Bakı. Trend:
Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Xidmətinin Kompüter İnsidentlərinə qarşı Mübarizə Mərkəzinin (CERT) Zərərvericilərin Analizi laboratoriyası (Malware Research Lab) zərərverici ekpertizasına fokuslanmış yeni – “Tusi Paleon” alətinin beta versiyasını istifadəyə verib.
Trend xəbər verir ki, bu barədə Dövlət Xidmətinin Kompüter İnsidentlərinə qarşı Mübarizə Mərkəzi məlumat yayıb.
Mərkəzin apardığı araşdırmala əsasən, kiberinsidentlər zamanı qarşılaşdığımız ən önəmli problemlərdən biri insidentin baş verdiyi əməliyyat sistemində zərərvericini aşkarlamaq üçün məlumat toplamağa çalışarkən istifadə etdiyimiz müxtəlif alətlər və yaşadığımız vaxt itkisidir. Belə ki, istifadə edilən müxtəlif alətlərin köməyi ilə sistem məlumatlarını toplamaq, onların təhlilini aparmaq, nəticə əldə etmək və əldə olunan nəticəni qarşı tərəfə (zərərçəkənə) raport etmək olduqca zəhmətli və vaxt tələb edən prosesdir. Həmçinin bəzən hər hansı məlumatı toplamaq istəyərkən eyni anda bir neçə alətin dəstəyini almaq müəyyən mənada çətinliklər yarada bilir.
“Laboratoriya olaraq məhz bu təcrübələrimizdən faydalanaraq bu tip insident araşdırmaları zamanı effektivliyi qoruyub saxlamaq məqsədilə “Tusi Paleon” adını verdiyimiz aləti hazırladıq. Əsas üstünlüyü kiberinsident zamanı tək bir alətin köməyi ilə zərərverici proqram izlərini daşıya biləcək potensial sistem artefaktlarını toplayaraq vahid baza içərisində saxlaya bilməsi (şifrələnmiş və sıxışdırılmış formatda) və bu əməliyyat zamanı vaxt itkisini minimuma endirə bilməsidir. Alətin bir digər müsbət tərəfi isə toplanan sistem artefaktlarının həcminin ənənəvi ekspertiza (forensics) alətlərinin topladığı məlumat həcmindən daha az olmasıdır. Çünki ənənəvi ekspertiza alətləri sistem məlumatlarını sərt disk və əməli yaddaşın bütünlüklə ehtiyat nüsxəsini çıxarmaqla və ya bütünlüklə təhlil etməklə toplayırlar. Bu tip metodlar günümüzdə hələ də effektiv olaraq istifadə edilsə də, sərt disk və əməli yaddaş həcmlərinin artması insident araşdırması zamanı əksər hallarda lazım olduğundan daha çox məlumat həcmi yaradır”, - deyə CERT-dən bildirilib.
Bundan əlavə olaraq bu tip məlumatları toplayarkən olduqca uzun vaxt itkisi yaşanır. Sözügedən problemləri və xüsusilə zərərvericilərin artan dinamikasını nəzərə almaqla, yeni məhsulların hazırlanması aktual məsələ olmuşdur. Paleon sərt diski və əməli yaddaşı bütünlüklə təhlil etmədən real vaxt rejimində sistem məlumatlarını toplayır. Daha sonra isə zərərverici proqram analitiki toplanan xam məlumat üzərində araşdırma apararaq zərərverici haqqında informasiya əldə etməyə çalışır.
“Tusi Paleon”u “malware forensics" aləti adlandırmağımızın ən önəmli səbəbi isə onun standart kiberekspertiza proqram təminatlarından ayıran əsas fərqin məhz zərərverici ekspertizasına fokuslanmasıdır.
“Tusi Paleon”un əsas məqsədi zərərverici analitikini minimum vaxt itkisi ilə hədəf sistemdə zərərvericini aşkarlaması üçün ona aid izləri daşıya biləcək məlumatlar ilə təmin etməsidir. Paleon əməliyyat sistemləri üçün rəsmi sertifikat ilə imzalanmış, icra edilə bilən fayl formatında gəlir. Paleon aşağıdakı əməliyyat sistemlərinin 32 və 64-bit arxitekturaya malik versiyalarında sınaqlardan uğurla keçib: Windows 7, Windows 10, Windows 11.
Qeyd edək ki, “Tusi Paleon” forensika üçün sistemdə zərərverici izləri daşıya biləcək kritik məlumatları toplayır. Bundan əlavə olaraq təkib kod təhlükəsizliyi üçün əsas icra edilə bilən fayl “proqram təminatının qorunması”sistemindən istifadə edir. Bunları nəzərə alaraq bəzi antivirus proqram həlləri Paleon alətinin təhlükəli olduğuna qərar verə bilər. Lakin alət quruma aid sertifikat tərəfindən imzalanmışdır və heç bir təhlükə daşımır.