دانلود کتاب آموزشی GREM (GIAC Reverse Engineering Malware) جلد دوم

بخش 6. مهندسی معکوس در سطح شبکه

فصل 1. اصول اولیه تحلیل شبکه‌ای بدافزارها

• مفاهیم پایه لایه‌های OSI و TCP/IP در تحلیل بدافزار

• تفاوت رفتار شبکه‌ای نرمال و مخرب

• مروری بر ساختار پکت‌ها (Header Analysis: IP, TCP, UDP, DNS, HTTP)

• معرفی ابزارهای پایه مانند Wireshark، Tshark و tcpdump

فصل 2. شناسایی ترافیک C2 (Command and Control)

• بررسی الگوهای ارتباطی C2: HTTP/S، DNS، FTP، IRC، TCP Custom Ports

• تحلیل Beaconing (ارتباط زمان‌بندی‌شده)

• بررسی روش‌های ارتباط مخفیانه و رمزنگاری‌شده

• تشخیص رفتارهای ثابت، دوره‌ای، یا داینامیک در ارتباطات

فصل 3. تحلیل فایل‌های PCAP در محیط‌های ایزوله

• بررسی ترافیک‌های ضبط‌شده (PCAP) از اجرای بدافزار در Sandbox

• استفاده از Wireshark برای فیلترگذاری و شناسایی الگوهای خاص

• استخراج فایل‌ها، رشته‌ها و Payloadها از PCAP

• تطبیق ترافیک با تهدیدات شناخته‌شده با ابزارهایی مانند Suricata یا Zeek

فصل 4. استفاده از ابزارهای تحلیل ترافیک پیشرفته

• بررسی دقیق رفتار شبکه‌ای با Zeek (Bro)

• ایجاد اسکریپت‌های تحلیل‌گر سفارشی برای شناسایی الگوهای بدافزار

• شناسایی امضای شبکه‌ای بدافزار (Network IoCs)

• مقایسه رفتار بدافزار در شبکه واقعی و شبیه‌سازی‌شده

فصل 5. تحلیل بدافزارهای مبتنی بر DNS

• بررسی بدافزارهایی با استفاده از DNS Tunneling

• شناسایی subdomainهای مشکوک و الگوهای رمزگذاری‌شده

• تحلیل رفتار بدافزارهایی که از DNS به عنوان C2 استفاده می‌کنند

• ابزارهای تحلیل DNS مانند DNSChef، dnscat2، و PassiveDNS

فصل 6. رمزگشایی ترافیک رمزگذاری‌شده توسط بدافزار

• شناسایی استفاده بدافزار از TLS/SSL در ارتباطات

• استخراج کلیدهای TLS از حافظه (با ابزارهایی مانند Wireshark + SSLKEYLOGFILE)

• بررسی خودکارسازی در رمزگشایی Sessionهای HTTPS

• تکنیک‌های تحلیل زمانی و الگوهای رمزنگاری سفارشی توسط بدافزار

فصل 7. شبیه‌سازی رفتار شبکه‌ای بدافزار

• راه‌اندازی محیط‌های مجازی برای تست و Capture

• ابزارهای شبیه‌سازی سرویس‌های C2 مانند FakeNet-NG و INetSim

• ایجاد پاسخ‌های جعلی برای تحلیل واکنش بدافزار

• ثبت رفتارهای شبکه‌ای در تعامل با سرورهای ساختگی

فصل 8. استخراج Indicators of Compromise (IoCs)

• شناسایی دامنه‌ها، IPها، مسیرهای URL، Hash فایل‌ها

• بررسی محتوای HTTP Request/Response

• تحلیل الگوهای پکت‌سازی و فرمت‌های اختصاصی بدافزار

• مستندسازی IoCها برای استفاده در سیستم‌های SIEM یا Threat Intel

فصل 9. تحلیل پروتکل‌های خاص و سفارشی

• بررسی بدافزارهایی که از پروتکل‌های اختصاصی استفاده می‌کنند

• شناسایی رفتارهای پنهان در FTP، SMTP، SMB یا حتی Raw TCP/UDP

• تکنیک‌های Parsing و رمزگشایی فرمت‌های خاص در شبکه

• تحلیل C2هایی که از لایه‌های بالاتر (Application Layer) بهره می‌برند

فصل 10. مقابله و تشخیص پیشرفته در سطح شبکه

• استفاده از NIDS/NIPS برای شناسایی بدافزار

• تنظیم سناریوهای شبیه‌سازی‌شده در محیط تست

• مقایسه داده‌های شناسایی‌شده با Threat Intelligence

• ایجاد Rule سفارشی برای Snort و Suricata برای شناسایی نمونه‌ها

بخش 7. تکنیک‌ها و ابزارهای پیشرفته در مهندسی معکوس بدافزار

فصل 1. تکنیک‌های ضد تحلیل (Anti-Analysis Techniques)

• شناسایی روش‌های متداول ضد دیباگ (Anti-Debugging)

  • استفاده از IsDebuggerPresent، CheckRemoteDebuggerPresent، NtQueryInformationProcess

  • تکنیک‌های نرم‌افزاری: INT 3، Exceptions، Timing Checks

• تکنیک‌های ضد ماشین مجازی (Anti-VM)

  • شناسایی محیط‌های VirtualBox، VMware، QEMU

  • بررسی MAC Address، Registry Keys، Driver Names

• تکنیک‌های ضد سندباکس (Anti-Sandbox)

  • تأخیر زمان اجرا، بررسی تعامل کاربر، چک‌کردن تعداد پردازش‌ها

فصل 2. تحلیل و حذف موانع رمزنگاری و فشرده‌سازی

• شناسایی و جداسازی لایه‌های Obfuscation و Packing

  • ابزارهای تشخیص Packer: PEiD، Exeinfo PE

  • تکنیک‌های دستی و خودکار برای Unpacking

• بررسی الگوریتم‌های رمزنگاری رایج در بدافزارها

  • XOR، Base64، RC4، AES

• استخراج کلید رمزگذاری از حافظه یا کد برنامه

  • استفاده از x64dbg، Ghidra و dump memory

فصل 3. تحلیل Shellcode و کدهای رمزگذاری‌شده

• شناسایی و استخراج Shellcode از فایل‌های اجرایی

• شبیه‌سازی Shellcode با استفاده از ابزارهایی مانند:

  • CyberChef، scdbg، emu8051

• بازسازی توابع API در Shellcode با استفاده از disassembler

• تحلیل رفتارهای Post-exploitation در Shellcode

فصل 4. تکنیک‌های پیچیده‌تر برای تحلیل Dynamic

• استفاده از breakpointهای مشروط برای بازرسی کد رمزنگاری‌شده

• تعقیب flow کد در صورت اجرای مشروط

• تعامل با حافظه در زمان اجرا و استخراج پارامترها

• بررسی تکنیک‌های Sleep Skipping و اجرای تأخیری (Time Bombs)

فصل 5. تحلیل Dropperها، Loaderها و Multi-Stage Payloads

• شناسایی Dropperهایی که بدافزار را از راه دور دریافت می‌کنند

• تحلیل لودرهای فایل اجرایی یا DLLهای مخرب

• بررسی مکانیزم رمزگشایی و بارگذاری مرحله‌ای

• بازسازی رفتار کامل با استفاده از تحلیل حافظه و دیباگر

فصل 6. بررسی تکنیک‌های Injection و Code Hooking

• تحلیل روش‌های DLL Injection (CreateRemoteThread، SetWindowsHookEx)

• بررسی Code Caveها و روش‌های Code Replacement

• استفاده از ابزارهایی مانند API Monitor برای بررسی رفتار Hook

• تحلیل Inline Hook، Import Address Table (IAT) Hooking و EAT Hooking

فصل 7. تحلیل بدافزارهای Fileless و در حافظه

• بررسی بدافزارهایی که در دیسک ذخیره نمی‌شوند

• تحلیل رفتار در حافظه با Volatility و Rekall

• Dump کردن حافظه و بازیابی کد اجرایی

• بررسی رفتارهای PowerShell-Based Malware و WMI Malware

فصل 8. ابزارهای تخصصی در تحلیل پیشرفته

• PE-sieve و Hollows Hunter برای تحلیل فرآیندهای تزریق‌شده

• Mal unpacker برای استخراج فایل‌های درون Dropper

• CAPA (by Mandiant) برای شناسایی قابلیت‌های بدافزار

• Flare-VM: پکیج حرفه‌ای ابزارهای مهندسی معکوس

• scdbg برای اجرای مستقیم Shellcode در محیط ایزوله

فصل 9. شبیه‌سازی محیط‌های تحلیل پیشرفته

• ایجاد Sandboxهای چند مرحله‌ای برای تحلیل پیچیده

• استفاده از Sysmon + Logstash برای رصد رفتار بدافزار

• ترکیب x64dbg + Wireshark + Process Monitor برای تحلیل Real-time

• اسکریپت‌نویسی تحلیل رفتاری با Python و APIهای دیباگینگ

بخش 8. مقابله با تهدیدات جدید و تکنیک‌های پیشرفته

فصل 1. تهدیدات نوظهور در بدافزارهای نسل جدید

• معرفی بدافزارهای بدون فایل (Fileless Malware)

• حملات Living off the Land (LotL) و سوءاستفاده از ابزارهای بومی سیستم (مثل powershell.exe, wmic.exe)

• بدافزارهای مبتنی بر ماکرو (Macro Malware) و DDE attacks در اسناد آفیس

• استفاده از خدمات ابری و CDN برای میزبانی payload (بدافزار در GitHub, Dropbox, Pastebin)

• مهاجرت به زیرساخت‌های رمزنگاری‌شده (TLS/HTTPS-based C2)

فصل 2. تکنیک‌های پیشرفته در حملات بدافزاری

• Steganography در بدافزارها (پنهان‌سازی کد یا دستورها در تصاویر و فایل‌های رسانه‌ای)

• Process Hollowing، DLL Sideloading، و Reflective DLL Injection

• استفاده از Signed Binary ها (LOLBins) برای اجرای کد بدون شناسایی

• Code Virtualization و Obfuscation برای فرار از تحلیل باینری

• استفاده از توکن‌ها و بای‌پس UAC برای دسترسی‌های بالا

فصل 3. بدافزارهای ترکیبی (Hybrid Malware)

• معرفی بدافزارهایی با چند مرحله اجرای پویا (Dropper + Downloader + Infostealer)

• رفتارهای چندگانه در زمان اجرا بسته به محیط (sandbox-aware behavior)

• استفاده از تکنیک‌های Multi-architecture (مثلاً ترکیب Shellcodeهای ARM و x86)

• بررسی خانواده‌هایی مانند Emotet، Trickbot، Qakbot و رفتار ترکیبی آن‌ها

فصل 4. مقابله با تکنیک‌های ضد تحلیل (Anti-Analysis Evasion)

• Anti-VM، Anti-Sandbox، Anti-Debugging و Anti-Decompilation

• بررسی متدهای تشخیص محیط مجازی توسط بدافزار (MAC Address، Hardware ID، Registry)

• کدهای زمان‌بندی‌شده و تأخیری برای بای‌پس Sandboxing

• بررسی ساختارهای پیچیده API Call Indirection و Dynamic API Resolution

• تکنیک‌های مقابله با String Obfuscation و رمزنگاری داخل کد

فصل 5. تحلیل تکنیک‌های پیشرفته رمزنگاری در بدافزارها

• تحلیل رمزنگاری سفارشی‌شده توسط بدافزارها (Custom XOR Loops، Substitution Tables)

• استفاده از کتابخانه‌های رمزنگاری مشروع (CryptoAPI، OpenSSL) برای رمزگذاری فایل‌ها یا ارتباطات

• بررسی رفتار C2 های رمزگذاری‌شده (HTTPS، DNS over HTTPS، Tor Protocols)

• استخراج کلیدهای رمز در زمان اجرا با استفاده از حافظه (Memory Dump)

فصل 6. تهدیدات سطح بالا در سیستم‌عامل و شبکه

• بدافزارهای Kernel-level و Rootkits پیشرفته

• بدافزارهای درون BIOS/UEFI یا Firmware

• حملات Supply Chain و استفاده از به‌روزرسانی‌های آلوده

• بدافزارهای مبتنی بر شبکه‌های صنعتی و SCADA (مثل Stuxnet)

فصل 7. بررسی APTها و بدافزارهای پیشرفته‌ سازمانی

• تحلیل تاکتیک‌ها، تکنیک‌ها و روندهای گروه‌های APT (مثل APT29، APT41، Lazarus)

• بررسی نمونه‌های واقعی بدافزارهای مورد استفاده در حملات هدفمند سازمانی

• استفاده از منابع Threat Intelligence برای تشخیص نشانه‌های APT

فصل 8. دفاع فعال و شناسایی تهدیدات پیشرفته

• استفاده از YARA Rules برای شناسایی بدافزارهای پیشرفته

• استخراج IoCها از بدافزارهای Obfuscated

• پیاده‌سازی تحلیل مبتنی بر حافظه (Memory Forensics با Volatility)

• بررسی رفتارهای پیشرفته در زمان اجرا و استفاده از ابزارهایی مانند Sysmon + Sigma Rules

بخش 9. تحلیل و گزارش‌دهی نهایی

فصل 1. فرآیند نهایی‌سازی تحلیل بدافزار

• مرور گام‌به‌گام تحلیل انجام‌شده (Static، Dynamic، Behavioral، Network)

• تأیید فرضیات اولیه و مستندسازی تغییرات در فرضیه

• جمع‌آوری و تأیید نهایی شواهد و یافته‌ها

• تعیین هدف نهایی تحلیل (شناسایی رفتار، استخراج IoC، ردیابی C2 و غیره)

فصل 2. استخراج Indicators of Compromise (IoCs)

• تعریف و اهمیت IoC در تحلیل و پاسخ به حادثه

• انواع IoCها:

  • هش‌ها (MD5/SHA1/SHA256)

  • مسیرها و فایل‌های مخرب

  • آدرس‌های IP و دامنه‌های C2

  • Registry Keyها و Named Pipeها

  • امضاهای شبکه‌ای (Snort/YARA signatures)

• استفاده از ابزارهایی مانند IOCextractor، IOC Finder، STIX

فصل 3. مستندسازی فنی تحلیل

• قالب مستندسازی فنی تحلیل بدافزار

• ساختار گزارش فنی:

  • خلاصه اجرایی (Executive Summary)

  • نمای کلی فایل مخرب

  • رفتار فایل در سیستم و شبکه

  • توصیف دقیق عملکرد کد

  • تحلیل دقیق توابع مشکوک و رمزنگاری‌شده

• درج تصاویر گراف‌های فراخوانی (Call Graphs)، تحلیل‌های Assembly و جدول IoC

فصل 4. نگارش گزارش مدیریتی برای تیم‌های امنیتی

• تفاوت گزارش فنی با گزارش مدیریتی (Non-Technical Audience)

• خلاصه‌سازی مؤثر تهدید و تأثیر آن بر سازمان

• توصیه‌های امنیتی عملیاتی (Operational Recommendations)

• ارائه اولویت‌بندی ریسک‌ها و روش مقابله با آن‌ها

• استفاده از استانداردهای زبان ساده و قابل فهم برای مدیران

فصل 5. ساختار گزارش جامع تحلیل بدافزار

• معرفی و مشخصات اولیه بدافزار

• متدولوژی تحلیل

• تحلیل فایل (Static Analysis Summary)

• تحلیل رفتاری (Behavioral Summary)

• تحلیل شبکه (Network Indicators)

• تحلیل پویای عمیق (Code-level Findings)

• IoC و Signatureها

• نتیجه‌گیری و پیشنهادات امنیتی

فصل 6. طراحی Signatureهای سفارشی (YARA, Snort)

• تعریف و نوشتن Ruleهای YARA برای کشف نمونه‌های مشابه

• استفاده از اطلاعات استخراج‌شده برای ساخت Rule دقیق

• تست و اعتبارسنجی Rule روی نمونه‌های دیگر

• نوشتن Ruleهای Snort/Suricata برای شناسایی فعالیت شبکه‌ای بدافزار

فصل 7. ثبت مستندات و آماده‌سازی برای اشتراک‌گذاری اطلاعات

• استفاده از فرمت‌های STIX، TAXII، OpenIOC برای تبادل ساختاریافته اطلاعات تهدید

• آماده‌سازی فایل IOC برای اشتراک با تیم‌های IR و Threat Intelligence

• ذخیره گزارش در سیستم مدیریت حادثه (SIEM یا Ticketing System)

• نگهداری آرشیو دقیق برای مراجعات قانونی یا تکرار حمله مشابه

فصل 8. آماده‌سازی برای ارائه شفاهی گزارش (Threat Briefing)

• نکات کلیدی در ارائه یافته‌ها به تیم امنیت و مدیریت

• ساختار یک پرزنتیشن حرفه‌ای برای تحلیل بدافزار

• تمرین دفاع از یافته‌ها در مواجهه با چالش‌های احتمالی

• استفاده از نمودار، گراف و توالی زمانی برای شفاف‌سازی فرآیند حمله

اهداف دوره:

• درک عمیق از نحوه عملکرد بدافزارها و روش‌های شبیه‌سازی آن‌ها
• تسلط بر ابزارهای مهندسی معکوس و تحلیل کدهای باینری
• تقویت مهارت‌ها در شناسایی و تحلیل تهدیدات سایبری پیچیده
• توانایی ایجاد راهکارهای امنیتی برای مقابله با حملات مخرب
• توانایی مستندسازی و گزارش‌دهی نتایج تحلیل‌ها به صورت حرفه‌ای

این دوره به شما کمک می‌کند تا مهارت‌های مهندسی معکوس بدافزارها را به دست آورید و در نهایت برای دریافت گواهینامه GREM آماده شوید که در صنعت امنیت سایبری به عنوان یک مدرک معتبر شناخته می‌شود.