تیمهای امنیتی در مواجه شدن با یک تهدید سایبری با یک سؤال مهم و اساسی روبهرو میشوند. اولین بار حمله از چه مکانی به وقوع پیوسته است؟ نزدیک به دو ماه از شناسایی و پیدایش باجافزار واناکرای میگذرد. در این مدت باجافزار فوق موفق شد به سامانههای کامپیوتری در 150 کشور جهان حمله و آنها را قربانی خود کند. در این مدت شرکتهای امنیتی و حتی نهادهای دولتی درباره توسعهدهندگان اصلی و مبدأ انتشار این باجافزار اقدام به انتشار گزارشهای مختلفی کردند. با وجود آنکه شرکتهای امنیتی در آن زمان تلاش کردند تا گزارشهای دقیقی در ارتباط با باجافزار فوق ارائه کنند، اما گزارشهای منتشر شده موفق نشدند به شرکتها و سازمانها بهمنظور مقابله با باجافزار فوق کمک چندانی کنند. همین موضوع نشان میدهد که هیچیک از تکنیکهای تحلیلی که برای آمادهسازی این گزارشها به کار گرفته شده بود، در عمل کارآمد نبودند و در زمان مناسب نیز منتشر نشدند. در نتیجه، شرکتهای بسیاری بهواسطه آلودگی متحمل خسارت شدند..
کارشناسان امنیتی سرانجام به این نتیجه رسیدند که برای انجام تحلیلهای پویای منابع مختلف مجبور هستند به طور دستی کدهای مخرب را مورد ارزیابی قرار دهند. همین موضوع باعث شد تا کارشناسان امنیتی در ارتباط با پیدا کردن سر نخهای اولیه در ارتباط با این باجافزار چند روز زمان از دست بدهند و جالبتر آنکه کارشناسان اعلام داشتند برای تحلیلهای قویتر و دقیقتر به هفتهها زمان نیاز دارند.
مشکلی که امروزه کارشناسان حوزه امنیت با آن دست به گریبان هستند این است که برای مقایسه هزاران نمونه کد مرتبط با انواع مختلفی از عاملهای مخرب به زمان نسبتاً زیادی نیاز دارند و الگوریتمهای یادگیری ماشینی نیز در این زمینه با محدودیتهای مختلفی روبهرو هستند. این مشکل از آن جهت به وجود آمده است که هر روزه بر تعداد بدافزارها افزوده میشود و هکرها با یک تغییر کوچک در کدهای یک بدافزار قادرند همه چیز را به کلی تغییر دهند. از طرفی، تحلیلهای پویا در مقطع زمانی فوق این توانایی را ندارند با گسترش روزافزون بدافزارها و تهدیدات خود را وفق دهند. به عبارت سادهتر، در این زمینه گسترشپذیر نیستند. گزارشی که بهتازگی از سوی مؤسسه AV-TEST منتشر شده است نشان میدهد این مؤسسه روزانه 390 هزار برنامه مخرب را شناسایی میکند. این رقم خیرهکننده نشان میدهد هر روزه شرایط بدتر از روز قبل میشود و تحلیلهای پویا این توانایی را ندارند تا در سریعترین زمان ممکن ریشه مشکلات و قطعات بدافزاری جدید را تشخیص دهند. بهرغم آنکه تحلیلهای پویا در بعضی شرایط این پتانسیل را دارند تا میزان تأثیرگذاری اجرای یک قطعه کد مخرب را بهصورت بیدرنگ ارزیابی کنند و نتیجه را اعلام دارند، اما با وجود ظهور فناوریهای تشخیصی همچون جعبه شنی و مکانیسمهای مشابه، تحلیلهای پویا به حاشیه رفتهاند.
از طرفی، با مقایسه و ارزیابی کدهای بدافزاری به دست آمده بهطور دقیق نمیتوان درباره عملکرد کدهای مخربی همچون باجافزارها با صراحت سخن گفت. بهواسطه آنکه باید از روشهای مختلفی برای ارزیابی کدها استفاده کنیم تا درنهایت به یک جمعبندی واحد برسیم. همچنین، تکنیک مقایسه درهمسازی (Hash) نیز همیشه راهگشا نیستند و هکرها در اغلب موارد از تکنیکهای چندریختی استفاده میکنند تا هر نمونه شناسایی شده از یک بدافزاری با مقادیر درهمسازی شده دیگر کاملاً متفاوت باشد.
تکنیک درهمسازی که این روزها بهشکل فزاینده از سوی کارشناسان امنیتی مورد استفاده قرار میگیرد، سعی میکند شباهتهای دو فایل باینری را مورد ارزیابی قرار دهد. اما مشکلی که در این بین وجود دارد این است که ابزارهای درهمسازی فازی همچون ssdeep یک فایل واحد را مورد بررسی قرار میدهند و این توانایی را ندارند تا شباهتهای موجود میان یک فایل با سایر فایلها را تشخیص دهند. اما کارشناسان حوزه امنیت اعلام داشتهاند این امکان وجود دارد تا راهکارهای درهمسازی فازی را بهمنظور پیدا کردن شباهتهای میان فایلها در سطوح جزئیتر و سطح پایینتری به کار گرفت. اگر چنین ایدهای محقق شود، گام مهمی در زمینه شناسایی نمونه کدهای مخرب برداشته خواهد شد. اگر از طریق تکنیک فوق بتوانیم به مقایسه تکههای مختلف یک بدافزار بپردازیم، این توانایی را به دست خواهیم آورد تا نمونه جدیدی از یک بدافزار را ایجاد و بهشکل دقیق و کارآمدی عملکرد یک بدافزار را درک کنیم. جالب آنکه از طریق تکنیک فوق میتوانیم چند ابزار ضدبدافزاری را با یکدیگر ادغام و ابزار قدرتمندتری را عرضه کنیم