همانطور که از اسم این تهدیدپیداست، evasive malware)بدافزار گریزنده( به هر نوع بدافزاری گفته می‌شود که توسط نرم‌افزار آنتی‌ویروس، EDR (endpoint detection and response)وXDRs (Extended Detection and Response solutions), و سایر راه حل های امنیت سایبری قابل شناسایی نمیباشد. یک Evasive malware این کار را با استفاده از تاکتیک‌های مختلف مانند گریز از Sandbox ، process injection ، time-based evasion ،Office macros،  obfuscationو بسیاری دیگر انجام می‌دهد.

بسته به "actions on objectives" یا هدف اصلی یک بدافزار - چه سرقت داده، خرابکاری، رمزگذاری و غیره - یک بدافزار ممکن است چند ثانیه یا چند ماه طول بکشد تا به هر کاری که برای آن برنامه ریزی شده است برسد. صرف نظر از اینکه آن هدف چیست، تکمیل آن به زمان نیاز دارد. بنابراین، هر چه بدافزار بیشتر بتواند زیر رادار بماند، شانس آن برای دستیابی به آن هدف بیشتر است. به همین دلیل است که تاکتیک های گریز بسیار مهلک هستند. آنها به بدافزارها اجازه می دهند زمان کافی برای تکمیل هدف خود بخرند. مهم نیست که راه حل های امنیت سایبری شما در از بین بردن تهدیدات چقدر خوب هستند، اگر نتوانند به موقع آن تهدیدها را شناسایی کنند، سازمان شما آسیب قابل توجهی خواهد دید. به عنوان مثال، اگر اقدامات بدافزار بر روی اهداف، سرقت داده‌های شخصی باشد، ممکن است در نهایت با یک شکایت و نقض جریمه داده‌ها در دستان خود قرار بگیرید.

تاکتیک های متداول Evasive که توسط بدافزار استفاده می شود:

گریز از Sandbox:

رایج ترین تاکتیک گریز از Sandbox می باشد. در زمینه شناسایی بدافزار، sandbox نوعی محل نگهداری جدا شده برای فایل‌های ناشناخته است که به تازگی وارد سیستم شده‌اند. Sandbox به عنوان یکی از راه حل های امنیت سایبری استفاده می شود. Sandbox نرم افزار ناشناخته را که در آنجا قرار می دهند را از نظر نشانه های رفتار مخرب, تجزیه و تحلیل می کند. اگر نرم افزار مورد نظر رفتار مخربی از خود نشان دهد، بدافزار محسوب می شود و اقدامات مناسب (مانند حذف فایل، قرنطینه و غیره)روی آن انجام می شود.

در حالی که Sandbox به خوبی در برابر بدافزارهای معمولی کار می‌کنند، اما در برابر انواع بدافزار با قابلیت فرار از Sandbox بی‌اثر هست. یک Evasive Malware می‌تواند محیط اطراف خود را برای نشانه‌هایی از Sandbox اسکن کند و در حالت Sleep قرار بگیرد تا زمانی که Sandbox تمام شود. یک فایل را نمی توان برای همیشه در sandbox نگه داشت زیرا همیشه فایل های دیگری برای تجزیه و تحلیل وجود دارد. بنابراین، هنگامی که یک Sandbox برای یک Evasive Malware پایان می‌یابد، آن بدافزار می‌تواند از حالتSleep خارج شده و حمله خود را اجرا کند.

Obfuscation (مبهم سازی): مبهم سازی(Obfuscation) یک evasion tactic است که بدافزار از آن برای مقابله با شناسایی signature-based malware استفاده می کند. در تشخیص signature-based malware (که نوعی تشخیص نرم افزار آنتی ویروس سنتی است که در گذشته استفاده می شد)، یک نرم افزار ضد بدافزار امضای یک فایل ناشناخته را با امضاهای بدافزار شناخته شده در پایگاه داده خود مقایسه می کند. اگر یک امضا مطابقت داشته باشد، آن فایل ناشناخته بدافزار محسوب می شود. بدافزارهای گریزنده که از مبهم سازی استفاده می کنند، محتویات یا ساختار فایل خود را تغییر می دهند (یعنی از طریق رمزگذاری، بسته بندی، کدگذاری و غیره) تا با راه حل های Anti Malware مبتنی بر امضا غیرقابل شناسایی شوند. وقتی این راه حل ها یک فایل مخرب ناشناس را اسکن می کنند، نمی توانند فایل را به عنوان بدافزار تشخیص دهند.

نکاتی برای مقابله با Evasive Malware

در حالی که شناسایی Evasive Malwareسخت است، اما کاملاً غیر ممکن نیست. در اینجا برخی از کارهایی که می توانید برای جلوگیری Evasive Malware در سیستم های خود انجام دهیدرا می توانید ببینید:

patch management:

ممکن است که این کلیشه ای به نظر برسد، اما Patch در واقع می تواند خطر ابتلا به یک بدافزار را کاهش دهد. بله، حتی اگر با Evasive Malware سر و کار دارید. قبل از اینکه هر نوع بدافزاری بتواند سیستم شما را آلوده کند، به راهی برای رسیدن به آن نیاز دارد - به عنوان مثال، یک تروجان ارسال شده از طریق ایمیل،از طریق مهندسی اجتماعی، فیشینگ ویا یک آسیب‌ پذیری مورد سوء استفاده در نرم‌افزار Unpatched.

با پچ کردن سیستم های خود، می توانید از نفوذ Evasive Malware به سیستم خود از طریق Exploit های آسیب پذیری جلوگیری کنید.

استخدام یک ارائه دهنده خدمات پشتیبانی فناوری اطلاعات با تخصص امنیت سایبری:

برخی از سازمان ها استعداد داخلی برای استقرار، پیکربندی و مدیریت راه حل امنیت سایبری را ندارند. به عنوان مثال، کسب و کارهای کوچک معمولاً تیم های اختصاصی فناوری اطلاعات برای شروع ندارند. اگر در چنین موقعیتی هستید، می توانید یک ارائه دهنده پشتیبانی فناوری اطلاعات(IT Support) با خدمات امنیت سایبری برای کمک به شما استخدام کنید. ارائه دهنده مناسب می تواند مسئولیت انتخاب راه حل مناسب و همچنین استقرار و مدیریت آن را بر عهده بگیرد. ارائه‌دهنده پشتیبانی مناسب حتی می‌تواند راهنمایی تکمیلی برای مقابله با Evasive Malware ارائه دهد.

استفاده از تحلیل مجازی هدفمند:

برای شناسایی بدافزارهایEvasive Malware، از یک محیط تحلیل مجازی ساخته شده استفاده کنید که دارای یک Hipervisor و شبیه ساز منحصر به فرد است که به منبع Open source یا نرم افزار اختصاصی متکی نیست. این محیط نباید ویژگی هایی را نشان دهد که به مهاجم نشان دهد که آنها شناسایی شده اند یا رفتار بدافزار مشاهده شده است.