اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

بررسی عملکرد ابزار رایگان CrowdInspect

بررسی عملکرد ابزار رایگان CrowdInspect

CrowdInspect یک ابزار متمرکز رایگان از CrowdStrike است که برای سیستم‌های Microsoft Windows، با هدف هشدار به کاربر در صورت وجود بدافزار احتمالی است که بر روی شبکه ی موجود بر کامپیوتر ارتباط برقرار می‌نماید. این یک ابزار بررسی فرآیند مبتنی بر Host می‌باشد که چندین پایگاه داده را، مشتمل بر (VirusTotal، Web of Trust (WOB و Malware Hash Registryی Team Cymru، به کار می‌گیرد تا فرآیندهای مخرب فعال شبکه‌ای یا Untrusted را شناسایی نماید. CrowdInspect می‌تواند طی فرآیند مقابله به کار گرفته شود تا سریعا فرآیندهای مخرب احتمالی در حال اجرا روی یک ماشین را شناسایی نماید. این ابزار روی هردو نسخه‌ی 32 بیت و 64 بیت Windows، از XP به بالا، اجرا می‌گردد.

CrowdInspect، افزون بر اتصال‌های ساده‌ی شبکه‌ای، رکوردهای اتصال (Connection Entry) را با فرآیندی که مسئول آن فعالیت است، همراه می‌سازد. این ابزار می‌تواند نام فرآیند را به عنوان یک اسم فایل ساده یا به عنوان یک مسیر فایل کامل اختیاری، نمایش دهد. علاوه بر نام فرآیند، شماره‌ی IDی فرآیند رکوردها، پورت Local، IPی Local، پورت Remote، IPی Remote و نام Resolved DNS معکوس IPی Remote نیز نمایش داده می‌شوند. این ابزار با هردو آدرس IPv4 و IPv6 وفق پیدا می‌کند.

CrowdInspect جزئیات هر رکوردی را که با یک IPی Remote همراه باشد و لیستی به ترتیب زمانی از این موارد در دسترس را نگهداری کند، از طریق کلیک بر دکمه‌ی Toolbar Live/History ثبت می‌نماید تا بین پنجره‌ی Netstat نمایش Live و پنجره‌ی لیست History سوئیچ کند.

شرکت مهندسی امن پایه ریزان کارن APK دارای مجرب ترین تیم طراحی امنیت شبکه و راهکارهای امنیتی در کشور

با این حال شاید مفیدترین جنبه‌ی CrowdInspect، قابلیت آن برای به کارگیری چندین منبع اطلاعاتی قابل استفاده برای تعیین Reputation فرآیندی که از اتصال شبکه‌ای استفاده می‌کند و Reputation دامینی که به آن متصل می‌گردد، باشد. این امر می‌تواند با استفاده از تکنولوژی‌ها و سرویس‌های ذیل حصول گردد:

شناسایی Thread Injection

شناسایی Injection کد با استفاده از کد اختصاصی سفارشی صورت می‌پذیرد که بسیاری از بخش‌های بدافزار با دستکاری برنامه‌های کاربردی در حال اجرا و Inject نمودن خود به آن فرآیندها، به بخشی از هدف خود دست می‌یابند. محصولات آنتی‌ویروس معمولی که تنها بر طبق محتوای فایل فیزیکی موجود عمل می‌کنند، این رفتار را شناسایی نخواهند کرد. CrowdInspect ویژگی شناسایی آزمایشی چنین رفتاری را دارد و نتایج این تست بر روی هر فرآیند در ستون «Inject» قابل مشاهده است.

 (o Gray icon)—

  • غیرقابل اجرا/غیرقابل دسترس. هیچ فرآیندی قابل تست شدن نیست.

?? (o Gray icon)

  • این فرآیند اجازه ی تست برای Injection کد نداده‌است.

(OK (o Green

  • این فرآیند ظاهرا نشانی از Thread Injection نداشت.

!! (o Red icon)

  • این رکوردها ظاهرا در فرآیند خود یک Thread Injection داشتند. در کل این چیز خوبی نیست، یا چیزی نیست که معمولا به تعداد زیاد با آن مواجه شوند. قابل توجه است که ممکن است برخی Classهای نرم‌افزار ویژه وجود داشته باشند که این رفتار را نشان می‌دهند. این فرآیند/برنامه‌ی کاربردی باید بعدا مورد بررسی قرار گیرد.

سرویس VirusTotal

نتایج آنالیز چندگانه‌ی موتور جستجوی آنتی‌ویروس به وسیله‌ی Hash فایل SHA256 است و خلاصه‌ی ابتدایی جستجو در سرویس VirusTotal برای فایل مورد بررسی (SHA256 hash محتوای فایل) در ستون «VT» ابزار به نمایش گذاشته شده است. VirusTotal چندین موتور آنتی‌ویروس را به کار می‌گیرد تا فایل‌های عرضه شده را تجزیه و تحلیل نماید و دیتابیس آن جهت مشاهده‌ی این که آیا Hash فایل در دیتابیس است یا خیر و چگونگی برآورد موتورهای آنتی‌ویروس در صورتی که Hash فایل در دیتابیس باشد، جستجو می‌شود. ارزیابی مذکور می‌تواند یکی از موارد زیر باشد:

 (o Gray icon)—

  • غیرقابل اجرا/غیرقابل دسترس. هیچ اتصالی به دیتابیس VirusTotal صورت نگرفته است، یا فرآیند با فایلی همراه نیست.

?? (o Gray icon)

  • رکوردها در دیتابیس VirusTotal نیستند، که می‌تواند نشانه‌ی خوبی باشد.

0% … 100% (o Green … o Red icons)

  • فایل برای دیتابیس VirusTotal شناخته‌شده است، و این امتیاز ویروس می‌باشد. 0% بدین معناست که هیچ Vendor آنتی‌ویروسی، مشکلی در ارتباط با آن فایل گزارش نکرده است (بسیار خوب است). 100% نیز بدین معناست که تمام Vendorهای آنتی‌ویروس، آن فایل را مشکل‌دار گزارش نموده‌اند (به هیچ عنوان خوب نیست).

جزئیات گسترده‌تر برای رکوردهای منتخب مخصوص در لیست، یا از طریق کلیک کردن بر دکمه‌ی Toolbar AV Results یا از طریق انتخاب «View AV Test Results» از منوی ساختار راست کلیک مربوط به مورد منتخب، قابل مشاهده است.

قابل توجه است که قبل از نمایش نتایج هر رکورد در لیست، به دلیل برآورد جلوگیری از اتصالات به سرویس، ممکن است اندکی زمان ببرد.

Team Cymru – منبع Hash بدافزار

منبع بدافزار شناخته شده‌‌ توسط Hash فایل MD5 می‌باشد. همان‌گونه که در ستون «MHR» نمایش داده شده‌است، Team Cymru از یک بانک اطلاعاتی شامل بدافزارهای شناخته‌شده نگهداری می‌نماید که می‌تواند با دادن یک Hash محتوای فایل MD5، جستجو شود. در این مورد، صرفا برای یک پاسخ بله/خیر Query صورت می‌گیرد تا نتیجه به صورت یکی از موارد ذیل به دست آید:

(o Gray icon) —

  • غیرقابل اجرا/غیرقابل دسترس. هیچ پاسخی از سرویس Team Cymru دریافت نگردید، یا فرآیند با فایلی همراه نیست.

?? (o Gray icon)

  • رکوردها در دیتابیس MHR نیستند. این مورد احتمالا خوب باشد، هرچند که نبود یک پاسخ مثبت لزوما بدین معنا نیست که فرآیند، بدافزار نیست.

!! (o Red icon)

  • رکوردها قطعا در دیتابیس MHR حضور دارند. فرآیند به عنوان بدافزار شناخته شده‌است و این خوب نیست.

Web of Trust

سیستم Reputation نام دامین با منبع Crowd کار می‌کند و در ستون «WOT» ابزار، نتایج خلاصه ی ابتدایی Query کردن سرویس Web of Trust در مقابل نام دامین Resolveشده‌ی معکوس (Reverse) همراه با IPی Remote رکوردهای اتصال نشان داده شده‌است. این ارزیابی می‌تواند به صورت یکی از موارد زیر باشد:

 (o Gray icon)—

  • غیرقابل اجرا/غیرقابل دسترس. هیچ اتصالی به دیتابیس WOT صورت نگرفته‌است، یا IPی Remote رکوردها، نام دامین معتبر و قابل استفاده‌ای همراه خود ندارد.

?? (o Gray icon)

  • رکوردها در دیتابیس WOT نیستند.

0% … 100% (o Red … o Green icons)

  • امتیاز Reputation مربوط به WOT. 0% بدین معناست که تمام کسانی که به این دامین امتیاز داده‌اند، گمان می‌کنند غیرقابل اطمینان است. منظور از 100% این است که تمام کسانی که این دامین را برآورد نموده‌اند، گمان می‌کنند که این قابل Repute و قابل اطمینان است.

جهت پیشگیری از Queryی بیهوده‌ی سرویس‌های مذکور، تمام نتایج طوری Cache شده‌اند که هیچ دامین یا فرآیند خاصی در طول مدت اجرای ابزار، بیش از یک بار Query نگردد. تصاویر پایین نشان می‌دهند که چگونه می‌توان از ویژگی‌های فراوان این ابزار استفاده نمود. پنجره ی Live اصلی ابزار CrowdInspect که کاربرد Toolbar را نشان می‌دهد:

بررسی عملکرد ابزار رایگان CrowdInspect

پنجره‌ی Historyی ابزار CrowdInspect که رکوردی با ترتیب زمانی از اتصالات و منوی ساختار را نشان می‌دهد:

CrowdInspect که نتایج AVی باجزئیات را برای مورد منتخب نشان می‌دهد:

دسته ها