Tusi Marağa - Automated Malware Sandbox

Bu günə qədər əldə etdiyimiz statistikalar bizə yerli dövlət orqanlarını hədəf alan kiberhücümların (advanced persistent threat) əksər çoxluğunun məhz zərərli kodlar daşıyan ofis sənədləri (word, excel, powerpoint, pdf və s.) üzərindən olduğunu göstərmişdir. Sözügedən statistikalar bizə yerli avtomatlaşdırılmış sandbox sistemi yaratmaq üçün fikir mənbəyi olmuşdur. Ənənəvi antivirus proqram təminatlarının bu tip zərərvericilərə qarşı effektiv qalxan rolunu oynamasına baxmayaraq, onlar sıfırıncı gün hücümları (zero-day attacks) qarşısında təhlükəsizliyi tam təmin edə bilmirlər. Belə olduğu təqdirdə şübhəli faylların avtomatlaşdırılmış analizini həyata keçirmək üçün istifadə edilən və Sandbox adını verdiyimiz sistemlərin tədbiqinə zərurət yaranır. Bu sistemlər şübhəli faylları normal əməliyyat sistemində fəaliyyət göstərirmiş kimi, izolyasiya edilmiş mühit (virtual maşın) daxilində işə salaraq, onların aktivliyini (şəbəkə, fayl sistemi, reyestr, proses və s. meyarlar üzrə) müşahidə edir, qeydiyyatını apararaq raport edirlər. Növbəti prosedur isə zərərverici proqram analitikinin bu raport əsasında şübhəli faylın zərərli olub olmadığına qərar verməsidir.

Marağa - adını məşhur azərbaycanlı alim Nəsirəddin Tusinin göy cisimlərini müşahidə etmək üçün istifadə etdiyi Marağa rəsədxanasından alan, "Malware Research Lab" tərəfindən hazırlanmış - şübhəli faylların avtomatik analizini həyata keçirən sandbox sistemidir. Bu sistemin əsas məqsədi xüsusilə yerli dövlət qurumlarında tədbiq olunmaqla onları hədəf alan zərərvericilərin avtomatik analizini həyata keçirməkdir. Belə ki, tərəfimizdən hazırlanmış sandbox mühərrikinin köməkliyi ilə şübhəli fayllar izolyasiya edilmiş mühit daxilində icra olunur və onların icra etdiyi əməliyyatlar istifadəçilərə raport formasında təqdim olunur. Burada əsas qərarvermə subyektinin zərərverici proqram analitiki olmasına baxmayaraq sistem həmçinin qərar-dəstək modulu ilə də təmin edilmişdir. Bu modul sandbox tərəfindən generasiya edilən raportu təhlil edərək şübhəli faylın davranış modelini yaradır və öncədən toplanan (hazırlanan) davranış modelleri ilə qarşılaşdıraraq şübhəli faylın zərərli olub-olmadığı haqqında qərar verə bilir.

Marağa aşağıda ki, özəlliklərə sahibdir:

  • Windows əməliyyat sistemi və izolasiya edilmiş virtual mühit
  • 32/64 bitlik əməliyyat sistemi arxitekturası
  • Daima inkişaf etdirilən davranış modeli alqoritmi və maşın öyrənməsi
  • Şübhəli faylların statik virus axtarış mühəriki tərəfindən analizi
  • Müxtəlif fayl formatlarının dəstəklənməsi (doc, docx, xls, xlsm, pdf)
  • Şübhəli fayl haqqında ətraflı raport (fayl sistemi, reyestr, proses, şəbəkə əməliyyatları və s.)
  • Onlayn virus axtarış platformaları (məsələn, virustotal) ilə inteqrasiya
  • Qərar-dəsktək mexanizmi

Marağa iş axını:

  1. İstifadəçi web interfeys üzərindən şübhəli faylı sistemə yükləyir
  2. Şübhəli fayl arxa fonda 24/7 fəaliyyət göstərən virtual maşınların birinə yönləndirilir
  3. Sandbox şübhəli faylı izolasiya olunmuş mühitdə icra edir və şübhəli fayla aid artefaktları toplayır
  4. Daha sonra analitik modulu tərəfindən şübhəlinin davranış modeli yaradılır
  5. Toplanıb təhlil edilən məlumatlar raport edilir