CrowdInspect یک ابزار متمرکز رایگان از CrowdStrike است که برای سیستمهای Microsoft Windows، با هدف هشدار به کاربر در صورت وجود بدافزار احتمالی است که بر روی شبکه ی موجود بر کامپیوتر ارتباط برقرار مینماید. این یک ابزار بررسی فرآیند مبتنی بر Host میباشد که چندین پایگاه داده را، مشتمل بر (VirusTotal، Web of Trust (WOB و Malware Hash Registryی Team Cymru، به کار میگیرد تا فرآیندهای مخرب فعال شبکهای یا Untrusted را شناسایی نماید. CrowdInspect میتواند طی فرآیند مقابله به کار گرفته شود تا سریعا فرآیندهای مخرب احتمالی در حال اجرا روی یک ماشین را شناسایی نماید. این ابزار روی هردو نسخهی 32 بیت و 64 بیت Windows، از XP به بالا، اجرا میگردد.
CrowdInspect، افزون بر اتصالهای سادهی شبکهای، رکوردهای اتصال (Connection Entry) را با فرآیندی که مسئول آن فعالیت است، همراه میسازد. این ابزار میتواند نام فرآیند را به عنوان یک اسم فایل ساده یا به عنوان یک مسیر فایل کامل اختیاری، نمایش دهد. علاوه بر نام فرآیند، شمارهی IDی فرآیند رکوردها، پورت Local، IPی Local، پورت Remote، IPی Remote و نام Resolved DNS معکوس IPی Remote نیز نمایش داده میشوند. این ابزار با هردو آدرس IPv4 و IPv6 وفق پیدا میکند.
CrowdInspect جزئیات هر رکوردی را که با یک IPی Remote همراه باشد و لیستی به ترتیب زمانی از این موارد در دسترس را نگهداری کند، از طریق کلیک بر دکمهی Toolbar Live/History ثبت مینماید تا بین پنجرهی Netstat نمایش Live و پنجرهی لیست History سوئیچ کند.
با این حال شاید مفیدترین جنبهی CrowdInspect، قابلیت آن برای به کارگیری چندین منبع اطلاعاتی قابل استفاده برای تعیین Reputation فرآیندی که از اتصال شبکهای استفاده میکند و Reputation دامینی که به آن متصل میگردد، باشد. این امر میتواند با استفاده از تکنولوژیها و سرویسهای ذیل حصول گردد:
شناسایی Thread Injection
شناسایی Injection کد با استفاده از کد اختصاصی سفارشی صورت میپذیرد که بسیاری از بخشهای بدافزار با دستکاری برنامههای کاربردی در حال اجرا و Inject نمودن خود به آن فرآیندها، به بخشی از هدف خود دست مییابند. محصولات آنتیویروس معمولی که تنها بر طبق محتوای فایل فیزیکی موجود عمل میکنند، این رفتار را شناسایی نخواهند کرد. CrowdInspect ویژگی شناسایی آزمایشی چنین رفتاری را دارد و نتایج این تست بر روی هر فرآیند در ستون «Inject» قابل مشاهده است.
(o Gray icon)—
- غیرقابل اجرا/غیرقابل دسترس. هیچ فرآیندی قابل تست شدن نیست.
?? (o Gray icon)
- این فرآیند اجازه ی تست برای Injection کد ندادهاست.
(OK (o Green
- این فرآیند ظاهرا نشانی از Thread Injection نداشت.
!! (o Red icon)
- این رکوردها ظاهرا در فرآیند خود یک Thread Injection داشتند. در کل این چیز خوبی نیست، یا چیزی نیست که معمولا به تعداد زیاد با آن مواجه شوند. قابل توجه است که ممکن است برخی Classهای نرمافزار ویژه وجود داشته باشند که این رفتار را نشان میدهند. این فرآیند/برنامهی کاربردی باید بعدا مورد بررسی قرار گیرد.
سرویس VirusTotal
نتایج آنالیز چندگانهی موتور جستجوی آنتیویروس به وسیلهی Hash فایل SHA256 است و خلاصهی ابتدایی جستجو در سرویس VirusTotal برای فایل مورد بررسی (SHA256 hash محتوای فایل) در ستون «VT» ابزار به نمایش گذاشته شده است. VirusTotal چندین موتور آنتیویروس را به کار میگیرد تا فایلهای عرضه شده را تجزیه و تحلیل نماید و دیتابیس آن جهت مشاهدهی این که آیا Hash فایل در دیتابیس است یا خیر و چگونگی برآورد موتورهای آنتیویروس در صورتی که Hash فایل در دیتابیس باشد، جستجو میشود. ارزیابی مذکور میتواند یکی از موارد زیر باشد:
(o Gray icon)—
- غیرقابل اجرا/غیرقابل دسترس. هیچ اتصالی به دیتابیس VirusTotal صورت نگرفته است، یا فرآیند با فایلی همراه نیست.
?? (o Gray icon)
- رکوردها در دیتابیس VirusTotal نیستند، که میتواند نشانهی خوبی باشد.
0% … 100% (o Green … o Red icons)
- فایل برای دیتابیس VirusTotal شناختهشده است، و این امتیاز ویروس میباشد. 0% بدین معناست که هیچ Vendor آنتیویروسی، مشکلی در ارتباط با آن فایل گزارش نکرده است (بسیار خوب است). 100% نیز بدین معناست که تمام Vendorهای آنتیویروس، آن فایل را مشکلدار گزارش نمودهاند (به هیچ عنوان خوب نیست).
جزئیات گستردهتر برای رکوردهای منتخب مخصوص در لیست، یا از طریق کلیک کردن بر دکمهی Toolbar AV Results یا از طریق انتخاب «View AV Test Results» از منوی ساختار راست کلیک مربوط به مورد منتخب، قابل مشاهده است.
قابل توجه است که قبل از نمایش نتایج هر رکورد در لیست، به دلیل برآورد جلوگیری از اتصالات به سرویس، ممکن است اندکی زمان ببرد.
Team Cymru – منبع Hash بدافزار
منبع بدافزار شناخته شده توسط Hash فایل MD5 میباشد. همانگونه که در ستون «MHR» نمایش داده شدهاست، Team Cymru از یک بانک اطلاعاتی شامل بدافزارهای شناختهشده نگهداری مینماید که میتواند با دادن یک Hash محتوای فایل MD5، جستجو شود. در این مورد، صرفا برای یک پاسخ بله/خیر Query صورت میگیرد تا نتیجه به صورت یکی از موارد ذیل به دست آید:
(o Gray icon) —
- غیرقابل اجرا/غیرقابل دسترس. هیچ پاسخی از سرویس Team Cymru دریافت نگردید، یا فرآیند با فایلی همراه نیست.
?? (o Gray icon)
- رکوردها در دیتابیس MHR نیستند. این مورد احتمالا خوب باشد، هرچند که نبود یک پاسخ مثبت لزوما بدین معنا نیست که فرآیند، بدافزار نیست.
!! (o Red icon)
- رکوردها قطعا در دیتابیس MHR حضور دارند. فرآیند به عنوان بدافزار شناخته شدهاست و این خوب نیست.
Web of Trust
سیستم Reputation نام دامین با منبع Crowd کار میکند و در ستون «WOT» ابزار، نتایج خلاصه ی ابتدایی Query کردن سرویس Web of Trust در مقابل نام دامین Resolveشدهی معکوس (Reverse) همراه با IPی Remote رکوردهای اتصال نشان داده شدهاست. این ارزیابی میتواند به صورت یکی از موارد زیر باشد:
(o Gray icon)—
- غیرقابل اجرا/غیرقابل دسترس. هیچ اتصالی به دیتابیس WOT صورت نگرفتهاست، یا IPی Remote رکوردها، نام دامین معتبر و قابل استفادهای همراه خود ندارد.
?? (o Gray icon)
- رکوردها در دیتابیس WOT نیستند.
0% … 100% (o Red … o Green icons)
- امتیاز Reputation مربوط به WOT. 0% بدین معناست که تمام کسانی که به این دامین امتیاز دادهاند، گمان میکنند غیرقابل اطمینان است. منظور از 100% این است که تمام کسانی که این دامین را برآورد نمودهاند، گمان میکنند که این قابل Repute و قابل اطمینان است.
جهت پیشگیری از Queryی بیهودهی سرویسهای مذکور، تمام نتایج طوری Cache شدهاند که هیچ دامین یا فرآیند خاصی در طول مدت اجرای ابزار، بیش از یک بار Query نگردد. تصاویر پایین نشان میدهند که چگونه میتوان از ویژگیهای فراوان این ابزار استفاده نمود. پنجره ی Live اصلی ابزار CrowdInspect که کاربرد Toolbar را نشان میدهد:
پنجرهی Historyی ابزار CrowdInspect که رکوردی با ترتیب زمانی از اتصالات و منوی ساختار را نشان میدهد:
CrowdInspect که نتایج AVی باجزئیات را برای مورد منتخب نشان میدهد:
