Təcrübələrimiz əsasında kiberinsidentlər zamanı qarşılaşdığımız ən önəmli problemlərdən biri insidentin baş verdiyi əməliyyat sistemində zərərvericini aşkarlamaq üçün məlumat toplamağa çalışarkən istifadə etdiyimiz müxtəlif alətlər və yaşadığımız vaxt itkisidir. Belə ki, istifadə edilən müxtəlif alətlərin köməkliyi ilə sistem məlumatlarını toplamaq, onların təhlilini aparmaq, nəticə əldə etmək və əldə olunan nəticəni qarşı tərəfə (zərərçəkənə) raport etmək olduqca zəhmətli və vaxt tələb edən bir prosesidir. Bundan əlavə olaraq, bəzən hər hansı məlumatı toplamaq istəyərkən eyni anda bir neçə alətin dəstəyini almaq müəyyən mənada çətinliklər yarada bilir. Laboratoriya olaraq məhz bu təcrübələrimizdən faydalanaraq bu tip insident araşdırmaları zamanı effektivliyi qoruyub saxlamaq məqsədi ilə "Tusi Paleon" adını verdiyimiz aləti hazırladıq. Əsas üstünlüyü kiberinsident zamanı tək bir alətin köməkliyi ilə zərərverici proqram izlərini daşıya biləcək potensial sistem artefaktlarını toplayaraq vahid baza içərisində saxlaya bilməsi (şifrələnmiş və sıxışdırılmış formatda) və bu əməliyyat zamanı vaxt itkisini mimimuma endirə bilməsidir. Alətin bir digər müsbət tərəfi isə toplanan sistem artefaktlarının həcminin ənənəvi ekspertiza (forensics) alətlərinin topladığı məlumat həcmindən daha az olmasıdır. Çünki ənənəvi ekpertiza alətləri sistem məlumatlarını sərt disk və əməli yaddaşın bütünlüklə ehtiyyat nüsxəsini çıxarmaqla və ya bütünlüklə təhlil etməklə toplayırlar. Bu tip metodlar günümüzdə hələ də effektiv olaraq istifadə edilsə də, sərt disk və əməli yaddaş həcmlərinin artması insident araşdırması zamanı əksər hallarda lazım olduğundan daha çox məlumat həcmi yaradır. Bundan əlavə olaraq bu tip məlumatları toplayarkən olduqca uzun vaxt itkisi yaşanır. Sözügedən problemləri və xüsusilə zərərvericilərin artan dinamikasını nəzərə almaqla yeni məhsulların hazırlanması aktual məsələ olmuşdur. Paleon sərt diski və əməli yaddaşı bütünlüklə təhlil etmədən real vaxt rejimində sistem məlumatlarını toplayır. Daha sonra isə zərərverici proqram analitiki toplanan xam məlumat üzərində araşdırma apararaq zərərverici haqqında informasiya əldə etməyə çalışır.
Niyə məhz zərərverici ekspertizası?
Paleonu "malware forensics" aləti adlandırmağımızın ən önəmli səbəbi isə onun standart kiberekspertiza proqram təminatlarından ayıran əsas fərqin məhz zərərverici ekpertizasına fokuslanmasıdır.
Giriş bölməsində qeyd edildiyi kimi Paleon-un əsas məqsədi zərərverici analitikini minimum vaxt itkisi ilə hədəf sistemdə zərərvericini aşkarlaması üçün ona aid izləri daşıya biləcək məlumatlar ilə təmin etməsidir. Paleon əməliyyat sistemləri üçün rəsmi sertifikat ilə imzalanmış, icra edilə bilən fayl formatında gəlir.
Tələblər
Paleon aşağıdakı əməliyyat sistemlərinin 32 və 64-bit arxitekturaya malik versiyalarında sınaqlardan uğurla keçmişdir:
- Windows 7
- Windows 10
- Windows 11
Paleon istifadəçi təlimatı ilə buradan tanış ola bilərsiniz. Təklif və ya iradlarınızı "Paleon" başlığı ilə mrl.report@cert.gov.az ünvanına göndərməyiniz xahiş olunur.
Yanlış müsbət (false positive) haqqında bildiriş:
Paleon forensika üçün sistemdə zərərverici izləri daşıya biləcək kritik məlumatları toplayır. Bundan əlavə olaraq təkib kod təhlükəsizliyi üçün əsas icra edilə bilən fayl "proqram təminatının qorunması" sistemindən istifadə edir. Bunları nəzərə alaraq bəzi antivirus proqram həlləri Paleon alətinin təhlükəli olduğuna qərar verə bilərlər. Lakin alət quruma aid sertifikat tərəfindən imzalanmışdır və heç bir təhlükə daşımır.
