Təcrübələrimiz əsasında kiberinsidentlər zamanı qarşılaşdığımız ən önəmli problemlərdən biri insidentin baş verdiyi əməliyyat sistemində zərərverici haqqında məlumat toplamağa çalışarkən istifadə etdiyimiz müxtəlif alətlər və yaşadığımız vaxt itkisidir. Belə ki, istifadə edilən müxtəlif alətlərin köməkliyi ilə sistem artefaktlarını toplamaq, onların təhlilini aparmaq, nəticə əldə etmək və əldə olunan nəticəni qarşı tərəfə (zərərçəkənə) raport etmək olduqca zəhmətli və vaxt tələb edən bir prosesidir. Bundan əlavə olaraq, bəzən hər hansı artefaktı toplamaq istəyərkən eyni anda bir neçə alətin dəstəyini almaq müəyyən mənada çətinliklər yarada bilir. Laboratoriya olaraq məhz bu təcrübələrimizdən faydalanaraq bu tip insident araşdırmaları zamanı effektivliyi qoruyub saxlamaq üçün Tusi Paleon adını verdiyimiz aləti işləyib hazırladıq. Əsas üstünlüyü kiberinsident zamanı tək bir alətin köməkliyi ilə zərərverici proqram izlərini daşıya biləcək potensial sistem artefaktlarını toplayaraq vahid baza içərisində saxlaya bilməsi (şifrələnmiş və sıxışdırılmış formatda) və bu əməliyyat zamanı vaxt itkisini mimimuma endirə bilməsidir. Alətin bir digər müsbət tərəfi isə toplanan sistem artefaktlarının həcminin ənənəvi ekspertiza (forensics) alətlərinin topladığı artefakt həcmindən daha az olmasıdır. Çünki ənənəvi ekpertiza alətləri sistem artefaktlarını sərt disk və əməli yaddaşın bütünlüklə ehtiyyat nüsxəsini çıxarmaqla və ya bütünlüklə təhlil etməklə toplayırlar. Bu tip metodlar günümüzdə hələ də effektiv olaraq istifadə edilsə də, sərt disk və əməli yaddaş həcmlərinin artması insident araşdırması zamanı əksər hallarda lazım olduğundan daha çox artefakt həcmi yaradır. Bundan əlavə olaraq bu tip məlumatları toplayarkən olduqca uzun, hətta bəzən günlərlə vaxt itkisi yaşanır. Sözügedən problemləri və xüsusilə zərərvericilərin artan dinamikasını nəzərə almaqla yeni məhsulların hazırlanması aktual məsələ olmuşdur. Paleon sərt diski və əməli yaddaşı bütünlüklə təhlil etmədən real vaxt rejimində sistem artefaktlarını toplayır. Daha sonra isə zərərverici proqram analitiki toplanan xam məlumat üzərində araşdırma apararaq zərərverici haqqında informasiya əldə etməyə çalışır.

Niyə məhz malware forensics?

Tusi Paleonu "malware forensics" aləti adlandırmağımızın ən önəmli səbəbi isə onun standart kiberekspertiza proqram təminatlarından ayıran əsas fərqin məhz zərərverici ekpertizasına fokuslanmasıdır. Yəni Paleon rəqəmsal ekpertiza (digital forensics) aləti olaraq deyil, sırf zərərverici proqram təminatlarına qarşı istifadə edilmək məqsədilə hazırlanmışdır.

Paleon Cloud

Təbii olaraq, aləti istifadə edən bütün istifadəçilərin zərərverici proqram analitiki olmalarını gözləmək doğru deyil. Bunun üçün zərərverici proqram analitiki olmayan, lakin eyni zamanda toplanan artefaktlardan dəyərli məlumat əldə etmək istəyən istifadəçilər üçün alətin bulud texnologiyası əsasında işləyən versiyasını da hazırladıq. İstifadəçilər toplanan artefaktları buluda yükləyirlər və arxa fonda fəaliyyət göstərən analitik modullarımız həmin məlumatlar üzərində zərərvericini aşkar etmək üçün müxtəlif əməliyyatlar həyata keçirir. Bu əməliyyatların ən önəmlisi isə diqqət nöqtələri adını verdiyimiz əməliyyatdır. Bu əməliyyat analitik modullarının toplanan artefaktlar üzərində araşdırma apararaq istifadəçiyə mövcud anomaliyaları göstərməsidir. Bu isə istifadəçiyə zərərvericinin olma ehtimalı olan obyektləri araşdırmasına imkan və vaxt qazandırır.