις.

75
00:06:19,040 --> 00:06:26,040
Ωστόσο, το Adware παρακολουθεί συχνά τη συμπεριφορά του χρήστη για να σερβίρει στοχευμένες διαφημίσεις και μπορεί να ανοίξει την πόρτα

76
00:06:26,040 --> 00:06:30,160
για πιο κακόβουλες απειλές να εισέλθουν στο σύστημα.

77
00:06:30,160 --> 00:06:32,840
Ακόμα πιο επικίνδυνα είναι τα Rootkits.

78
00:06:32,840 --> 00:06:38,680
Αυτά είναι αθέατα κομμάτια malware σχεδιασμένα για να αποκτούν και να διατηρούν προνομιακή πρόσβαση σε

79
00:06:38,680 --> 00:06:41,720
ένα σύστημα ενώ κρύβουν την παρουσία τους.

80
00:06:41,720 --> 00:06:48,020
Τα Rootkits μπορούν να απενεργοποιήσουν εργαλεία ασφαλείας και να δημιουργήσουν backdoors, καθιστώντας τα απίστευτα

81
00:06:48,020 --> 00:06:50,760
δύσκολα στον εντοπισμό και την αφαίρεση.

82
00:06:50,760 --> 00:06:54,120
Τέλος, έχουμε τα Bots και Key loggers.

83
00:06:54,120 --> 00:06:59,800
Ένα Bot είναι μια συσκευή μολυσμένη και ελεγχόμενη απομακρυσμένα από έναν επιτιθέμενο.

84
00:06:59,800 --> 00:07:04,800
Όταν συνδέεται με άλλα παραβιασμένα συστήματα, γίνεται μέρος ενός Botnet, το οποίο μπορεί

85
00:07:04,800 --> 00:07:10,640
να χρησιμοποιηθεί για επιχειρήσεις μεγάλης κλίμακας όπως καμπάνιες spam ή επιθέσεις Distributed Denial-of-Service

86
00:07:10,640 --> 00:07:12,640
(DDoS).

87
00:07:12,640 --> 00:07:19,160
Εν τω μεταξύ, τα Key loggers λειτουργούν αθόρυβα στο παρασκήνιο, καταγράφοντας κάθε πάτημα πλήκτρου

88
00:07:19,160 --> 00:07:21,840
που πληκτρολογείται σε ένα μολυσμένο μηχάνημα.

89
00:07:21,840 --> 00:07:27,680
Αυτό επιτρέπει στους επιτιθέμενους να συλλέγουν ευαίσθητα δεδομένα όπως κωδικούς πρόσβασης, αριθμούς πιστωτικών καρτών

90
00:07:27,680 --> 00:07:31,040
και εμπιστευτικές επικοινωνίες.

91
00:07:31,040 --> 00:07:35,560
Η κατανόηση αυτών των μορφών malware είναι απαραίτητη για την οικοδόμηση ισχυρών αμυντικών στρατηγικών

92
00:07:35,560 --> 00:07:39,840
και τη διατήρηση της ακεραιότητας του συστήματος.

93
00:07:39,840 --> 00:07:44,960
Η ανάλυση Malware είναι μια πολύπλοκη και τεχνική διαδικασία που απαιτεί τη χρήση εξειδικευμένων

94
00:07:44,960 --> 00:07:45,960
εργαλείων.

95
00:07:45,960 --> 00:07:51,520
Αυτά τα εργαλεία παίζουν κρίσιμο ρόλο στο να βοηθήσουν τους αναλυτές να κατανοήσουν τη δομή, τη συμπεριφορά

96
00:07:51,600 --> 00:07:54,600
και τον αντίκτυπο του κακόβουλου λογισμικού.

97
00:07:54,600 --> 00:08:00,760
Είτε ο στόχος είναι το reverse engineering του κώδικα είτε η παρατήρηση της συμπεριφοράς του malware σε ένα

98
00:08:00,760 --> 00:08:05,280
ελεγχόμενο περιβάλλον, η κατοχή των σωστών εργαλείων κάνει τη διαδικασία πιο αποτελεσματική και

99
00:08:05,280 --> 00:08:06,280
ακριβή.

100
00:08:06,280 --> 00:08:11,520
Ας ρίξουμε μια ματιά σε μερικά από τα πιο ευρέως χρησιμοποιούμενα και αποτελεσματικά εργαλεία στον τομέα.

101
00:08:11,520 --> 00:08:16,280
Ένα από τα κορυφαία εργαλεία στην ανάλυση malware σήμερα είναι το Ghidra.

102
00:08:16,280 --> 00:08:22,440
Αναπτυγμένο από την National Security Agency, την NSA, το Ghidra είναι ένα ισχυρό open-source

103
00:08:22,440 --> 00:08:27,880
εργαλείο reverse engineering σχεδιασμένο για την ανάλυση μεταγλωττισμένου κώδικα (compiled code).

104
00:08:27,880 --> 00:08:35,040
Υποστηρίζει ένα ευρύ φάσμα αρχιτεκτονικών και μορφών εκτελέσιμων, καθιστώντας το κατάλληλο

105
00:08:35,040 --> 00:08:37,840
για την ανάλυση διαφόρων τύπων malware.

106
00:08:37,840 --> 00:08:43,160
Με χαρακτηριστικά όπως disassembly, decompilation και ενσωματωμένο debugging,

107
00:08:43,160 --> 00:08:50,880
το Ghidra επιτρέπει στους αναλυτές να εργάζονται μέσα σε ένα διαισθητικό περιβάλλον ενώ εκτελούν τόσο Static

108
00:08:50,880 --> 00:08:54,160
όσο και Dynamic analysis. 

109
00:08:54,160 --> 00:09:00,480
Τα χαρακτηριστικά συνεργασίας και η επεκτασιμότητά του το καθιστούν επίσης αγαπημένο μεταξύ των ερευνητών

110
00:09:00,480 --> 00:09:02,280
ασφαλείας.

111
00:09:02,280 --> 00:09:09,600
Ένα άλλο ευρέως σεβαστό εργαλείο ονομάζεται IDA Pro, ή το IDA Free, είναι ένας εμπορικός

112
00:09:09,600 --> 00:09:16,200
disassembler και debugger που συχνά θεωρείται το χρυσό πρότυπο στο reverse engineering.

113
00:09:16,200 --> 00:09:23,120
Το IDA μετατρέπει περίπλοκο κώδικα μηχανής σε αναγνώσιμη assembly, δίνοντας στους αναλυτές

114
00:09:23,120 --> 00:09:26,840
βαθιά ορατότητα στο πώς λειτουργεί το malware.

115
00:09:26,840 --> 00:09:33,400
Περιλαμβάνει επίσης δυνατότητες debugging που επιτρέπουν στους ερευνητές να αλληλεπιδρούν και να παρακολουθούν

116
00:09:33,400 --> 00:09:35,880
το malware σε πραγματικό χρόνο.

117
00:09:35,880 --> 00:09:43,520
Για τη Static analysis των Windows malware συγκεκριμένα, το PE Studio είναι μια λύση πρώτης επιλογής.

118
00:09:43,520 --> 00:09:53,800
Αυτό το εργαλείο εξετάζει Portable Executables, γι' αυτό και το όνομα PE, χωρίς να τα εκτελεί.

119
00:09:53,800 --> 00:09:54,800
Είναι λοιπόν μια Static analysis που προσφέρει πληροφορίες για ύποπτα στοιχεία όπως ονόματα

120
00:10:00,160 --> 00:10:06,000
sections, imported functions, dependencies και ενσωματωμένους πόρους.

121
00:10:06,000 --> 00:10:13,160
Το PE Studio είναι ιδιαίτερα χρήσιμο για τη γρήγορη επισήμανση κόκκινων σημαιών και τον εντοπισμό

122
00:10:13,160 --> 00:10:18,600
δυνητικά κακόβουλης συμπεριφοράς εντός των Windows binaries.

123
00:10:18,600 --> 00:10:20,840
Ας δούμε μερικά άλλα εργαλεία.

124
00:10:20,840 --> 00:10:27,480
Το Cuckoo Sandbox είναι ένα ισχυρό αυτοματοποιημένο σύστημα ανάλυσης malware που επιτρέπει στους ερευνητές

125
00:10:27,480 --> 00:10:32,240
να εκτελούν ύποπτα αρχεία μέσα σε ένα ασφαλές απομονωμένο περιβάλλον.

126
00:10:32,240 --> 00:10:38,120
Αυτό το εργαλείο παρέχει βαθιά γνώση της συμπεριφοράς δυνητικά επιβλαβούς λογισμικού

127
00:10:38,120 --> 00:10:44,040
παρακολουθώντας και αναφέροντας τη δραστηριότητα στο σύστημα αρχείων, τις επικοινωνίες δικτύου και τα system

128
00:10:44,040 --> 00:10:45,040
calls.

129
00:10:45,040 --> 00:10:51,560
Είναι ιδιαίτερα αποτελεσματικό για Dynamic analysis, επιτρέποντας στους αναλυτές να κατανοήσουν πώς λειτουργεί

130
00:10:51,560 --> 00:10:55,720
νεοανακαλυφθέν ή άγνωστο malware σε πραγματικό χρόνο.

131
00:10:55,720 --> 00:11:02,440
Έχουμε δει το Ghidra χρησιμοποιώντας το Ghidra για να κάνουμε decompile τον κώδικα, να αποκαλύψουμε μια κρυφή συνάρτηση που

132
00:11:02,440 --> 00:11:07,240
εγκαθιστά σύνδεση με έναν απομακρυσμένο server και εκκινεί ένα command line interface, για

133
00:11:07,240 --> 00:11:08,240
παράδειγμα.

134
00:11:08,240 --> 00:11:14,460
Το IDA, έχουμε δει επίσης ότι είναι για προσεκτική επιθεώρηση του κώδικα, ο αναλυτής

135
00:11:14,460 --> 00:11:19,400
εντοπίζει τους αλγορίθμους που έχουν χρησιμοποιηθεί και τις συναρτήσεις.

136
00:11:19,960 --> 00:11:27,280
PE Studio, γρήγορα είναι πολύ καλό για εκτελέσιμα αρχεία για ανάλυση και επιστρέφοντας στο

137
00:11:27,280 --> 00:11:32,200
Cuckoo Sandbox, σκεφτείτε μια κατάσταση για παράδειγμα όπου ένας αναλυτής ασφαλείας λαμβάνει

138
00:11:32,200 --> 00:11:37,000
προειδοποιήσεις για κακόβουλα συνημμένα email, χρησιμοποιούν το Cuckoo, ας πούμε το Cuckoo

139
00:11:37,000 --> 00:11:39,000
Sandbox για να εκτελέσουν με ασφάλεια.

140
00:11:39,000 --> 00:11:45,800
Πρόκειται λοιπόν για εκτέλεση, πραγματικά εκτελεί το κακόβουλο payload σε ένα ασφαλές περιβάλλον

141
00:11:45,800 --> 00:11:49,320
και παρακολουθεί τα αρχεία στο εικονικό περιβάλλον.

142
00:11:49,320 --> 00:11:53,960
Τα αποτελέσματα αποκαλύπτουν ότι τα συνημμένα προσπαθούν να κατεβάσουν πολλαπλά κακόβουλα

143
00:11:53,960 --> 00:11:58,360
στοιχεία, συμπεριλαμβανομένου ενός Key logger και ενός εργαλείου απομακρυσμένης πρόσβασης.

144
00:11:58,360 --> 00:12:03,560
Οπλισμένη με αυτή την πληροφορία, η ομάδα βάζει γρήγορα σε καραντίνα τα επηρεασμένα

145
00:12:03,560 --> 00:12:07,800
μηχανήματα και εφαρμόζει ένα στοχευμένο patch για να διασφαλίσει το δίκτυο από

146
00:12:07,800 --> 00:12:10,800
παρόμοιες απειλές.

147
00:12:10,800 --> 00:12:15,640
Ένα άλλο σημαντικό εργαλείο ονομάζεται VirusTotal για Static analysis, άρα ξανά

148
00:12:15,640 --> 00:12:21,400
θα προσπαθήσουμε να ανακαλύψουμε το μεγαλύτερο μέρος της συμπεριφοράς, της κακόβουλης συμπεριφοράς που έχει το αρχείο,

149
00:12:21,400 --> 00:12:24,280
μαζί με άλλες πληροφορίες.

150
00:12:24,280 --> 00:12:29,960
Είναι ένα εργαλείο, είναι ένα web component εργαλείο, είναι εύκολο να ανεβάσεις και να φορτώσεις τα

151
00:12:29,960 --> 00:12:34,600
binaries και να δεις αν είναι κακόβουλα, οπότε είναι ένα πολύ καλό σημείο εκκίνησης.

152
00:12:35,480 --> 00:12:39,800
Ωστόσο, αν θέλετε να κάνετε περισσότερη Static analysis, πρέπει να κάνετε

153
00:12:39,880 --> 00:12:46,840
decompile και να προχωρήσετε με IDA ή PE Studio για να μάθετε περισσότερες πληροφορίες.

154
00:12:46,840 --> 00:12:51,960
Η Static analysis συνολικά είναι μια θεμελιώδης τεχνική στην ανάλυση malware που επιτρέπει

155
00:12:51,960 --> 00:12:57,160
την εξέταση της εσωτερικής δομής και των χαρακτηριστικών ενός αρχείου

156
00:12:57,160 --> 00:13:00,760
χωρίς τον κίνδυνο εκτέλεσης, αυτή είναι η διαφορά μεταξύ Static

157
00:13:00,760 --> 00:13:03,880
analysis και Dynamic analysis.

158
00:13:03,880 --> 00:13:08,600
Ο κώδικας του malware, τα μοτίβα συμπεριφοράς, ο πιθανός αντίκτυπος, όλα αυτά

159
00:13:08,600 --> 00:13:14,440
μπορούν να φανούν στη Static analysis, ωστόσο στη Dynamic analysis

160
00:13:14,440 --> 00:13:20,760
η εκτέλεση θα γίνει και μπορούμε να ταυτοποιήσουμε καλύτερα και πιο ασφαλώς

161
00:13:20,760 --> 00:13:23,560
τι συμβαίνει στο παρασκήνιο.

162
00:13:23,560 --> 00:13:28,040
Μία από τις πιο κοινές πρακτικές Static analysis είναι η επαλήθευση των τιμών

163
00:13:28,040 --> 00:13:36,280
hash του αρχείου όπως md5 ή sha256, οπότε το VirusTotal ή άλλα

164
00:13:36,280 --> 00:13:42,040
antiviruses, πρώτα βλέπουν την τιμή hash του malware και αν αυτή

165
00:13:42,040 --> 00:13:47,000
η τιμή hash είναι παρόμοια με οτιδήποτε στις βιβλιοθήκες στη βάση δεδομένων έχει υπάρξει στο

166
00:13:47,000 --> 00:13:50,760
παρελθόν, τότε κατατάσσουν ότι αυτό είναι ιός.

167
00:13:50,760 --> 00:13:55,400
Αυτά τα κρυπτογραφικά αποτυπώματα χρησιμεύουν ως μοναδικά αναγνωριστικά για αρχεία και

168
00:13:55,400 --> 00:14:00,520
είναι ιδιαίτερα χρήσιμα όταν ελέγχουμε αν ένα αρχείο έχει ήδη καταλογογραφηθεί

169
00:14:00,520 --> 00:14:04,600
σε μια βάση δεδομένων malware. Για παράδειγμα, χρησιμοποιώντας μια απλή εντολή

170
00:14:04,600 --> 00:14:12,840
όπως sha256sum και μετά το αρχείο ή md5sum και το αρχείο σε τερματικό Linux

171
00:14:12,840 --> 00:14:16,360
μπορείτε να δημιουργήσετε μια τιμή hash αυτού του αρχείου.

172
00:14:16,360 --> 00:14:20,440
Αυτό μπορεί στη συνέχεια να διασταυρωθεί με κανονικά αποθετήρια malware για να

173
00:14:20,440 --> 00:14:23,640
καθοριστεί αν το αρχείο έχει αναγνωριστεί ως

174
00:14:23,640 --> 00:14:28,920
κακόβουλο signature. Αυτή η τεχνική σύγκρισης hash όχι μόνο επιταχύνει

175
00:14:28,920 --> 00:14:33,240
την αρχική διαλογή αλλά βοηθά επίσης στη διασφάλιση της συνέπειας σε όλες τις

176
00:14:33,240 --> 00:14:39,000
έρευνες. Εάν βρεθεί αντιστοιχία, ο αναλυτής μπορεί να έχει γρήγορη πρόσβαση σε

177
00:14:39,000 --> 00:14:44,360
προηγούμενες αναφορές ανάλυσης, οδηγίες αποκατάστασης ή Indicators of Compromise,

178
00:14:44,360 --> 00:14:49,320
όλα μαζί αυτόματα επειδή έχει καταγραφεί στο παρελθόν.

179
00:14:49,320 --> 00:14:56,280
Ακόμα κι αν δεν βρεθεί αντιστοιχία, η τιμή hash εξακολουθεί να χρησιμεύει ως αξιόπιστο

180
00:14:56,280 --> 00:15:02,040
σημείο αναφοράς για μελλοντική παρακολούθηση. Ως το πρώτο βήμα στη Static analysis

181
00:15:02,040 --> 00:15:06,360
η δημιουργία και ο έλεγχος των hashes θέτει τα θεμέλια για βαθύτερη

182
00:15:06,360 --> 00:15:10,520
έρευνα σε επίπεδο κώδικα χρησιμοποιώντας εργαλεία όπως PE Studio,

183
00:15:10,520 --> 00:15:14,840
Ghidra ή IDA.

184
00:15:15,000 --> 00:15:19,240
Μια άλλη βασική τεχνική Static analysis περιλαμβάνει την επιθεώρηση των strings

185
00:15:19,240 --> 00:15:23,080
μέσα στο binary χρησιμοποιώντας την εντολή strings.

186
00:15:23,080 --> 00:15:27,000
Αυτό το εργαλείο εξάγει όλο το εκτυπώσιμο ASCII

187
00:15:27,000 --> 00:15:31,400
και Unicode κείμενο που βρίσκεται μέσα σε ένα δείγμα malware

188
00:15:31,480 --> 00:15:36,440
προσφέροντας έναν μη παρεμβατικό τρόπο συλλογής στοιχείων για την εσωτερική του λειτουργία.

189
00:15:36,440 --> 00:15:42,360
Η έξοδος αποκαλύπτει συχνά hard-coded URLs, διευθύνσεις IP, ύποπτες

190
00:15:42,360 --> 00:15:46,920
εντολές, εντολές σφάλματος, μηνύματα σφάλματος ή ακόμη και

191
00:15:46,920 --> 00:15:51,000
ενσωματωμένα διαπιστευτήρια, πληροφορίες που μπορούν να δώσουν υπόνοιες

192
00:15:51,000 --> 00:15:55,800
για τον σκοπό του malware ή να δείξουν την υποδομή command and control του.

193
00:15:55,800 --> 00:16:01,000
Άρα περισσότερες πληροφορίες για το πώς αυτό το malware αλληλεπιδρά με άλλα

194
00:16:01,000 --> 00:16:06,840
συστήματα ή λειτουργίες. Για παράδειγμα, τρέχοντας strings, την εντολή

195
00:16:06,840 --> 00:16:10,440
strings και μετά το δείγμα malware ή ένα binary αρχείο,

196
00:16:10,440 --> 00:16:16,920
ένας αναλυτής μπορεί να αποκαλύψει εγγραφές όπως www, maliciousdomain.com,

197
00:16:16,920 --> 00:16:20,680
bitcoinaddress.com ή οτιδήποτε,

198
00:16:20,760 --> 00:16:26,760
admin password διαπιστευτήρια, σύνδεση στον server σαν μια συνάρτηση

199
00:16:26,760 --> 00:16:33,400
που συνδέεται σε έναν server ή διεισδύει ή στήνει ένα ανοιχτό παράθυρο

200
00:16:33,400 --> 00:16:37,880
που υποδηλώνει απόπειρες μη εξουσιοδοτημένης πρόσβασης ή απομακρυσμένης επικοινωνίας.

201
00:16:37,880 --> 00:16:44,840
Άρα τα αναγνώσιμα strings, το κείμενο ASCII μπορεί να παρουσιάσει πολλές πληροφορίες

202
00:16:44,840 --> 00:16:49,080
σχετικά με το binary. Εξίσου σημαντική είναι η ανάλυση των

203
00:16:49,080 --> 00:16:54,440
file headers η οποία παρέχει βαθύτερη εικόνα στη δομή του εκτελέσιμου

204
00:16:54,440 --> 00:16:59,560
και τη συμπεριφορά για Windows malware. Εργαλεία όπως το PE Studio

205
00:16:59,560 --> 00:17:05,240
προσφέρουν ένα διαισθητικό περιβάλλον για την εξέταση του portable execution

206
00:17:05,240 --> 00:17:09,080
format, επισημαίνοντας ανωμαλίες σε sections, imports,

207
00:17:09,080 --> 00:17:13,560
exports και άλλα κρίσιμα χαρακτηριστικά. Υπάρχει ένα άλλο εργαλείο που ονομάζεται

208
00:17:13,560 --> 00:17:17,000
Dependency Walker με το οποίο μπορείτε να ανακτήσετε πραγματικά τα

209
00:17:17,000 --> 00:17:20,920
dependencies του malware, του binary

210
00:17:20,920 --> 00:17:26,440
με άλλες συναρτήσεις και ούτω καθεξής. Σε συστήματα Unix ή Linux, βοηθητικά προγράμματα όπως

211
00:17:26,440 --> 00:17:32,200
objdump, object dump μπορούν επίσης να χρησιμοποιηθούν για εξαγωγή και ανασκόπηση πληροφοριών header

212
00:17:32,200 --> 00:17:35,480
όπως το entry point του προγράμματος,

213
00:17:35,480 --> 00:17:41,320
τη διάταξη των sections και τα linked binaries. Αυτές οι λεπτομέρειες όχι μόνο βοηθούν στην

214
00:17:41,320 --> 00:17:44,360
αναγνώριση της πλατφόρμας στόχου του malware και των

215
00:17:44,360 --> 00:17:47,960
δυνατοτήτων του αλλά χρησιμεύουν επίσης ως δείκτες

216
00:17:47,960 --> 00:17:51,640
τεχνικών obfuscation ή patching που χρησιμοποιούνται για την αποφυγή

217
00:17:51,640 --> 00:17:58,360
της ανίχνευσης. Για να ξεκινήσουμε την ανάλυση ενός ύποπτου εκτελέσιμου

218
00:17:58,360 --> 00:18:03,560
ανοίγουμε το αρχείο στο PE Studio. Αυτό το εργαλείο παρέχει μια γρήγορη επισκόπηση της

219
00:18:03,560 --> 00:18:08,600
δομής του αρχείου συμπεριλαμβανομένων των ονομάτων sections, των imported libraries

220
00:18:08,600 --> 00:18:13,000
και άλλων βασικών μεταδεδομένων. Για παράδειγμα, τυπικά imports

221
00:18:13,000 --> 00:18:20,680
μπορεί να περιλαμβάνουν kernel32.dll ή user32.dll και κοινά sections όπως

222
00:18:20,680 --> 00:18:26,600
.text, .data και .rdata προσφέρουν πληροφορίες για το πού βρίσκονται ο κώδικας και τα δεδομένα

223
00:18:26,600 --> 00:18:30,280
μέσα στο binary. Για Linux binaries, παρόμοιες

224
00:18:30,280 --> 00:18:34,600
πληροφορίες μπορούν να ανακτηθούν χρησιμοποιώντας την εντολή object dump,

225
00:18:34,600 --> 00:18:40,280
εκτελώντας objdump minus x και μετά το αρχείο,

226
00:18:40,280 --> 00:18:43,720
αποκαλύπτει τα binary headers και τις δομικές ιδιότητες,

227
00:18:43,720 --> 00:18:49,560
προσφέροντας μια συγκρίσιμη εικόνα στο πώς είναι κατασκευασμένο το αρχείο σε χαμηλότερο επίπεδο.

228
00:18:49,560 --> 00:18:55,720
Στη συνέχεια προχωράμε στο disassembling του κώδικα χρησιμοποιώντας εργαλεία όπως Ghidra ή IDA.

229
00:18:55,720 --> 00:18:59,960
Το Disassembly είναι ένα κρίσιμο βήμα στην κατανόηση του πώς συμπεριφέρεται το λογισμικό

230
00:18:59,960 --> 00:19:06,040
του malware καθώς μεταφράζει τον ακατέργαστο κώδικα μηχανής σε αναγνώσιμες

231
00:19:06,040 --> 00:19:11,080
οδηγίες assembly. Αυτό επιτρέπει στους αναλυτές να ανιχνεύσουν

232
00:19:11,080 --> 00:19:17,000
τη ροή εκτέλεσης, να εξετάσουν τη λογική των συναρτήσεων και να εντοπίσουν κακόβουλες συμπεριφορές ενσωματωμένες

233
00:19:17,000 --> 00:19:20,600
στον κώδικα. Με το Ghidra απλά ανοίγουμε το δείγμα malware

234
00:19:20,600 --> 00:19:24,440
και το εργαλείο κάνει αυτόματα disassemble το binary,

235
00:19:24,440 --> 00:19:27,400
παρουσιάζοντας τις οδηγίες assembly δίπλα σε

236
00:19:27,400 --> 00:19:31,000
ένα φιλικό προς το χρήστη περιβάλλον για πλοήγηση και

237
00:19:31,080 --> 00:19:36,440
σχολιασμό. Ομοίως, στο IDA, φορτώνοντας το εκτελέσιμο

238
00:19:36,440 --> 00:19:42,840
ξεκινά μια εις βάθος ανάλυση που παράγει μια διαδραστική ροή disassembly,

239
00:19:42,840 --> 00:19:46,680
επισημαίνοντας συναρτήσεις, δομές ελέγχου και αναφορές κώδικα

240
00:19:46,680 --> 00:19:50,600
του binary. Μια τυπική έξοδος disassembled

241
00:19:50,600 --> 00:19:54,200
μπορεί να περιλαμβάνει οδηγίες όπως

242
00:19:54,200 --> 00:20:00,920
MOV EAX, EBX, ακολουθούμενη από ένα CALL σε ένα δεκαεξαδικό

243
00:20:00,920 --> 00:20:08,920
σύστημα ή δεκαδικό, δείχνοντας πώς μετακινούνται τα δεδομένα και ποιες συναρτήσεις καλούνται.

244
00:20:08,920 --> 00:20:13,240
Στοιχεία που μπορούν να βοηθήσουν τους reverse engineers να κατανοήσουν

245
00:20:13,240 --> 00:20:17,080
την πρόθεση και τις δυνατότητες του malware.

246
00:20:17,080 --> 00:20:23,320
Για να ξεκινήσουμε την ανάλυση ενός δείγματος malware το ανοίγουμε στο PE Studio ως εναλλακτική.

247
00:20:23,320 --> 00:20:26,440
Μόλις φορτωθεί το αρχείο, το εργαλείο παρουσιάζει αμέσως

248
00:20:26,440 --> 00:20:29,880
μια λεπτομερή προβολή των μεταδεδομένων του εκτελέσιμου.

249
00:20:29,880 --> 00:20:34,920
Αυτό περιλαμβάνει δομικά στοιχεία όπως ονόματα sections, imported libraries

250
00:20:34,920 --> 00:20:39,160
και δείκτες δυνητικά κακόβουλων συμπεριφορών όπως αν το αρχείο είναι

251
00:20:39,160 --> 00:20:43,800
packed ή χρησιμοποιεί ύποπτες API functions.

252
00:20:43,800 --> 00:20:50,120
Δώστε ιδιαίτερη προσοχή σε ασυνήθιστα imports, ειδικά σε βιβλιοθήκες

253
00:20:50,120 --> 00:20:54,760
δικτύου. Αυτό μπορεί να υποδηλώνει ότι το malware έχει σχεδιαστεί για να επικοινωνεί με

254
00:20:54,760 --> 00:21:00,200
άλλον απομακρυσμένο server, χαρακτηριστικό γνώρισμα μιας δραστηριότητας command and control.

255
00:21:00,200 --> 00:21:04,840
Εκτός από τη δομική ανάλυση μπορούμε να εξάγουμε αναγνώσιμο περιεχόμενο

256
00:21:04,840 --> 00:21:08,760
από το malware χρησιμοποιώντας το εργαλείο strings όπως εξηγήσαμε.

257
00:21:08,760 --> 00:21:12,600
Αυτό το εργαλείο σαρώνει το binary για ASCII ή Unicode

258
00:21:12,600 --> 00:21:17,880
κείμενο το οποίο μπορεί να περιλαμβάνει hardcoded URLs, διευθύνσεις IP, διαπιστευτήρια ή μηνύματα

259
00:21:17,880 --> 00:21:21,800
σφάλματος. Αυτά τα strings παρέχουν συχνά κρίσιμα στοιχεία

260
00:21:21,800 --> 00:21:26,120
σχετικά με τη συμπεριφορά, την υποδομή ή τον σκοπό του malware.

261
00:21:26,120 --> 00:21:29,640
Η εντολή είναι απλή, τρέχετε strings και μετά το binary

262
00:21:29,640 --> 00:21:33,320
και στη συνέχεια, για παράδειγμα, η έξοδος μπορεί να αποκαλύψει κάτι όπως

263
00:21:33,320 --> 00:21:39,160
ένα URL ή ένα password ισούται με κάτι, αριθμούς τηλεφώνου,

264
00:21:39,160 --> 00:21:43,640
bitcoin wallets ή οτιδήποτε. Τέτοιες ανακαλύψεις μπορούν

265
00:21:43,640 --> 00:21:46,760
να οδηγήσουν στον εντοπισμό ενός command and control server ή

266
00:21:46,760 --> 00:21:51,640
στην κατανόηση του πώς το malware προσπαθεί να αυθεντικοποιηθεί ή να εξαπλωθεί.

267
00:21:51,640 --> 00:21:55,880
Μαζί όλα αυτά, εργαλεία όπως PE Studio, strings

268
00:21:55,880 --> 00:21:59,320
και τα άλλα προσφέρουν μια γρήγορη και αποτελεσματική πρώτη ματιά

269
00:21:59,320 --> 00:22:03,160
σε ένα άγνωστο binary, θέτοντας τα θεμέλια για

270
00:22:03,160 --> 00:22:10,360
βαθύτερη Static ή Dynamic analysis. Η Dynamic analysis είναι ένα ουσιαστικό βήμα

271
00:22:10,360 --> 00:22:15,080
στη διαδικασία έρευνας malware, παρέχοντας πληροφορίες σε πραγματικό χρόνο για το πώς

272
00:22:15,160 --> 00:22:20,760
συμπεριφέρεται ένα συγκεκριμένο αρχείο όταν εκτελείται. Σε αντίθεση με τη Static analysis που

273
00:22:20,760 --> 00:22:26,360
επιθεωρεί ένα αρχείο χωρίς να το τρέξει, η Dynamic analysis επιτρέπει στους αναλυτές να

274
00:22:26,360 --> 00:22:31,400
παρατηρήσουν τη συμπεριφορά του malware καθώς αλληλεπιδρά με το λειτουργικό σύστημα,

275
00:22:31,400 --> 00:22:35,720
το σύστημα αρχείων, το δίκτυο και άλλους πόρους συστήματος.

276
00:22:35,720 --> 00:22:39,560
Αυτός ο τύπος ανάλυσης μπορεί να αποκαλύψει κρυφές ενέργειες

277
00:22:39,560 --> 00:22:43,000
όπως απόπειρες αλλοίωσης αρχείων συστήματος,

278
00:22:43,000 --> 00:22:48,120
έναρξη επικοινωνιών δικτύου ή ακόμη και εγκαθίδρυση παραγόντων για απομακρυσμένο έλεγχο,

279
00:22:48,120 --> 00:22:53,320
βοηθώντας τους ερευνητές να κατανοήσουν το πλήρες εύρος της απειλής.

280
00:22:53,320 --> 00:22:58,520
Η ρύθμιση ενός πλήρως ελεγχόμενου περιβάλλοντος για Dynamic analysis είναι ζωτικής σημασίας για

281
00:22:58,520 --> 00:23:02,360
τη διασφάλιση ότι το malware δεν θα προκαλέσει ζημιά στο πρωτεύον σύστημα

282
00:23:02,360 --> 00:23:07,160
ή δεν θα εξαπλωθεί στις άλλες συσκευές. Ένας από τους πιο αποτελεσματικούς τρόπους για να

283
00:23:07,160 --> 00:23:11,400
επιτευχθεί αυτό είναι με τη χρήση ενός Virtual Machine, ενός VM.

284
00:23:11,480 --> 00:23:16,600
Ένα VM παρέχει ένα απομονωμένο περιβάλλον στο οποίο το malware μπορεί να εκτελεστεί με ασφάλεια,

285
00:23:16,600 --> 00:23:19,960
επιτρέποντας στους αναλυτές να παρατηρήσουν τη συμπεριφορά του

286
00:23:19,960 --> 00:23:23,320
χωρίς να διακινδυνεύσουν την ακεραιότητα του host μηχανήματος.

287
00:23:23,320 --> 00:23:29,080
Το VirtualBox ή το VMware είναι κοινά χρησιμοποιούμενες πλατφόρμες για τη δημιουργία VMs.

288
00:23:29,080 --> 00:23:35,560
Στο Linux υπάρχει το KVM και επιτρέπουν στους ερευνητές να δημιουργήσουν ένα sandbox

289
00:23:35,560 --> 00:23:39,800
περιβάλλον με ένα καθορισμένο λειτουργικό σύστημα που αντικατοπτρίζει στενά

290
00:23:39,800 --> 00:23:45,960
το μηχάνημα που στοχεύεται. Κάνοντας αυτό οι ερευνητές μπορούν να τρέξουν το malware

291
00:23:45,960 --> 00:23:50,120
σε ένα ελεγχόμενο περιβάλλον προσομοιώνοντας το περιβάλλον όπου είναι πιθανό να συμβεί η επίθεση,

292
00:23:50,120 --> 00:23:56,040
για παράδειγμα ένα σύστημα Windows 7, Windows 10 ή Windows 11.

293
00:23:56,040 --> 00:23:59,800
Για να διασφαλιστεί ότι το malware παραμένει περιορισμένο και ότι δεν εξαπλώνεται στα

294
00:23:59,800 --> 00:24:04,200
άλλα μηχανήματα ή συστήματα είναι σημαντικό να ρυθμίσετε

295
00:24:04,200 --> 00:24:07,960
τις ρυθμίσεις δικτύου του VM για απομόνωση, ώστε να μην

296
00:24:07,960 --> 00:24:12,840
το έχετε σε bridge mode. Επίσης είναι καλύτερο να έχετε την τελευταία έκδοση

297
00:24:12,840 --> 00:24:15,960
του VirtualBox για καλό και για κακό επειδή υπάρχουν

298
00:24:15,960 --> 00:24:20,920
ευπάθειες στις παλαιότερες εκδόσεις και η απομόνωση μπορεί να σπάσει.

299
00:24:20,920 --> 00:24:26,280
Αυτό μπορεί να επιτευχθεί ρυθμίζοντας το VM με το host only adapter

300
00:24:26,280 --> 00:24:30,440
ή internal network configuration στα network interfaces

301
00:24:30,440 --> 00:24:34,680
που αποσυνδέει το VM από το εξωτερικό internet ενώ εξακολουθεί να επιτρέπει

302
00:24:34,680 --> 00:24:37,960
την αλληλεπίδραση μεταξύ του εικονικού μηχανήματος και του host.

303
00:24:37,960 --> 00:24:42,360
Αυτή η ρύθμιση εμποδίζει το malware να επικοινωνεί με εξωτερικούς servers

304
00:24:42,360 --> 00:24:47,160
ή το τοπικό μηχάνημα ή να εξάγει ευαίσθητα δεδομένα, ενώ εξακολουθεί να επιτρέπει

305
00:24:47,160 --> 00:24:51,320
στο malware να εκτελεστεί και να πραγματοποιήσει τις προοριζόμενες ενέργειές του μέσα

306
00:24:51,320 --> 00:24:55,960
στο απομονωμένο περιβάλλον. Αυτό διασφαλίζει ότι οι αναλυτές μπορούν να παρατηρήσουν

307
00:24:55,960 --> 00:25:00,600
την πλήρη έκταση της συμπεριφοράς του malware συμπεριλαμβανομένων των αιτημάτων

308
00:25:00,600 --> 00:25:04,520
δικτύου. Μπορεί να χρησιμοποιήσουν επίσης Wireshark για να

309
00:25:04,520 --> 00:25:09,640
ερευνήσουν αιτήματα δικτύου που κάνει το malware σε άλλα συστήματα. 

310
00:25:09,640 --> 00:25:15,000
Τροποποιήσεις αρχείων συστήματος και άλλες πιθανές επιβλαβείς ενέργειες

311
00:25:15,000 --> 00:25:19,800
όλα αυτά ενώ διατηρούν το πραγματικό σύστημα ασφαλές από παραβίαση.

312
00:25:19,800 --> 00:25:23,800
Εκτός από τη ρύθμιση του απομονωμένου περιβάλλοντος VM είναι κρίσιμο να

313
00:25:23,800 --> 00:25:27,160
χρησιμοποιηθούν εργαλεία παρακολούθησης για την καταγραφή της δραστηριότητας του malware

314
00:25:27,160 --> 00:25:32,280
όπως είπαμε το Wireshark. Εργαλεία όπως το Wireshark μπορούν να χρησιμοποιηθούν για τη σύλληψη της

315
00:25:32,280 --> 00:25:36,760
κίνησης δικτύου ενώ το Process Explorer ή το Procmon

316
00:25:36,760 --> 00:25:41,800
από τα Sysinternals μπορούν να παρέχουν ορατότητα στις διεργασίες και τη δραστηριότητα του συστήματος

317
00:25:41,800 --> 00:25:46,280
αρχείων που ξεκίνησε το malware. Αυτά τα εργαλεία επιτρέπουν

318
00:25:46,280 --> 00:25:49,800
στους αναλυτές να εντοπίσουν Indicators of Compromise

319
00:25:49,800 --> 00:25:53,560
ή όπως τα αποκαλούμε IOCs τα οποία είναι πολύ σημαντικά

320
00:25:53,560 --> 00:25:58,280
για το threat intelligence όπως απροσδόκητες συνδέσεις δικτύου

321
00:25:58,280 --> 00:26:02,920
ή ύποπτες τροποποιήσεις αρχείων, δίνοντάς τους μια βαθύτερη κατανόηση των

322
00:26:02,920 --> 00:26:06,840
δυνατοτήτων και των στόχων του malware. Συνδυάζοντας

323
00:26:06,840 --> 00:26:11,400
τη Dynamic analysis με μια ασφαλή απομονωμένη εγκατάσταση

324
00:26:11,400 --> 00:26:15,000
οι επαγγελματίες κυβερνοασφάλειας μπορούν να αναγνωρίσουν το πλήρες εύρος της

325
00:26:15,000 --> 00:26:19,160
συμπεριφοράς του malware και να αναπτύξουν κατάλληλα

326
00:26:11,400 --> 00:26:15,000
οι επαγγελματίες cybersecurity μπορούν να αναγνωρίσουν όλο το εύρος της

327
00:26:15,000 --> 00:26:19,160
συμπεριφοράς του malware και να αναπτύξουν κατάλληλα counter measures ή

328
00:26:19,160 --> 00:26:25,880
να αναλύσουν και να βρουν κάποιο kill chain του malware

329
00:26:25,880 --> 00:26:32,280
ή kill switch για να απενεργοποιήσουν το malware αν είναι δυνατόν.

330
00:26:32,280 --> 00:26:37,400
Έτσι, στη dynamic analysis, μόλις το δείγμα malware εκτελεστεί μέσα σε ένα

331
00:26:37,400 --> 00:26:41,560
virtual machine, είναι κρίσιμο να παρακολουθούμε τις αλλαγές συστήματος για να κατανοήσουμε

332
00:26:41,560 --> 00:26:45,560
τον αντίκτυπο του malware στο περιβάλλον.

333
00:26:45,560 --> 00:26:49,400
Αυτές οι αλλαγές μπορεί να περιλαμβάνουν τροποποιήσεις στο file system

334
00:26:49,400 --> 00:26:55,080
όπως δημιουργία ή διαγραφή αρχείων, registry edits όπως προσθήκη ή

335
00:26:55,080 --> 00:27:00,920
αλλαγή κλειδιών και τιμών, και ευρύτερες αλλαγές στο system configuration που

336
00:27:00,920 --> 00:27:04,920
μπορεί να υποδεικνύουν persistence ή privilege escalation.

337
00:27:04,920 --> 00:27:08,840
Για να καταγράψουμε αυτή τη δραστηριότητα σε πραγματικό χρόνο μπορούμε να χρησιμοποιήσουμε το Procmon

338
00:27:08,840 --> 00:27:13,000
συντομογραφία για το Process Monitor. Αυτό το

339
00:27:13,000 --> 00:27:20,200
ισχυρό εργαλείο από τα Sysinternals μας επιτρέπει να παρακολουθούμε system events χαμηλού επιπέδου

340
00:27:20,200 --> 00:27:23,880
συμπεριλαμβανομένης της πρόσβασης σε αρχεία, registry modifications

341
00:27:23,880 --> 00:27:27,960
και process operations, όλα εκ των οποίων είναι απαραίτητα για την ανάλυση της

342
00:27:27,960 --> 00:27:31,560
συμπεριφοράς του malware. Για να τρέξουμε το Procmon και να καταγράψουμε αυτά τα events

343
00:27:31,560 --> 00:27:35,800
σε ένα αρχείο μπορούμε να χρησιμοποιήσουμε την εντολή Procmon

344
00:27:35,800 --> 00:27:41,080
-BackingFile και μετά το log file. Καθώς τρέχει το malware, το Procmon καταγράφει μια

345
00:27:41,080 --> 00:27:45,080
ζωντανή ροή δραστηριοτήτων συστήματος, για παράδειγμα κάτω από το file system

346
00:27:45,080 --> 00:27:50,520
activity μπορεί να δούμε ενδείξεις όπως CreateFile

347
00:27:50,520 --> 00:27:54,360
και ένα path name, WriteFile και ένα path name.

348
00:27:54,360 --> 00:28:01,400
Αυτό σημαίνει ότι αυτό το binary δημιουργεί ένα αρχείο ή γράφει ένα

349
00:28:01,400 --> 00:28:05,640
αρχείο και ούτω καθεξής. Για αλλαγές στο registry μπορεί

350
00:28:05,640 --> 00:28:08,680
να παρατηρήσετε ένα RegSetValue και μετά το

351
00:28:08,680 --> 00:28:14,040
path name της τιμής του registry. Αυτοί οι τύποι εγγραφών δείχνουν ότι το malware

352
00:28:14,040 --> 00:28:17,800
δεν γράφει μόνο νέα αρχεία αλλά προσπαθεί επίσης να εγκαθιδρύσει

353
00:28:17,800 --> 00:28:22,440
persistence τροποποιώντας startup registry keys.

354
00:28:22,440 --> 00:28:28,120
Μπορείτε να δείτε ότι αλλάζει την τιμή registry στο Microsoft Windows

355
00:28:28,120 --> 00:28:33,400
CurrentVersion slash Run, όπου όταν βάζετε slash Run είναι σαν

356
00:28:33,400 --> 00:28:37,160
να τρέχει αυτόματα κατά την εκκίνηση όταν ξεκινούν τα windows.

357
00:28:37,240 --> 00:28:42,440
Ο εντοπισμός τέτοιας συμπεριφοράς βοηθά τους αναλυτές να κατανοήσουν τον πλήρη κύκλο ζωής του

358
00:28:42,440 --> 00:28:48,280
malware συμπεριλαμβανομένου του πώς ενσωματώνεται μέσα στο σύστημα.

359
00:28:48,280 --> 00:28:52,680
Στη dynamic analysis, παρατηρώντας τη συμπεριφορά δικτύου του malware

360
00:28:52,680 --> 00:28:55,800
οι αναλυτές μπορούν να ανιχνεύσουν κακόβουλες επικοινωνίες,

361
00:28:55,800 --> 00:28:59,960
να αποκαλύψουν τους στόχους του malware και να συλλέξουν αποδείξεις για να βοηθήσουν να σταματήσουν

362
00:28:59,960 --> 00:29:04,040
περαιτέρω επιθέσεις. Το Wireshark είναι ένα από τα πιο ευρέως χρησιμοποιούμενα

363
00:29:04,040 --> 00:29:08,680
εργαλεία για αυτή την εργασία. Επιτρέπει στους αναλυτές ασφαλείας να κάνουν capture και

364
00:29:08,680 --> 00:29:13,160
να επιθεωρούν network traffic σε πραγματικό χρόνο. Ρυθμίζοντας το Wireshark μέσα σε ένα

365
00:29:13,160 --> 00:29:17,560
virtual machine που είναι απομονωμένο από το host και τα εξωτερικά δίκτυα

366
00:29:17,560 --> 00:29:22,200
οι αναλυτές μπορούν να παρακολουθούν όλες τις αλληλεπιδράσεις δικτύου που ξεκινούν από το malware

367
00:29:22,200 --> 00:29:25,240
χωρίς τον κίνδυνο εξάπλωσης σε άλλα συστήματα.

368
00:29:25,240 --> 00:29:30,600
Μόλις το Wireshark τρέχει, οι αναλυτές αρχίζουν να καταγράφουν το session στο VM,

369
00:29:30,600 --> 00:29:34,840
στο virtual network interface απομονώνοντάς το από το διαδίκτυο.

370
00:29:34,840 --> 00:29:39,400
Το εργαλείο καταγράφει όλα τα packets που στέλνονται και λαμβάνονται από το VM

371
00:29:39,400 --> 00:29:43,160
συμπεριλαμβανομένων τυχόν κακόβουλων αιτημάτων σε εξωτερικούς servers.

372
00:29:43,160 --> 00:29:46,840
Για παράδειγμα, αν το malware προσπαθεί να κατεβάσει πρόσθετα payloads

373
00:29:46,840 --> 00:29:52,120
ή να ανεβάσει κλεμμένα δεδομένα, αυτά τα HTTP requests ή άλλα πρωτόκολλα δικτύου

374
00:29:52,120 --> 00:29:57,240
θα εμφανιστούν στα capture logs του Wireshark. Τα καταγεγραμμένα δεδομένα μπορεί να δείξουν

375
00:29:57,240 --> 00:30:03,720
πράγματα όπως GET malicious payload ή POST methods, post upload data

376
00:30:03,720 --> 00:30:06,600
υποδεικνύοντας ότι το malware φέρνει πρόσθετο κώδικα

377
00:30:06,600 --> 00:30:12,120
ή στέλνει έξω κλεμμένες πληροφορίες. Αναλύοντας το καταγεγραμμένο network traffic

378
00:30:12,120 --> 00:30:16,440
οι αναλυτές μπορούν να εντοπίσουν μοτίβα, το οποίο είναι πολύ σημαντικό, συμπεριλαμβανομένων των

379
00:30:16,440 --> 00:30:19,800
domains, των IP addresses με τα οποία το malware

380
00:30:19,800 --> 00:30:24,600
συνδέεται και τα communication protocols που χρησιμοποιήθηκαν από το malware.

381
00:30:24,600 --> 00:30:28,520
Αυτοί οι δείκτες μπορούν να χρησιμοποιηθούν για να μπλοκάρουν μελλοντικές συνδέσεις στον command and

382
00:30:28,520 --> 00:30:31,800
control server χρησιμοποιώντας ένα firewall για παράδειγμα,

383
00:30:31,800 --> 00:30:36,440
να αποτρέψουν περαιτέρω data exfiltration και να βοηθήσουν στον εντοπισμό

384
00:30:36,440 --> 00:30:41,160
άλλων παραβιασμένων συστημάτων. Αυτή η παρακολούθηση δικτύου είναι απαραίτητη και πολύ

385
00:30:41,160 --> 00:30:44,840
σημαντική για την απόκτηση μιας ολοκληρωμένης κατανόησης

386
00:30:44,840 --> 00:30:49,160
της συμπεριφοράς δικτύου του malware κατά την εκτέλεση

387
00:30:49,160 --> 00:30:52,920
και για τη βοήθεια στην πρόληψη μελλοντικών μολύνσεων.

388
00:30:52,920 --> 00:30:57,400
Έτσι όπως μπορούμε να δούμε η dynamic malware analysis είναι μια κρίσιμη

389
00:30:57,400 --> 00:31:01,800
διαδικασία που επιτρέπει στους αναλυτές να παρατηρήσουν τη συμπεριφορά ενός ύποπτου αρχείου σε

390
00:31:01,800 --> 00:31:05,720
πραγματικό χρόνο. Το Cuckoo Sandbox παρέχει ένα ελεγχόμενο και

391
00:31:05,720 --> 00:31:09,480
απομονωμένο περιβάλλον σαν έναν αυτοματοποιημένο τρόπο για να κάνετε τη dynamic

392
00:31:09,480 --> 00:31:13,080
analysis για να εκτελέσετε με ασφάλεια δείγματα

393
00:31:13,080 --> 00:31:17,080
malware διασφαλίζοντας ότι μπορούν να μελετηθούν χωρίς να προκληθεί βλάβη στο

394
00:31:17,080 --> 00:31:19,640
σύστημα. Για να ξεκινήσετε πρέπει πρώτα να

395
00:31:19,640 --> 00:31:24,840
στήσετε ένα Cuckoo Sandbox, αυτό περιλαμβάνει την εγκατάσταση του Cuckoo στο

396
00:31:24,840 --> 00:31:30,280
μηχάνημά σας ή σε άλλο μηχάνημα ή VM και τη ρύθμισή του μέσα σε ένα

397
00:31:30,280 --> 00:31:33,720
εικονικό περιβάλλον όπως VirtualBox ή VMware.

398
00:31:33,720 --> 00:31:37,960
Το malware θα εκτελεστεί μέσα στο VM το οποίο είναι ένα απομονωμένο σύστημα που

399
00:31:37,960 --> 00:31:44,120
μιμείται το λειτουργικό σύστημα στόχο. Αυτό το VM συνδέεται με το Cuckoo επιτρέποντας

400
00:31:44,120 --> 00:31:48,680
στο εργαλείο να παρακολουθεί τη συμπεριφορά και τις ενέργειες του malware κατά την εκτέλεση.

401
00:31:48,680 --> 00:31:53,080
Στη συνέχεια το δείγμα malware ανεβαίνει στο interface του Cuckoo.

402
00:31:53,080 --> 00:31:56,600
Το Cuckoo στη συνέχεια παίρνει ένα snapshot του περιβάλλοντος του VM

403
00:31:56,600 --> 00:32:01,080
παρέχοντας ένα καθαρό σημείο εκκίνησης για την ανάλυση.

404
00:32:01,080 --> 00:32:05,480
Μόλις το malware αρχίσει την εκτέλεση το Cuckoo Sandbox παρακολουθεί συνεχώς μια

405
00:32:05,480 --> 00:32:08,840
ποικιλία βασικών ενεργειών για να καταγράψει τη συμπεριφορά του malware

406
00:32:08,840 --> 00:32:13,800
ακριβώς όπως κάνετε χειροκίνητα χρησιμοποιώντας το Wireshark. Ο πρώτος τομέας παρακολούθησης

407
00:32:13,800 --> 00:32:19,160
είναι οι αλλαγές στο file system. Το Cuckoo καταγράφει τυχόν νέα αρχεία, τροποποιήσεις ή

408
00:32:19,160 --> 00:32:23,800
διαγραφές που επιχειρεί το malware. Αυτό μπορεί να υποδείξει αν το malware προσπαθεί

409
00:32:23,800 --> 00:32:28,520
να εγκαταστήσει πρόσθετα στοιχεία ή να διαγράψει σημαντικά αρχεία συστήματος.

410
00:32:28,520 --> 00:32:33,160
Για malware βασισμένο σε Windows το Cuckoo παρακολουθεί επίσης τις αλλαγές στο registry.

411
00:32:33,160 --> 00:32:39,000
Ψάχνει για τυχόν νέες εγγραφές registry ή τροποποιήσεις που έγιναν από το malware.

412
00:32:39,000 --> 00:32:42,360
Αυτές οι αλλαγές γίνονται συχνά για να διασφαλιστεί ότι το malware

413
00:32:42,360 --> 00:32:46,920
έχει persistence ή φορτώνεται μετά από επανεκκινήσεις ή είναι ικανό για παράδειγμα να ξεκινά

414
00:32:46,920 --> 00:32:51,240
αυτόματα όταν ξεκινά το σύστημα. Μπορεί επίσης να είναι για να

415
00:32:51,240 --> 00:32:55,400
απενεργοποιήσει το firewall ή να απενεργοποιήσει το defender αλλάζοντας την τιμή registry

416
00:32:55,400 --> 00:32:59,080
για παράδειγμα. Μια άλλη βασική πτυχή της παρακολούθησης είναι

417
00:32:59,080 --> 00:33:03,320
το process activity. Το Cuckoo Sandbox παρακολουθεί τις

418
00:33:03,320 --> 00:33:08,920
διεργασίες που τρέχουν όπως το Procmon στο VM ελέγχοντας για τυχόν νέες διεργασίες

419
00:33:09,000 --> 00:33:13,160
που ξεκινούν από το malware. Αυτό θα μπορούσε να είναι μια ένδειξη ότι το malware

420
00:33:13,160 --> 00:33:19,560
προσπαθεί να τρέξει πρόσθετο κακόβουλο κώδικα ή να εκτελέσει επιβλαβείς ενέργειες.

421
00:33:19,560 --> 00:33:23,000
Ίσως η πιο κρίσιμη πτυχή της dynamic analysis

422
00:33:23,000 --> 00:33:27,240
είναι το network activity που αναφέραμε πριν. Το Cuckoo παρακολουθεί τυχόν

423
00:33:27,240 --> 00:33:30,600
εξερχόμενες συνδέσεις που το malware προσπαθεί να

424
00:33:30,600 --> 00:33:34,200
εγκαταστήσει, ειδικά σε command and control servers.

425
00:33:34,200 --> 00:33:37,640
Αυτό μπορεί να αποκαλύψει αν το malware προσπαθεί να επικοινωνήσει

426
00:33:37,640 --> 00:33:41,800
με απομακρυσμένους servers, να κάνει exfiltrate δεδομένα ή να κατεβάσει

427
00:33:41,800 --> 00:33:46,680
πρόσθετα κακόβουλα payloads. Μόλις το malware τελειώσει την εκτέλεση

428
00:33:46,680 --> 00:33:51,480
το Cuckoo δημιουργεί μια λεπτομερή αναφορά. Αυτή η αναφορά περιλαμβάνει όλες τις καταγεγραμμένες

429
00:33:51,480 --> 00:33:55,640
δραστηριότητες παρέχοντας στους αναλυτές πολύτιμες γνώσεις για τη συμπεριφορά του

430
00:33:55,640 --> 00:33:59,400
malware και βοηθώντας τους να αναπτύξουν άμυνες ή

431
00:33:59,400 --> 00:34:05,080
να κατανοήσουν το malware καλύτερα ώστε να αποτρέψουν μελλοντικές επιθέσεις.

432
00:34:05,080 --> 00:34:08,600
Κατά την εκτέλεση δείγματος malware στο Cuckoo Sandbox μία από τις πιο

433
00:34:08,600 --> 00:34:12,520
διαφωτιστικές πτυχές της ανάλυσης είναι η ικανότητα παρατήρησης

434
00:34:12,520 --> 00:34:16,680
αλλαγών στο file system και δραστηριότητας δικτύου σε ένα ελεγχόμενο απομονωμένο

435
00:34:16,680 --> 00:34:20,360
περιβάλλον. Το Cuckoo ενεργεί ως ένα αυτοματοποιημένο

436
00:34:20,360 --> 00:34:24,040
sandbox που παρακολουθεί τη συμπεριφορά του malware σε

437
00:34:24,040 --> 00:34:27,800
πραγματικό χρόνο επιτρέποντας στους αναλυτές να κατανοήσουν το πλήρες εύρος του χωρίς

438
00:34:27,800 --> 00:34:31,960
να διακινδυνεύσουν το σύστημα. Το βασικό στοιχείο αυτής της

439
00:34:31,960 --> 00:34:37,080
behavioral analysis είναι ο εντοπισμός του πώς το malware αλληλεπιδρά με το

440
00:34:37,080 --> 00:34:41,160
file system. Το Cuckoo παρέχει λεπτομερή logs για νεοδημιουργηθέντα,

441
00:34:41,160 --> 00:34:46,680
τροποποιημένα ή διαγραμμένα αρχεία. Για παράδειγμα, όταν εκτελείται το malware

442
00:34:46,680 --> 00:34:49,640
μπορεί να δημιουργήσει νέα αρχεία όπως configuration files,

443
00:34:49,640 --> 00:34:53,880
dropped payloads ή προσωρινά log files.

444
00:34:53,880 --> 00:34:58,120
Αυτά τα νέα αρχεία μπορεί να εξυπηρετούν διαφορετικούς σκοπούς, μερικά μπορεί να είναι απαραίτητα για

445
00:34:58,120 --> 00:35:01,160
τη διατήρηση persistence ενώ άλλα μπορεί να περιέχουν κλεμμένα

446
00:35:01,160 --> 00:35:05,800
δεδομένα ή οδηγίες εντολών. Εκτός από τη δημιουργία αρχείων, το malware

447
00:35:05,800 --> 00:35:11,160
συχνά τροποποιεί υπάρχοντα αρχεία συστήματος. Αυτό μπορεί να περιλαμβάνει αντικατάσταση ή αλλοίωση

448
00:35:11,160 --> 00:35:15,720
νόμιμων εκτελέσιμων με κακόβουλες εκδόσεις, μια κοινή τακτική

449
00:35:15,720 --> 00:35:20,600
που χρησιμοποιείται για hijack της λειτουργικότητας του συστήματος. Για παράδειγμα, το Cuckoo μπορεί να αναφέρει ότι το

450
00:35:20,600 --> 00:35:25,800
κύριο εκτελέσιμο συστήματος όπως το cmd.exe

451
00:35:25,800 --> 00:35:29,960
έχει αλλοιωθεί, μια ένδειξη ότι το malware προσπαθεί να υπονομεύσει

452
00:35:29,960 --> 00:35:34,760
ή να αποκτήσει τον έλεγχο ενσωματωμένων βοηθητικών προγραμμάτων των Windows όπως το command line.

453
00:35:34,760 --> 00:35:38,520
Τροποποιήσεις σαν αυτές είναι ισχυροί Indicators of Compromise

454
00:35:38,520 --> 00:35:41,800
και μπορεί να υποδηλώνουν προσπάθεια για κλιμάκωση προνομίων ή αποφυγή

455
00:35:41,800 --> 00:35:46,200
ανίχνευσης. Η τρίτη κοινή συμπεριφορά είναι η διαγραφή αρχείων.

456
00:35:46,200 --> 00:35:51,320
Το malware μπορεί να διαγράψει συγκεκριμένα αρχεία συστήματος ή log files για να κρύψει αυτή τη δραστηριότητα,

457
00:35:51,320 --> 00:35:54,680
να αφαιρέσει αποδεικτικά στοιχεία ή να απενεργοποιήσει λογισμικό ασφαλείας.

458
00:35:54,680 --> 00:35:58,520
Αυτή η τακτική βοηθά στο να διασφαλίσει τη δραστηριότητά του,

459
00:35:58,600 --> 00:36:03,000
να αφαιρέσει αποδεικτικά στοιχεία ή να απενεργοποιήσει το λογισμικό.

460
00:36:03,000 --> 00:36:07,640
Αυτές οι κακόβουλες ενέργειες παραμένουν μη ανιχνεύσιμες για όσο το δυνατόν περισσότερο.

461
00:36:07,640 --> 00:36:12,840
Η παρακολούθηση τέτοιων διαγραφών μέσω του συστήματος αναφοράς του sandbox

462
00:36:12,840 --> 00:36:17,160
μπορεί να είναι ζωτικής σημασίας για forensic reconstruction και αν αυτά

463
00:36:17,160 --> 00:36:22,680
τα logs και τα αρχεία διαγραφούν, το χρονοδιάγραμμα της μόλυνσης μπορεί να χαθεί.

464
00:36:22,680 --> 00:36:26,520
Εδώ είναι ένα απλοποιημένο παράδειγμα από μια αναφορά Cuckoo.

465
00:36:26,520 --> 00:36:31,880
Δημιουργεί αρχεία, άρα το malware δημιουργεί ένα κακόβουλο file.exe

466
00:36:31,880 --> 00:36:35,320
και όταν malicious payload.dll, φυσικά αυτά

467
00:36:35,320 --> 00:36:39,560
είναι απλά παραδείγματα. Τα κανονικά αρχεία θα έχουν ένα γενικό όνομα όπως

468
00:36:39,560 --> 00:36:45,480
chrome.exe ή firefox.exe ή οτιδήποτε αλλά είναι φυσιολογικό.

469
00:36:45,480 --> 00:36:49,320
Τροποποιεί το αρχείο cmd που είναι ύποπτο ότι έχει γίνει

470
00:36:49,320 --> 00:36:54,040
hijacked. Αναλύοντας τις αλλαγές οι αναλυτές ασφαλείας μπορούν να χαρτογραφήσουν τη

471
00:36:54,040 --> 00:36:57,800
συμπεριφορά του malware. Τα Indicators of Compromise

472
00:36:57,800 --> 00:37:02,360
σε αυτή την περίπτωση είναι η συμπεριφορά που είδαμε πριν.

473
00:37:02,360 --> 00:37:07,320
Σε συνδυασμό με την ανάλυση file system το sandbox παρακολουθεί τις επικοινωνίες

474
00:37:07,320 --> 00:37:10,600
δικτύου και παρέχει όλες τις λεπτομέρειες στους

475
00:37:10,600 --> 00:37:15,240
αναλυτές. Η παρακολούθηση των network requests παρέχει περαιτέρω αποδείξεις για

476
00:37:15,240 --> 00:37:18,440
τις επιδιωκόμενες δυνατότητες του malware και είναι σημαντικό

477
00:37:18,440 --> 00:37:23,960
να συνδυάσουμε όλα τα δεδομένα μαζί και να εξάγουμε τα Indicators of Compromise.

478
00:37:24,920 --> 00:37:30,200
Λοιπόν, το YARA είναι ένα ισχυρό εργαλείο που χρησιμοποιείται για την αναγνώριση και ανίχνευση malware

479
00:37:30,200 --> 00:37:34,120
δημιουργώντας custom rules που εστιάζουν σε συγκεκριμένα μοτίβα.

480
00:37:34,120 --> 00:37:37,960
Αυτά τα μοτίβα μπορεί να περιλαμβάνουν file signatures, byte sequences ή

481
00:37:37,960 --> 00:37:40,680
regular expressions που καθιστούν το YARA ένα

482
00:37:40,680 --> 00:37:43,960
απαραίτητο εργαλείο στην ανάλυση ύποπτων αρχείων

483
00:37:43,960 --> 00:37:48,360
και τη διεξαγωγή διεξοδικού threat hunting. Είναι ιδιαίτερα πολύτιμο για

484
00:37:48,360 --> 00:37:51,800
ερευνητές και responders που ασχολούνται με έρευνες malware σε πραγματικό

485
00:37:51,800 --> 00:37:55,960
χρόνο καθώς επιτρέπει την ακριβή και αποτελεσματική

486
00:37:55,960 --> 00:38:01,880
ταυτοποίηση κακόβουλων αρχείων. Μία από τις βασικές στρατηγικές του YARA βρίσκεται στο

487
00:38:01,880 --> 00:38:06,200
signature-based detection όπου οι κανόνες δημιουργούνται με βάση

488
00:38:06,200 --> 00:38:10,600
γνωστές υπογραφές malware, δηλαδή byte sequences

489
00:38:10,600 --> 00:38:14,840
ή strings που δείχνουν την παρουσία κακόβουλου περιεχομένου.

490
00:38:14,840 --> 00:38:19,000
Αυτά τα μοτίβα μπορεί να είναι απλά όπως μια συγκεκριμένη ακολουθία από bytes

491
00:38:19,000 --> 00:38:24,440
που βρίσκεται σε ένα κομμάτι malware ή πιο περίπλοκος συνδυασμός μοτίβων.

492
00:38:24,440 --> 00:38:29,960
Χρησιμοποιώντας αυτούς τους κανόνες οι αναλυτές μπορούν γρήγορα να εντοπίσουν malware που ταιριάζει με

493
00:38:29,960 --> 00:38:35,000
συγκεκριμένες γνωστές υπογραφές, βοηθώντας στην ταχεία ανίχνευση.

494
00:38:35,000 --> 00:38:38,680
Εκτός από τις δυνατότητες signature-based detection, το YARA προσφέρει

495
00:38:38,680 --> 00:38:43,960
αξιοσημείωτη ευελιξία. Οι χρήστες μπορούν να προσαρμόσουν τους κανόνες τους

496
00:38:43,960 --> 00:38:49,160
αξιοποιώντας logical operators, regular expressions και συγκεκριμένες

497
00:38:49,160 --> 00:38:53,080
συνθήκες. Αυτό επιτρέπει στους αναλυτές να δημιουργούν κανόνες

498
00:38:53,080 --> 00:38:56,920
που μπορούν να ανιχνεύσουν ακόμη και τις πιο περίπλοκες και εξελισσόμενες απειλές

499
00:38:56,920 --> 00:39:02,520
όπως polymorphic malware που αλλάζει τον κώδικά του για να αποφύγει την ανίχνευση.

500
00:39:02,520 --> 00:39:05,800
Η ευελιξία του YARA διασφαλίζει ότι μπορεί να προσαρμοστεί

501
00:39:05,800 --> 00:39:12,280
σε νέες και αναδυόμενες απειλές καθιστώντας το ένα εργαλείο επιλογής για επαγγελματίες ασφαλείας.

502
00:39:12,280 --> 00:39:18,040
Ένα άλλο σημαντικό πλεονέκτημα του YARA είναι η υποστήριξη cross-platform.

503
00:39:18,040 --> 00:39:22,520
Το εργαλείο μπορεί να χρησιμοποιηθεί σε Linux, Windows ή Mac OS

504
00:39:22,520 --> 00:39:27,480
καθιστώντας το ευέλικτο για ομάδες ασφαλείας που εργάζονται σε διαφορετικά λειτουργικά

505
00:39:27,480 --> 00:39:31,880
συστήματα. Είτε αναλύετε εκτελέσιμα βασισμένα σε Windows,

506
00:39:31,880 --> 00:39:36,760
αρχεία PDF, έγγραφα, δείγματα Linux malware ή

507
00:39:36,760 --> 00:39:40,280
ερευνάτε traffic δικτύου σε ένα σύστημα Mac OS

508
00:39:40,280 --> 00:39:44,520
το YARA παρέχει μια συνεπή και αποτελεσματική λύση για την ανίχνευση απειλών

509
00:39:44,520 --> 00:39:50,120
ανεξάρτητα από το περιβάλλον και τον τύπο αρχείου. Το YARA είναι επίσης εξαιρετικά αποδοτικό σε

510
00:39:50,120 --> 00:39:54,440
όρους ταυτοποίησης malware. Μπορεί να σαρώσει μια ποικιλία πηγών δεδομένων

511
00:39:54,440 --> 00:39:59,000
συμπεριλαμβανομένου οποιουδήποτε αρχείου, memory dumps, network traffic

512
00:39:59,000 --> 00:40:03,320
για να εντοπίσει κακόβουλα μοτίβα. Αυτή η ευελιξία διασφαλίζει ότι μπορεί να

513
00:40:03,320 --> 00:40:07,000
χρησιμοποιηθεί σε διάφορα στάδια μιας επίθεσης για την ανίχνευση malware

514
00:40:07,000 --> 00:40:12,760
πριν, κατά τη διάρκεια ή μετά την εκτέλεση, παρέχοντας ένα απαραίτητο εργαλείο για την παρακολούθηση

515
00:40:12,760 --> 00:40:16,840
και τον μετριασμό απειλών σε ένα ευρύ φάσμα φορέων επίθεσης.

516
00:40:16,840 --> 00:40:20,360
Ένα τυπικό YARA rule αποτελείται από διάφορα στοιχεία.

517
00:40:20,360 --> 00:40:24,440
Το rule name χρησιμεύει ως μοναδικό αναγνωριστικό για κάθε κανόνα

518
00:40:24,440 --> 00:40:29,960
καθιστώντας εύκολη την αναφορά και την εφαρμογή. Οι meta πληροφορίες παρέχουν

519
00:40:29,960 --> 00:40:33,720
πρόσθετο πλαίσιο όπως μια περιγραφή, συγγραφέα

520
00:40:33,720 --> 00:40:38,280
και την ημερομηνία δημιουργίας που βοηθά στη διαχείριση κανόνων.

521
00:40:38,280 --> 00:40:43,240
Το strings section είναι όπου οι αναλυτές ορίζουν τα συγκεκριμένα μοτίβα που

522
00:40:43,240 --> 00:40:48,040
ο κανόνας θα αναζητήσει σε ένα αρχείο σύμφωνα με το string.

523
00:40:48,040 --> 00:40:51,960
Αυτά τα μοτίβα θα μπορούσαν να είναι byte sequences επίσης

524
00:40:51,960 --> 00:40:56,840
μαζί με text strings ή regular expressions που μπορούν να υποδείξουν

525
00:40:56,840 --> 00:41:01,320
κακόβουλη δραστηριότητα. Τέλος το condition section

526
00:41:01,320 --> 00:41:06,600
ορίζει τη λογική που καθορίζει πότε πρέπει να ενεργοποιηθεί ο κανόνας.

527
00:41:06,600 --> 00:41:11,480
Μπορεί να καθορίζει ότι ορισμένα μοτίβα πρέπει να εμφανίζονται μαζί

528
00:41:11,480 --> 00:41:15,960
ή ότι συγκεκριμένα strings πρέπει να βρεθούν σε ένα αρχείο

529
00:41:15,960 --> 00:41:21,400
για να ταιριάζει ο κανόνας, οπότε έχοντας πολλαπλούς logical controls

530
00:41:21,400 --> 00:41:25,400
και ρυθμίσεις προκειμένου να ταυτοποιηθεί

531
00:41:25,480 --> 00:41:28,200
το malware.

532
00:41:28,440 --> 00:41:32,840
Το YARA είναι ένα εξαιρετικά αποτελεσματικό εργαλείο για automated malware detection ειδικά

533
00:41:32,840 --> 00:41:38,440
όταν ασχολείστε με μεγάλο όγκο αρχείων. Αυτό είναι κρίσιμο κατά τη διάρκεια incident

534
00:41:38,440 --> 00:41:41,480
response όπου ο χρόνος είναι ουσιαστικός και η χειροκίνητη

535
00:41:41,480 --> 00:41:47,160
επιθεώρηση θα ήταν μη πρακτική. Δημιουργώντας custom rules προσαρμοσμένους σε

536
00:41:47,160 --> 00:41:52,200
συγκεκριμένες απειλές, τα YARA rules επιτρέπουν στις ομάδες ασφαλείας

537
00:41:52,280 --> 00:41:55,880
να αυτοματοποιήσουν τη σάρωση συνόλων αρχείων καταλόγων, απλοποιώντας την

538
00:41:55,880 --> 00:42:01,560
ταυτοποίηση κακόβουλων αρχείων. Αυτή η δυνατότητα βοηθά στο γρήγορο

539
00:42:01,560 --> 00:42:05,240
εντοπισμό ύποπτων αρχείων ή artifacts που θα μπορούσαν να υποδείξουν μια μόλυνση

540
00:42:05,240 --> 00:42:09,000
από malware, καθιστώντας τα YARA rules ανεκτίμητο

541
00:42:09,000 --> 00:42:13,640
εργαλείο σε συστήματα ανίχνευσης απειλών σε πραγματικό χρόνο. Εκτός από τη σάρωση βάσει

542
00:42:13,640 --> 00:42:18,600
αρχείων, το YARA είναι επίσης βασικό εργαλείο στα memory forensics.

543
00:42:18,600 --> 00:42:22,760
Το malware συχνά διαμένει στη μνήμη αντί για το file system

544
00:42:22,760 --> 00:42:27,000
καθιστώντας δυσκολότερο τον εντοπισμό χρησιμοποιώντας παραδοσιακές μεθόδους.

545
00:42:27,000 --> 00:42:31,320
Το YARA μπορεί να σαρώσει memory dumps για να εντοπίσει κακόβουλο κώδικα,

546
00:42:31,320 --> 00:42:36,920
που τρέχει σε volatile memory, επιτρέποντας στους αναλυτές να ανιχνεύσουν απειλές που μπορεί

547
00:42:36,920 --> 00:42:41,720
να μην εμφανίζονται στον σκληρό δίσκο. Τα memory forensics είναι ιδιαίτερα

548
00:42:41,720 --> 00:42:46,360
σημαντικά σε περιπτώσεις προηγμένου malware που χρησιμοποιεί τεχνικές όπως

549
00:42:46,360 --> 00:42:50,680
file-less attacks όπου κανένα αρχείο δεν αφήνεται στον δίσκο.

550
00:42:50,680 --> 00:42:55,720
Αξιοποιώντας τα YARA rules, οι αναλυτές μπορούν να αποκαλύψουν κρυφές απειλές στη μνήμη του συστήματος

551
00:42:55,720 --> 00:43:00,760
παρέχοντας ένα πρόσθετο επίπεδο ανίχνευσης και μετριασμού.

552
00:43:00,760 --> 00:43:05,640
Μια άλλη ισχυρή χρήση του YARA είναι η εκτέλεση file integrity checks.

553
00:43:05,640 --> 00:43:09,080
Αυτό είναι ιδιαίτερα χρήσιμο σε περιβάλλοντα όπου τα αρχεία μπορεί να

554
00:43:09,080 --> 00:43:13,400
αλλοιωθούν ή να αντικατασταθούν από malware για να κρύψει την παρουσία του ή να διατηρήσει

555
00:43:13,400 --> 00:43:19,160
persistence στο σύστημα. Το YARA μπορεί να χρησιμοποιηθεί για τη σύγκριση αρχείων έναντι

556
00:43:19,160 --> 00:43:24,040
γνωστών κακόβουλων μοτίβων διασφαλίζοντας ότι τα αρχεία δεν έχουν τροποποιηθεί

557
00:43:24,040 --> 00:43:31,720
με τρόπους ενάντια στη μόλυνση. Αυτό θα

558
00:43:31,720 --> 00:43:37,480
παρείχε τις τιμές μόλυνσης. Αυτό μπορεί να βοηθήσει στην ανίχνευση μη εξουσιοδοτημένων αλλαγών σε

559
00:43:37,480 --> 00:43:41,080
αρχεία συστήματος, configuration files ή εκτελέσιμα

560
00:43:41,080 --> 00:43:45,160
για τον εντοπισμό παραβιασμένων συστημάτων. Τρέχοντας συνεχώς

561
00:43:45,160 --> 00:43:49,800
YARA rules στο παρασκήνιο, οι ομάδες ασφαλείας μπορούν να διατηρήσουν μια προληπτική

562
00:43:49,800 --> 00:43:54,200
άμυνα έναντι malware που προσπαθεί κρυφά

563
00:43:54,200 --> 00:44:01,240
να αλλοιώσει ή να αντικαταστήσει νόμιμα αρχεία. Σε αυτό το YARA rule, το meta section παρέχει

564
00:44:01,240 --> 00:44:06,120
βασικά metadata για τον κανόνα. Αυτό περιλαμβάνει μια περιγραφή που εξηγεί

565
00:44:06,120 --> 00:44:09,800
τον σκοπό του κανόνα, για παράδειγμα ανιχνεύει malware

566
00:44:09,880 --> 00:44:15,080
με βάση γνωστό μοτίβο, βοηθώντας όποιον εξετάζει τον κανόνα να κατανοήσει γρήγορα

567
00:44:15,080 --> 00:44:19,640
τη λειτουργία του. Το πεδίο author μας λέει ποιος δημιούργησε

568
00:44:19,640 --> 00:44:24,600
τον κανόνα. Σε αυτή την περίπτωση, security analyst είναι ένα συγκεκριμένο

569
00:44:24,600 --> 00:44:29,160
όνομα, για παράδειγμα, και η ημερομηνία υποδεικνύει πού δημιουργήθηκε ο κανόνας,

570
00:44:29,160 --> 00:44:33,880
την ημερομηνία δημιουργίας του κανόνα. Αυτές οι meta πληροφορίες είναι ζωτικής σημασίας

571
00:44:33,880 --> 00:44:38,120
για τη διατήρηση οργανωμένων και καλά τεκμηριωμένων κανόνων σε οποιοδήποτε σύστημα

572
00:44:38,120 --> 00:44:42,760
malware detection. Προχωρώντας στο strings section, εδώ είναι που τα πραγματικά

573
00:44:42,760 --> 00:44:46,280
μοτίβα που θα αναζητηθούν στα αρχεία

574
00:44:46,280 --> 00:44:49,560
ορίζονται. Υπάρχουν δύο μοτίβα σε αυτόν τον κανόνα,

575
00:44:49,560 --> 00:44:56,120
malicious string, μια μεταβλητή που έχει ως τιμή το κείμενο string malware.

576
00:44:56,120 --> 00:44:59,320
Στο nocase, αυτό το μοτίβο ψάχνει για το string malware

577
00:44:59,320 --> 00:45:04,040
σε οποιαδήποτε περίπτωση, είτε είναι κεφαλαία είτε πεζά λόγω του nocase

578
00:45:04,040 --> 00:45:09,800
modifier. Έτσι το nocase παρέχει αυτή την τροποποίηση. Αυτό διασφαλίζει ότι ακόμη και αν

579
00:45:09,800 --> 00:45:13,800
ο συγγραφέας του malware αλλάξει την περίπτωση της λέξης malware,

580
00:45:13,800 --> 00:45:18,840
ο κανόνας θα το ανιχνεύσει ακόμα επειδή είναι κεφαλαία ή πεζά.

581
00:45:18,840 --> 00:45:26,440
Suspicious bytes, αυτό περιλαμβάνει μια γραμμή string από bytes.

582
00:45:26,440 --> 00:45:31,160
Εδώ ορίζουμε ένα byte sequence που αντιπροσωπεύει μια γνωστή υπογραφή

583
00:45:31,160 --> 00:45:35,960
ή χαρακτηριστικό μέρος του κώδικα του malware. Η ακολουθία

584
00:45:35,960 --> 00:45:43,240
E8000000 θα μπορούσε να αντιπροσωπεύει μια εντολή μέρους του κώδικα του malware.

585
00:45:43,240 --> 00:45:50,600
Η ακολουθία E800 θα μπορούσε να αντιπροσωπεύει μια εντολή του malware,

586
00:45:50,600 --> 00:45:55,240
το οποίο είναι κάτι που μπορεί να ταυτοποιηθεί ως τυπικό αυτού

587
00:45:55,240 --> 00:46:00,920
του τύπου malware. Φυσικά, αυτό μπορεί επίσης να ταυτοποιήσει άλλο λογισμικό που σχετίζεται

588
00:46:00,920 --> 00:46:06,600
και έχει τον συγκεκριμένο κώδικα επίσης. Τέλος, στο condition section,

589
00:46:06,600 --> 00:46:11,160
ο κανόνας καθορίζει τη λογική για το πότε το μοτίβο πρέπει να ενεργοποιήσει μια αντιστοιχία.

590
00:46:11,160 --> 00:46:14,360
Σε αυτή την περίπτωση, ο κανόνας θα ενεργοποιηθεί εάν οποιοδήποτε

591
00:46:14,360 --> 00:46:19,720
από τα ορισμένα μοτίβα βρεθεί. Θα ψάξει για το malicious string

592
00:46:19,720 --> 00:46:23,480
OR με τη συνθήκη OR το suspicious byte

593
00:46:23,480 --> 00:46:27,480
στο σαρωμένο αρχείο. Φυσικά, αυτή η λογική θα μπορούσε να είναι

594
00:46:27,480 --> 00:46:32,200
ο logic control AND ή ένας συνδυασμός τους.

595
00:46:32,200 --> 00:46:39,240
Εάν οποιοδήποτε μοτίβο εντοπιστεί, είναι ένα σήμα ότι το αρχείο μπορεί να είναι κακόβουλο

596
00:46:39,240 --> 00:46:44,280
και δικαιολογεί περαιτέρω έρευνα.

597
00:46:44,280 --> 00:46:48,760
Στο βήμα δύο, η σάρωση αρχείων με YARA μας επιτρέπει να αναζητούμε ενεργά

598
00:46:48,760 --> 00:46:52,360
συγκεκριμένα μοτίβα που ορίζονται στα custom YARA rules μας.

599
00:46:52,360 --> 00:46:57,240
Αυτό το βήμα είναι απαραίτητο για την αυτοματοποίηση της διαδικασίας του malware detection.

600
00:46:57,240 --> 00:47:02,280
Μόλις έχετε γράψει ένα YARA rule, μπορείτε να το χρησιμοποιήσετε για να σαρώσετε αρχεία για τυχόν αντιστοιχίες.

601
00:47:02,280 --> 00:47:07,480
Η πρώτη μέθοδος περιλαμβάνει τη σάρωση ενός μεμονωμένου αρχείου. Για να το κάνετε αυτό, θα χρησιμοποιούσατε μια

602
00:47:07,480 --> 00:47:11,400
εντολή YARA, που είναι η εντολή του εργαλείου,

603
00:47:11,400 --> 00:47:14,920
suspicious_malware, που είναι το αρχείο που θέλουμε να σαρώσουμε,

604
00:47:14,920 --> 00:47:21,560
rule.yar, suspicious_file.exe. Σε αυτή την εντολή,

605
00:47:21,560 --> 00:47:25,880
suspicious_malware αντιπροσωπεύει το όνομα του κανόνα που έχουμε δημιουργήσει

606
00:47:25,880 --> 00:47:30,440
και το rule.yar είναι το αρχείο κανόνα που κρατά τα μοτίβα που ψάχνουμε,

607
00:47:30,440 --> 00:47:36,520
όπως συγκεκριμένα strings ή byte sequences. Το suspicious_file.exe είναι το αρχείο που

608
00:47:36,520 --> 00:47:41,080
ελέγχουμε για αυτά τα μοτίβα. Όταν τρέχετε αυτή την εντολή, το YARA θα αναλύσει

609
00:47:41,080 --> 00:47:47,320
το αρχείο και θα επιστρέψει μια έξοδο εάν βρεθεί κάποιο από τα μοτίβα στον κανόνα.

610
00:47:47,320 --> 00:47:50,600
Για παράδειγμα, εάν το αρχείο ταιριάζει με ένα από τα

611
00:47:50,600 --> 00:47:54,280
ορισμένα μοτίβα, η έξοδος μπορεί να μοιάζει έτσι.

612
00:47:54,280 --> 00:48:03,960
Αυτό σημαίνει ότι το αρχείο περιέχει ένα μοτίβο όπως η λέξη

613
00:48:03,960 --> 00:48:08,920
malware ή το suspicious byte sequence ενεργοποιώντας το YARA rule.

614
00:48:08,920 --> 00:48:12,840
Για σαρώσεις μεγαλύτερης κλίμακας, όπου πρέπει να ελέγξουμε πολλαπλά αρχεία,

615
00:48:12,840 --> 00:48:17,080
μπορείτε να χρησιμοποιήσετε την επιλογή -r για να σαρώσετε ολόκληρο

616
00:48:17,080 --> 00:48:22,600
κατάλογο αναδρομικά (recursively). Άρα -r σημαίνει recursively.

617
00:48:22,600 --> 00:48:25,800
Αυτό θα γινόταν με την εντολή YARA -r,

618
00:48:25,800 --> 00:48:31,640
suspicious_malware, rule.yar και μετά το path του καταλόγου που θέλουμε να σαρώσουμε.

619
00:48:31,640 --> 00:48:35,720
Το -r δίνει εντολή στο YARA να ψάξει όχι μόνο για έναν συγκεκριμένο

620
00:48:35,720 --> 00:48:40,440
κατάλογο αλλά και οποιονδήποτε τύπο καταλόγων μέσα στον κατάλογο.

621
00:48:40,440 --> 00:48:44,840
Εάν το YARA βρει μια αντιστοιχία για οποιοδήποτε από τα αρχεία μέσα στον κατάλογο,

622
00:48:44,840 --> 00:48:50,280
θα εμφανίσει ξανά το όνομα του κανόνα και το path του αρχείου που ταιριάζει.

623
00:48:50,280 --> 00:48:56,280
Φυσικά, μπορούμε να φορτώσουμε πολλαπλά YARA rules μαζί σε πολλαπλά αρχεία

624
00:48:56,280 --> 00:49:01,640
και κάθε συνδυασμός θα παρέχεται ξεχωριστά.

625
00:49:01,640 --> 00:49:06,040
Το YARA προσφέρει advanced features που ενισχύουν σημαντικά τις δυνατότητες του malware

626
00:49:06,040 --> 00:49:10,440
detection, καθιστώντας το ένα ισχυρό εργαλείο για πιο

627
00:49:10,440 --> 00:49:14,040
εκλεπτυσμένη ανάλυση. Ένα από τα χαρακτηριστικά είναι η ικανότητα

628
00:49:14,040 --> 00:49:19,160
χρήσης regular expressions, regex, που παρέχει ευέλικτο και ισχυρό

629
00:49:19,240 --> 00:49:23,240
pattern matching. Χρησιμοποιώντας regular expressions,

630
00:49:23,240 --> 00:49:29,160
οι αναλυτές μπορούν να ορίσουν περίπλοκα μοτίβα που ξεπερνούν τις απλές αντιστοιχίες string.

631
00:49:29,160 --> 00:49:33,480
Για παράδειγμα, μπορείτε να δημιουργήσετε έναν κανόνα που ταιριάζει με οποιοδήποτε string ξεκινά με

632
00:49:33,480 --> 00:49:41,720
malware, τη λέξη malware, ακολουθούμενη από ένα ή περισσότερα ψηφία, ανεξάρτητα από την περίπτωση (case).

633
00:49:41,720 --> 00:49:45,880
Αυτή η ικανότητα χρήσης regex επιτρέπει μια πιο δυναμική

634
00:49:45,880 --> 00:49:51,000
και ευρεία αναζήτηση, η οποία είναι ιδιαίτερα χρήσιμη όταν τα δείγματα malware μπορεί να διαφέρουν σε

635
00:49:51,000 --> 00:49:54,680
συμβάσεις ονομασίας ή άλλα χαρακτηριστικά αλλά εξακολουθούν να

636
00:49:54,680 --> 00:49:59,480
ακολουθούν ένα αναγνωρίσιμο μοτίβο. Ένα άλλο advanced feature στο YARA

637
00:49:59,480 --> 00:50:04,440
είναι η χρήση logical operators για το συνδυασμό πολλαπλών συνθηκών σε έναν μόνο

638
00:50:04,440 --> 00:50:08,440
κανόνα. Αυτό δίνει στους αναλυτές την ευελιξία να δημιουργούν

639
00:50:08,440 --> 00:50:13,480
εξαιρετικά συγκεκριμένους κανόνες. Για παράδειγμα, μπορείτε να δημιουργήσετε έναν κανόνα

640
00:50:13,480 --> 00:50:17,800
που ενεργοποιείται μόνο εάν τόσο το string suspicious όσο και το string

641
00:50:17,800 --> 00:50:23,080
malware βρεθούν στο ίδιο αρχείο. Συνδυάζοντας συνθήκες με logical

642
00:50:23,080 --> 00:50:28,040
operators όπως logical conditions AND ή OR ή NOT,

643
00:50:28,040 --> 00:50:33,400
μπορείτε να τελειοποιήσετε τις αναζητήσεις σας για να ελαχιστοποιήσετε τα false positives και να αυξήσετε

644
00:50:33,400 --> 00:50:37,560
την ακρίβεια ανίχνευσης. Αυτό καθιστά το YARA πιο ευέλικτο και

645
00:50:37,560 --> 00:50:41,640
επιτρέπει στους αναλυτές να βελτιώσουν τις στρατηγικές malware detection τους.

646
00:50:41,640 --> 00:50:45,480
Τέλος, το YARA σας επιτρέπει να ορίσετε τους κανόνες με βάση

647
00:50:45,480 --> 00:50:50,200
file properties όπως το μέγεθος ή τα metadata.

648
00:50:50,200 --> 00:50:54,120
Για παράδειγμα, μπορείτε να δημιουργήσετε έναν κανόνα που ελέγχει εάν το μέγεθος του αρχείου

649
00:50:54,120 --> 00:50:59,080
είναι μεγαλύτερο από ένα megabyte, το οποίο θα μπορούσε να είναι χρήσιμο για την ανίχνευση malware

650
00:50:59,080 --> 00:51:03,560
που είναι packed με μεγάλα αρχεία ή είναι συνήθως μεγαλύτερο από τα κανονικά

651
00:51:03,560 --> 00:51:06,840
αρχεία εφαρμογών. Επιπλέον, μπορείτε να δημιουργήσετε

652
00:51:06,840 --> 00:51:11,160
κανόνες με βάση άλλες ιδιότητες όπως η ημερομηνία δημιουργίας ή

653
00:51:11,160 --> 00:51:16,120
η ημερομηνία τροποποίησης. Αυτοί οι κανόνες που βασίζονται σε file type properties ενισχύουν

654
00:51:16,120 --> 00:51:21,240
τη χρησιμότητα του YARA επιτρέποντας στους αναλυτές να στοχεύουν ορισμένους τύπους

655
00:51:21,240 --> 00:51:25,480
αρχείων ή χαρακτηριστικά που παρατηρούνται συνήθως σε συγκεκριμένους

656
00:51:25,480 --> 00:51:30,920
τύπους malware και να αφήνουν τα άλλα αρχεία ήσυχα.