يك چارچوب بهينه و شفاف براي تحليل خودكار بدافزار

An Optimal and Transparent Framework for Automatic Analysis of Malware

بدافزار مهم‌ترين عامل تهديدات امنيتي در فضاي مجازي است. ميزان اين بدافزارها به حدي است كه برخي آمارها نشان مي‏دهد روزانه بيش از 315000 بدافزار جديد منتشر مي‏شود. مطميناً تحليل دستي اين حجم از بدافزار غيرممكن است. به همين دليل بايد از نرم‏افزارهايي استفاده شود كه توان تحليل فايل‏هاي مشكوك را داشته و بتوانند رفتار داخلي آن را به‌طور كاملاً خودكار تعيين نمايند. تاكنون چندين ابزار همانند آنوبيس و جعبه‏شن كوكو در اين زمينه ارايه شده‏اند. مهم‏ترين مشكل اين ابزارها عدم شفافيت است. امروزه بدافزارهايي منتشر شده‏اند كه از اين مشكل موجود در ابزارهاي كنوني سو استفاده كرده و به‌صورت چندشخصيتي عمل مي‏كنند. براي حل اين مشكل راهكار مجازي‏سازي به كمك سخت‏افزار ارايه‌شده است، اما اين راه حل نيز داراي مشكل عدم بهينگي است. در اين مقاله چارچوب تحليل خودكار بدافزاري ارايه خواهد شد كه شفاف و بهينه باشد. بنابراين علاوه بر اين كه در برابر بدافزارهاي چندشخصيتي مقاوم است، توان تحليل اين ميزان بدافزار منتشرشده در روز را بدون نياز به اضافه كردن منابع سخت‏افزاري جديد دارد. اين چارچوب از تحليل پويا به همراه فناوري مجازي‏سازي به كمك سخت‏افزار استفاده مي‏كند. در تحليل پويا از روش‏هايي همانند جعبه شن و دنبال-كردن فراخواني‏هاي سيستمي استفاده شده است. تحليل‏هاي مبتني بر مجازي‏سازي به كمك سخت‏افزار نيز براي ايجاد شفافيت مورد استفاده قرار گرفته است.

Malware is the most important security threat in cyberspace. Some statistics show that over 315,000 malware are released, every day. Certainly, it is not possible to analyze all of these malware, manually. Thatʹs why the security vendors are obliged to use software capable of analyzing suspicious executable files. These software determine behavior of suspicious files automatically. Several tools such as Anubis and Cuckoo are produced in this area. The problem of these tools is lack of transparency. Some malware use this sort of weaknesses to recon analysis environments. To resolve this problem some solutions using hardware-assisted virtualization is presented. However, these solutions impose a great run time overhead on the program execution. In this paper an automated malware analysis framework is presented that is both transparent and optimal. This framework in addition to being resistant to malware with split personality features, may also be used to analyze the large amount of malware released every day without adding extra hardware resources. This framework uses dynamic analysis approaches with hardware assisted virtualization technology to analyze suspicious code. The dynamic analysis approaches used in this framework include sandboxing and system calls sequence analysis. Analysis based on hardware-assisted virtualization technology is applied to provide transparent analysis environment.