על החשיבות של ניתוח תוכנות זדוניות

כבר שנים שתוכנות זדוניות (Malware), היו ונותרו חלק מהכלים החזקים והרלוונטיים ביותר בארסנל של קבוצות תקיפה בעולם (APT groups & Threat actors). כדי להילחם באיום הזה, חובה לבצע מחקרי עומק על תוכנות זדוניות, על מנת לתחזק, לפתח ולהעמיק את מוצרי ההגנה של היום.

קבוצות תקיפה מחדשות כל הזמן את התוכנות הזדוניות שלהן, יוצרות זנים חדשים (Variants), אשר מכילים טכנולוגיות תקיפה וניצולי חולשה חדשות, אם זה פיתוח של מנגנוני עקיפה למוצרי הגנה, הזרקת קוד לתהליך אחר במערכת ההפעלה, ועוד.

ניתוח תוכנות זדוניות מספק המון מידע על כלים, טכניקות, מתודולוגיות תקיפה, ועוד. כך, כאשר איומים חדשים יופיעו – יהיה ניתן לבצע זיהוי ותגובה יעילים יותר ככל שהזמן עובר

האיומים הללו הם דינמיים מאוד, וכל יום ישנם עשרות אלפי זני Malware חדשים. ניתוח תוכנות זדוניות מאפשר לחוקרים להבין את המורכבויות החדשות של התוכנות, ולתכנן אסטרטגיות זיהוי ומניעה יעילות וחדשות.

חשוב מאוד למאבק מוצלח בפשעי סייבר. ניתוח תוכנות זדוניות. צילום: עיבוד ממוחשב כאילוסטרציה. מקור: שאטרסטוק

במה מסייע ניתוח תוכנות זדוניות?

גילוי טקטיקות וטכניקות חדשות – תוכנות זדוניות לא מגיעות לבד. הן חלק ממערך שלם של קבוצות תקיפה עם כוונות ברורות, בין אם מדובר בקבוצות אשר מעוניינות במידע מדיני סודי, במידע על ארגון, או על אדם ספציפי. ניתוח תוכנות זדוניות מסייע בגילוי טקטיקות וטכניקות חדשות אשר פותחו על ידי קבוצות התקיפה. חוקרי אבטחה לומדים כיצד התוכנות הזדוניות מתנהגות, כותבים על כך דו"חות Malware Analysis, ובכך מעשירים את הידע של שאר הקהילה.

שיפור מנגנוני ההגנה – ניתוח תוכנות זדוניות עוזר לחוקרים לקבל מידע ממוקד על האיומים, ובכך להוסיף את האיומים החדשים למנגנוני ההגנה הרלוונטיים. זה יכול להיות הוספה של חתימות YARA ו-IDS חדשות, חידוד אלגוריתמים היוריסטיים, ועוד. פעולות אלו מבטיחות שמנגנוני ההגנה ישארו רלוונטיים, גם לאיומים חדשים.

תגובה לאירועים – כאשר מתרחש אירוע תקיפה, הזמן הוא אחד הדברים החשובים ביותר אשר יש להתחשב בהם. ניתוח תוכנות זדוניות מזרז את התגובה לאירוע בכך שכאשר צוות התגובה מגיע לאירוע, הוא כבר יודע איך התוכנה הזדונית מתנהגת, ומה לחפש. תגובה מהירה זו עוזרת במזעור הפגיעה של ההתקפה.

 ניתוח Zero Days – כפי שצוין למעלה, תוכנות זדוניות לא הגיעו לבד, הן חלק ממערך שלם של קבוצות תקיפה. לעיתים, חלק אחר מהמערך מחפש חולשות על טכנולוגיות שהיעד משתמש בהם, ולאחר מכן מטמיעים את החולשות בקבצים הזדוניים. כאשר חוקרים מבצעים ניתוח לקבצים זדוניים, הם יכולים למצוא את אותן Zero Days ולפתח מנגנוני זיהוי ותגובה מתאימים.

שיתוף מודיעין – קהילה הסייבר העולמית עומדת מאוחדת בפני איומי הסייבר. ניתוח תוכנות זדוניות ממלא תפקיד מרכזי בטיפוח ושיפור שיתוף הפעולה ברמה המודיעינית בין צוותי ה-CERT. כאשר ישנה תוכנה זדונית חדשה אשר הצליחה לרוץ על הקורבנות ולבצע פונקציונליות זדונית, אם התוכנה זוהתה, ככל הנראה ייכתב עליה דו"ח Malware Analysis והמידע ישותף בין כלל הצוותים, מה שמאפשר לחזק את ההגנה מפני האיום, גם בסביבות אחרות. הידע הקולקטיבי הזה מגביר את החוסן הדיגיטלי של הארגונים.

מחקר וחדשנות – ניתוח תוכנות זדוניות מספק המון מידע על כלים, טכניקות, מתודולוגיות תקיפה, ועוד. כך, כאשר איומים חדשים יופיעו – יהיה ניתן לבצע זיהוי ותגובה יעילים יותר ככל שהזמן עובר, שכן ישנם צוותים שלמים אשר אחראים על מחקר וחדשנות בחברות אבטחה, שחלק מהמשימות שלהם הוא זיהויים אפקטיביים יותר ומניעה אבסולוטית.

הכותב הוא סמנכ"ל מחקר ומנהל אבטחת מידע ב-CYFOX