मालवेयर विश्लेषण

Definition

मालवेयर विश्लेषण दुर्भावनापूर्ण सॉफ़्टवेयर की कार्यक्षमता, प्रसार, दृढ़ता और प्रभाव को निर्धारित करने की प्रक्रिया है, ताकि इसका पता लगाया जा सके, इसे नियंत्रित किया जा सके और इसका उपचार किया जा सके, और खतरे की खुफिया जानकारी को सूचित किया जा सके।

Scope

यह विषय दुर्भावनापूर्ण सॉफ़्टवेयर के वर्गीकरण, इसका विश्लेषण करने की तकनीकों (स्थैतिक और गतिशील विश्लेषण, सैंडबॉक्सिंग, रिवर्स इंजीनियरिंग, व्यवहार निगरानी), मालवेयर द्वारा उपयोग की जाने वाली बचाव युक्तियाँ (पैकिंग, अस्पष्टता, एंटी-विश्लेषण), और इसके खिलाफ बचाव करने वाली पहचान विधियों को शामिल करता है। यह तकनीकी स्तर पर घटना प्रतिक्रिया और एट्रिब्यूशन को संबोधित करता है। इसमें सामान्य सॉफ़्टवेयर-भेद्यता का शोषण और सौम्य सुरक्षित-विकास प्रथाएं शामिल नहीं हैं, जिन्हें संबंधित विषयों में वर्णित किया गया है।

Core questions

• मालवेयर की कौन सी श्रेणियां मौजूद हैं और वे प्रसार और लक्ष्यों में कैसे भिन्न हैं?
• स्थैतिक, गतिशील और सैंडबॉक्स तकनीकों के माध्यम से मालवेयर का सुरक्षित रूप से विश्लेषण कैसे किया जाता है?
• मालवेयर लेखक कौन सी बचाव तकनीकों (पैकिंग, अस्पष्टता, एंटी-डीबगिंग) का उपयोग करते हैं?
• हस्ताक्षर, अनुमानी या व्यवहार द्वारा मालवेयर का पता कैसे लगाया जाता है?
• मालवेयर विश्लेषण घटना प्रतिक्रिया, एट्रिब्यूशन और बचाव का समर्थन कैसे करता है?

Key concepts

• वायरस, वर्म, ट्रोजन, रैंसमवेयर, रूटकिट
• स्थैतिक विश्लेषण और डिसेम्बली
• गतिशील विश्लेषण और सैंडबॉक्सिंग
• पैकिंग और अस्पष्टता
• एंटी-विश्लेषण और एंटी-डीबगिंग
• हस्ताक्षर और अनुमानी पहचान
• व्यवहारिक पहचान
• समझौता के संकेतक
• कमांड-एंड-कंट्रोल

Key theories

स्थैतिक बनाम गतिशील विश्लेषण

स्थैतिक विश्लेषण मालवेयर को चलाए बिना उसका निरीक्षण करता है (डिसेम्बली, स्ट्रिंग्स, संरचना), जबकि गतिशील विश्लेषण एक नियंत्रित सैंडबॉक्स में उसके व्यवहार का अवलोकन करता है; संयुक्त रूप से, वे ऐसी क्षमताओं का खुलासा करते हैं जो अकेले किसी एक से छूट जातीं, खासकर अस्पष्ट नमूनों के खिलाफ।

पहचान और बचाव की हथियारों की दौड़

रक्षक हस्ताक्षर, अनुमानी और व्यवहारिक मॉडल द्वारा मालवेयर का पता लगाते हैं, जबकि लेखक बहुरूपता, पैकिंग और एंटी-विश्लेषण युक्तियों के साथ प्रतिक्रिया करते हैं, जिससे एक निरंतर वृद्धि होती है जो पहचान को व्यवहार- और मशीन-लर्निंग-आधारित दृष्टिकोणों की ओर धकेलती है।

Mechanisms

विश्लेषक स्थैतिक वर्गीकरण (हैशिंग, स्ट्रिंग्स की जांच, आयात और पैकिंग) से शुरू करते हैं, फिर इसकी तर्क को समझने के लिए बाइनरी को डिसेम्बल या डीकंपाइल करते हैं। गतिशील विश्लेषण नमूने को एक अलग, इंस्ट्रूमेंटेड सैंडबॉक्स में चलाता है ताकि फ़ाइल, रजिस्ट्री और नेटवर्क गतिविधि का निरीक्षण किया जा सके, जिससे कमांड-एंड-कंट्रोल व्यवहार का पता चलता है। मालवेयर पैकिंग (संपीड़ित/एन्क्रिप्टेड पेलोड), अस्पष्टता और वर्चुअल मशीनों या डीबगर का पता लगाने वाली जांच के साथ इसका विरोध करता है, इसलिए विश्लेषक नमूनों को अनपैक करते हैं और वास्तविक कोड तक पहुंचने के लिए एंटी-विश्लेषण जांचों को पैच करते हैं।

Clinical relevance

मालवेयर विश्लेषण पूरे एंटी-मालवेयर और घटना-प्रतिक्रिया उद्योग का आधार है: यह ऐसे हस्ताक्षर और संकेतक उत्पन्न करता है जो एंडपॉइंट्स की सुरक्षा करते हैं, आपराधिक और राज्य अभिनेताओं पर खतरे की खुफिया जानकारी को बढ़ावा देते हैं, और रैंसमवेयर और बड़े पैमाने की घटनाओं का जवाब देने के लिए केंद्रीय है। स्टक्सनेट, वानाक्राई और नॉटपेट्या के ऐतिहासिक विश्लेषणों ने साइबर ऑपरेशंस और उनके वास्तविक दुनिया के परिणामों के बारे में सार्वजनिक समझ को आकार दिया।

Evidence & guidelines

विश्लेषक मानक उपकरणों (घिड्रा और आईडीए जैसे डिसेम्बलर, कुकू जैसे सैंडबॉक्स) और साझा फ्रेमवर्क पर भरोसा करते हैं: एमआईटीआरई एटीटी एंड सीके (MITRE ATT&CK) देखे गए तकनीकों को मैप करता है, और एसटीआईएक्स/टैक्सीआई (STIX/TAXII) जैसे प्रारूपों के माध्यम से समझौता के संकेतक (indicators of compromise) का आदान-प्रदान किया जाता है। विश्लेषण को पलायन को रोकने के लिए अलग-थलग वातावरण में किया जाना चाहिए, और रिपोर्टिंग जिम्मेदार खतरे-खुफिया जानकारी साझा करने की प्रथाओं का पालन करती है।

History

दुर्भावनापूर्ण कोड विश्लेषण 1980 के दशक के शुरुआती वायरसों से संबंधित है; स्पैफोर्ड (Spafford) का 1989 का मॉरिस वर्म का विच्छेदन एक मूलभूत तकनीकी विश्लेषण था। एंटीवायरस उद्योग 1990 के दशक में हस्ताक्षर स्कैनिंग के साथ बढ़ा, और 2000 के दशक में पेशेवर सैंडबॉक्सिंग और रिवर्स इंजीनियरिंग आया क्योंकि मालवेयर आपराधिक और फिर राज्य-प्रायोजित हो गया। 2010 में स्टक्सनेट की खोज और विश्लेषण ने भू-राजनीति के साथ इस क्षेत्र के प्रतिच्छेदन को चिह्नित किया, और रैंसमवेयर ने मालवेयर विश्लेषण को एक मुख्यधारा की व्यावसायिक चिंता बना दिया।

Key figures

• Eugene Spafford
• Michael Sikorski
• Mikko Hypponen
• Peter Szor

Related topics

• vulnerabilities and exploitation
• network security crypto
• secure software development

Seminal works

• sikorski2012
• spafford1989
• anderson2020

Frequently asked questions

क्या मेरे अपने कंप्यूटर पर मालवेयर का विश्लेषण करना सुरक्षित है?

नहीं। मालवेयर का विश्लेषण केवल अलग-थलग, डिस्पोजेबल वातावरण (वर्चुअल मशीन या समर्पित लैब नेटवर्क) में किया जाना चाहिए, जिसमें संवेदनशील डेटा या व्यापक नेटवर्क तक कोई पहुंच न हो, क्योंकि एक नमूना चलाने से होस्ट संक्रमित हो सकता है या फैल सकता है। यहां तक कि स्थैतिक विश्लेषण भी आकस्मिक निष्पादन के खिलाफ सावधानी बरतने की वारंटी देता है।

एंटीवायरस सभी मालवेयर को क्यों नहीं पकड़ सकता?

हस्ताक्षर-आधारित पहचान केवल ज्ञात नमूनों को पहचानती है, और लेखक लगातार मालवेयर को संशोधित और अस्पष्ट करते हैं ताकि इससे बचा जा सके। आधुनिक सुरक्षा में व्यवहारिक और मशीन-लर्निंग पहचान शामिल है, लेकिन बचाव की हथियारों की दौड़ का मतलब है कि कोई भी एक विधि सब कुछ नहीं पकड़ती है, यही कारण है कि स्तरित सुरक्षा और विश्लेषण आवश्यक रहते हैं।

Methods for this concept

• Static Application Security Testing
• Taint Analysis
• Static Code Analysis
• Intrusion Detection System
• Dynamic Application Security Testing
• Vulnerability Assessment
• Symmetric Key Cryptanalysis
• Symbolic Execution

Related concepts

• सॉफ्टवेयर और एप्लिकेशन सुरक्षा
• कमजोरियाँ और उनका शोषण
• सुरक्षित सॉफ्टवेयर विकास
• नेटवर्क सुरक्षा
• सिस्टम और नेटवर्क सुरक्षा
• प्रोग्राम विश्लेषण और सत्यापन