بلک هت 2019؛ بروزرسانی ابزار مهندسی معکوس NSA
به گزارش کارگروه فناوری اطلاعات سایبربان؛ آژانس امنیت ملی آمریکا (NSA)، در اوایل سال 2019، گیدرا (Ghidra)، نرمافزار مهندسی معکوس بدافزار خود را به صورت منبع باز منتشر کرد. از آن زمان تاکنون این برنامه به صورت منظم و همچنین با توجه به درخواستهای کاربران در حال بروزرسانی شدن است.
برایان نایتون (Brian Knighton)، محقق ارشد آژانس امنیت ملی و کریس دلیکات (Chris Delikat)، رهبر گروه سایبری در « Research Directorate»، در زمان برگزاری اجلاس بلک هت 2019 (Black Hat 2019)، اعلام شد در طی چند ماه آینده یک بروزرسانی برای گیدرا عرضه میشود که امکان پشتیبانی از اندروید را به آن میدهد.
پیش از انتشار بروزرسانی مذکور، نسخهی 9.1 گیدرا ویژگیهای جدیدی را برای افزایش دقت و کاهش زمان موردنیاز مهندسی معکوس بدافزار دریافت میکند.
نایتون و دلیکات توضیح دادند از زمان عرضهی گیدرا، کاربران 150 پیشنهاد مختلف را در زمینهی بهبود آن ارائه دادند؛ اما تنها 110 عدد آنها پذیرفته و اعمال شد؛ زیرا تعدادی از آنها باعث کند شدن گیدرا یا حتی تضعیف عملکرد در مهندسی معکوس میشدند.
کارشناسان توضیح دادند، گیدرا تاکنون بیش از 500 هزار مرتبه دانلود شده است. همچنین میتوان به بیش از 760 هزار مرتبه دریافت ویدئوهایی آموزشی استفاده از فریمورک آن اشاره کرد.
مقامات مذکور توضیح دادند، در نسخههایی که به صورت جداگانه پس از عرضه بروزرسانی 9.1 منتشر میشود؛ امکان کار روی نسخههای جدیدیتر اندروید فراهم میآید. گیدرا هماکنون نیز میتواند فایلهای اجرایی نسخههای قدیمی اندروید یا بدافزارهایی که از فرمت «DEX» بهره میگیرند، بررسی کند؛ اما قابل فایلهای اجرایی در نسخههای جدیدتر این سیستمعامل تغییر کردهاند.
پس از انتشار اندروید 5، دستگاهها از فرمت باینری لینوکس –ELF- بهره میگیرند. گیدرا برای تحلیل این دسته از فایل با چالش بیشتری روبهرو است.
همچنین اعلام شد به زودی یک دیباگر (Debugger) برای گیدرا عرضه خواهد شد. این دیباگر حجم بیشتری از اطلاعات یک بدافزار را در اختیار کاربران قرار میدهد. از طرفی به کمک آن امکان تحلیل پویای نرمافزار مخرب را فراهم میکند. به این معنی که مصرفکننده میتواند کدهای مخرب را در یک محیط کنترل شده اجرا کرده و به صورت زمان واقعی، تأثیر آن را مشاهده کند. این در حالی است که هماکنون کاربران تنها به بستر تحلیل ایستا دسترسی دارند.
