پلتفرم تحلیل بدافزار بیتبان
در شانزدهمین دوره جشنواره وب و موبایل ایران در گروه
خدمات مربوط به کسب و کار ها
قرار گرفته است.
من به این اثر رای میدهم
پلتفرم تحلیل بدافزار بیتبان BITBAAN MALWARE ANALYSIS PLATFORM
اطلاعات تکمیلی
*خلاصه اثر:
پلتفرم تحلیل بدافزار بیتبان، نخستین پلتفرم تحلیل بدافزار است که توسط شرکت دانشبنیان بیتبان در مرکز فناوریهای پیشرفتهی دانشگاه صنعتی شریف تولید شده است. این پلتفرم از آدرس MALab.bitbaan.com یا MALab.ir قابل مشاهده است. این پلتفرم فایل را در سطوح مختلف از لحاظ ماهیت فایل (بدافزار یا سالمبودن) مورد ارزیابی و تحلیل قرار میدهد. بخش اصلی پلتفرم، هستهی آن است که شامل پنج زیرسامانه ضدبدافزار مرکب (MultiAV)، تحلیل ایستا (Static Analysis)، تحلیل پویا (Dynamic Analysis)، تحلیل تخصصی دستی (Expert Analysis)، و شناسایی منشاء انتشار بدافزار (Malware Origins) است.
در بخش ضدویروس مرکب (MultiAV) یک فایل توسط ابزارهای ضدبدافزار مختلف مورد تحلیل و بررسی قرار میگیرد. یکی از مشکلات موجود در این بخش تحریم ایران توسط شرکتهای تحلیل بدافزار و عدم ارائهی API بود. برای رفع این مشکل با مهندسی معکوس ابزارهای ضدبدافزار این API از آنها استخراج گردید. چنانچه یک فایل توسط ضد ویروس مرکب مخرب تشخیص داده نشد، فایل در بخش بعدی به صورت ایستا و پویا تحلیل میشود. در این بخش با طراحی و پیادهسازی یک جعبهشن (Sandbox) بر اساس فناوری Intel-VT، بدافزار در محیط ایزوله اجرا و رفتار آن مورد تحلیل قرار میگیرد. در فرآیند تحلیل فایل، ممکن است ضدویروس مرکب و جعبهشن قادر به شناسایی آن نباشند بنابراین نیازمند تحلیل توسط متخصصان انسانی هستیم. یکی از چالشهای موجود در این حوزه نبود تیم تحلیل در شرکتها و یا سربار مالی زیاد این تیمها در ایران است برای حل این مشکل در این پلتفرم تمام تحلیلگران بدافزار سراسر دنیا امکان ثبت نام، درج گزارش تحلیل فایل، و دریافت مبلغ را دارند. به عبارت دیگر این پلتفرم بستری برای حضور و درآمدزایی تحلیلگران تهیه نموده است. در مرحلهی بعد منشاء انتشار بدافزار مشخص میگردد. در این بخش پروفایلی برای کانالهای شبکههای اجتماعی همانند تلگرام و روبیکا تهیه و مشخص میشود که منشاء انتشار بدافزار کجا بوده است. این پروفایلها در اختیار نهادهای حاکمیتی (همانند پلیس فتا، وزارت ارتباطات، و قوهی قضائیه) جهت شناسایی مجرمین توزیع کننده بدافزار قرار میگیرد.
*کاربرد نتایج اثر:
کاربردهای این پلتفرم به صورت خلاصه عبارتند از:
1. ارائه سرویس تحلیل بدافزار (Malware Analysis as a service) : شرکتهایی که امکان استخدام نیرو جهت تحلیل و کشور بدافزار ندارند میتوانند با استفاده از این پلتفرم خدمت تحلیل بدافزار دریافت نمایند.
2. یک اپلیکیشن موبایل که به پلتفرم به صورت ابری متصل میشود و ماهیت فایلهای روی گوشی کاربر را شناسایی مینماید. این اپلیکیشن در بازار جایگزین نرمافزار امنیتی Google Play Protect میشود. بر اساس همکاری بین شرکتهای داخلی تولید کننده گوشی تلفن همراه اندرویدی قرار است این محصول به عنوان اپلیکیشن پیشفرض در گوشیهای تلفن همراه بومی جایگزینی برای Google Play Protect باشد.
3. از آنجا که یکی از مسیرهای ورودی بدافزارها به سازمانها و شرکتها از طریق ارسال ایمیلها و پیوستهای ایمیل آلوده است؛ این پلتفرم قابلیت اتصال به میل سرور را داشته و میتواند پیوستهای ایمیل را پیش از باز شدن تحلیل و بررسی نماید.
4. کیوسک امن: این سامانه به صورت یک کیوسک هم به فروش میرسد تا زمانی که مشتریان یک سازمان حساس و حیاتی بخواهند فایلی را از طریق USB یا CD به داخل آن سازمان منتقل کنند ابتدا با اتصال به این کیوسک ماهیت فایلهای درون USB یا DVD مشخص میگردد.
5. فراهم کردن بستری برای حضور تحلیلگران بدفزار در سراسر ایران به صورت برخط و درآمدزایی.
6. ارزیابی خودکار کانالهای شبکههای اجتماعی و شناسایی کانالهای مخرب و توزیع کننده بدافزار و ارسال گزارش به نهادهای حاکمیتی همچون پلیس فتا و قوهی قضائیه.
*دستاوردهای ویژه اثر:
1. طراحی و پیادهسازی نخستین پلتفرم تحلیل بدافزار در ایران و دومین پلتفرم تحلیل بدافزار در جهان
2. ارائه مفهوم تحلیل بدافزار به عنوان یک خدمت (Malware Analysis as a service) برای نخستین بار. این ویژگی باعث میگردد که سازمانها به جای ایجاد تیمهای تحلیل بدافزار و هزینهکرد زیاد، فرآیند تحلیل بدافزار را برونسپاری کنند و در هزینههای خود صرفهجویی نمایند.
3. کاهش هزینههای خرید تا یک چهارم مشابه نمونه خارجی
4. به دلیل منحصر به فرد بودن محصول و تنها یک مشابه خارجی منجر به جذب مشتریان فراوان از جمله: پلیس فتا، همراه اول، دانشگاه صنعتی شریف، و شرکت کافه بازار، در مدت یکسال گردیده است.
لازم به ذکر است که نسخه مشابه خارجی نرمافزاری است که توسط شرکت گوگل تولید شده است (VirusTotal) و مشتریان داخلی بین این محصول و مشابه خارجی آن (گوگل) این محصول را برگزیدهاند.
* اهمیت طرح:
زمینههای اصلی و فرعی کاربرد:
زمینه اصلی این محصول عبارتست از ارزیابی اولیه فایلها در سازمانها و ادارات پیش از اجرا در سیستم جهت جلوگیری از آلودگی سیستمها. به عبارت دیگر ورودیهای این محصول عبارتند از:
• نرمافزارهای تحت دسکتاپ و یا وب تولید شده در سازمان و یا برونسپاری شده
• فایلهای ورودی به سازمان در قالب رسانههای قابل حمل همانند CD و USB
• فایلهای مشکوک در سیستمهای کاربران
• فایلهای موجود در رونوشت حافظه
• پیوست ایمیلها
• سایر فایلهای مورد درخواست کاربر
زمینه فرعی آن سامانه ضدبدافزاری است که بر روی گوشی اندرویدی کاربران نصب میشود و ماهیت نرمافزارها از لحاظ سالم یا مخرب بودن را مشخص می نماید.
*نوآوریها:
1. ایجاد پلتفرمی جهت ثبت نام تحلیلگران بدافزار و کسب درآمد
2. قابلیت ایجاد ضدویروس مرکب در شرایط تحریم و عدم فروش توسط شرکتهای ضدبدافزار
3. ایجاد محیط تحلیل امن و ایزوله جعبهشن مبتنی بر فناوری Intel-VT
*مشخصات فنی کالا/ خدمت:
• زبانهای برنامهنویسی سمت سرور:
C++ Java Python Assembly PHP.
• زبان های برنامهنویسی سمت کلاینت:
HTML5 CSS3 Javascript ReactJS .
• این سامانه از پایگاه دادههای PostgreSQL و از Redis برای کش کردن اطلاعات استفاده می کند.
• سمت سرور این سامانه قابلیت نصب در ویندوز و لینوکس را دارد و سمت کلاینت نیز هم به صورت تحت وب و هم به صورت نسخه مبتنی بر ویندوز ارائه میگردد.
• متدولوژی های توسعه مورد استفاده Kanban و Scrum است. برای مدیریت کد از Gitlab و برای مدیریت پروژه از Jira استفاده می شود.
*منابع علمی استفاده شده در اجرای طرح:
منابع علمی استفاده شده: یک پایاننامه دکتری، دو پایان نامه کارشناسی ارشد، دو مقاله علمی
محصول پیشنهادی دارای چندین قابلیت است که بخشی از آن نمونه یک محصول خارجی است و بخش دیگر آن کاملا نوآورانه است. بدلیل آنکه کار دارای سبقه علمی و پایاننامههای دکتری و کارشناسی ارشد در این زمینه است. در خارج کشور شرکتی که دقیقا همان محصول ما را ارائه دهد وجود ندارد. اما محصولاتی با تشابه نسبی در این زمینه وجود دارند که میتوان در این میان شرکتهای زیر را نام برد:
• شرکت اسپانیایی VirusTotal زیر مجموعه شرکت گوگل
• شرکت روسی Positive Technology
• شرکت MetaDefender
*نتایج و دستاوردهای طرح توسط کدام یک از مراکز علمی و مؤسسههای مصرفکننده تایید شده است:
1. مرکز آپا دانشگاه صنعتی شریف
2. مرکز رشد فناوریهای پیشرفته دانشگاه صنعتی شریف
3. معاونت علمی-فنی رایست جمهوری
4. مرکز آپا جهرم
*فعالیتهای شاخص علمی/پژوهشی:
1. مقاله شماره 1: Lajevardi Amir Mohammadzade and Morteza Amini. "A semantic-based correlation approach for detecting hybrid and low-level APTs." Future Generation Computer Systems 96 (2019): 64-88.
2. مقاله شماره 2: یک چارچوب بهینه و شفاف برای تحلیل خودکار بدافزار، مجلهی علمی-پژوهشی علوم و فناوری های پدافند نوین، دوره: 7، شماره: 1
3. طرح و ایده برگزیده در بخش روشهای خلاقانه در هشتمین دوره رقابتهای بین المللی نفوذ و دفاع در فضای مجازی در مرکز آپا دانشگاه صنعتی شریف
4. پذیرش به عنوان محصول دانشبنیان نوع 1 توسط معاونت علمی فناوری ریاست جمهوری (محصول دانش بنیان نوع 1 محصولی است که سطح فناورانه بالاتری نسبت به محصول دانش بنیان نوع 2 دارد)
5. برگزیده شدن ایده توسط مرکز رشد فناوریهای پیشرفته دانشگاه صنعتی شریف
6. یکی از ایدههای برگزیده پنجمین نمایشگاه صنعت بومی سایبری پدافند غیر عامل در سال 97
7. بخشی از یک پایاننامهی دکتری مهندسی کامپیوتر دانشگاه صنعتی شریف
8. حاصل دو پایاننامهی کارشناسی ارشد دانشگاه علم و صنعت تهران
پلتفرم تحلیل بدافزار بیتبان، نخستین پلتفرم تحلیل بدافزار است که توسط شرکت دانشبنیان بیتبان در مرکز فناوریهای پیشرفتهی دانشگاه صنعتی شریف تولید شده است. این پلتفرم از آدرس MALab.bitbaan.com یا MALab.ir قابل مشاهده است. این پلتفرم فایل را در سطوح مختلف از لحاظ ماهیت فایل (بدافزار یا سالمبودن) مورد ارزیابی و تحلیل قرار میدهد. بخش اصلی پلتفرم، هستهی آن است که شامل پنج زیرسامانه ضدبدافزار مرکب (MultiAV)، تحلیل ایستا (Static Analysis)، تحلیل پویا (Dynamic Analysis)، تحلیل تخصصی دستی (Expert Analysis)، و شناسایی منشاء انتشار بدافزار (Malware Origins) است.
در بخش ضدویروس مرکب (MultiAV) یک فایل توسط ابزارهای ضدبدافزار مختلف مورد تحلیل و بررسی قرار میگیرد. یکی از مشکلات موجود در این بخش تحریم ایران توسط شرکتهای تحلیل بدافزار و عدم ارائهی API بود. برای رفع این مشکل با مهندسی معکوس ابزارهای ضدبدافزار این API از آنها استخراج گردید. چنانچه یک فایل توسط ضد ویروس مرکب مخرب تشخیص داده نشد، فایل در بخش بعدی به صورت ایستا و پویا تحلیل میشود. در این بخش با طراحی و پیادهسازی یک جعبهشن (Sandbox) بر اساس فناوری Intel-VT، بدافزار در محیط ایزوله اجرا و رفتار آن مورد تحلیل قرار میگیرد. در فرآیند تحلیل فایل، ممکن است ضدویروس مرکب و جعبهشن قادر به شناسایی آن نباشند بنابراین نیازمند تحلیل توسط متخصصان انسانی هستیم. یکی از چالشهای موجود در این حوزه نبود تیم تحلیل در شرکتها و یا سربار مالی زیاد این تیمها در ایران است برای حل این مشکل در این پلتفرم تمام تحلیلگران بدافزار سراسر دنیا امکان ثبت نام، درج گزارش تحلیل فایل، و دریافت مبلغ را دارند. به عبارت دیگر این پلتفرم بستری برای حضور و درآمدزایی تحلیلگران تهیه نموده است. در مرحلهی بعد منشاء انتشار بدافزار مشخص میگردد. در این بخش پروفایلی برای کانالهای شبکههای اجتماعی همانند تلگرام و روبیکا تهیه و مشخص میشود که منشاء انتشار بدافزار کجا بوده است. این پروفایلها در اختیار نهادهای حاکمیتی (همانند پلیس فتا، وزارت ارتباطات، و قوهی قضائیه) جهت شناسایی مجرمین توزیع کننده بدافزار قرار میگیرد.
*کاربرد نتایج اثر:
کاربردهای این پلتفرم به صورت خلاصه عبارتند از:
1. ارائه سرویس تحلیل بدافزار (Malware Analysis as a service) : شرکتهایی که امکان استخدام نیرو جهت تحلیل و کشور بدافزار ندارند میتوانند با استفاده از این پلتفرم خدمت تحلیل بدافزار دریافت نمایند.
2. یک اپلیکیشن موبایل که به پلتفرم به صورت ابری متصل میشود و ماهیت فایلهای روی گوشی کاربر را شناسایی مینماید. این اپلیکیشن در بازار جایگزین نرمافزار امنیتی Google Play Protect میشود. بر اساس همکاری بین شرکتهای داخلی تولید کننده گوشی تلفن همراه اندرویدی قرار است این محصول به عنوان اپلیکیشن پیشفرض در گوشیهای تلفن همراه بومی جایگزینی برای Google Play Protect باشد.
3. از آنجا که یکی از مسیرهای ورودی بدافزارها به سازمانها و شرکتها از طریق ارسال ایمیلها و پیوستهای ایمیل آلوده است؛ این پلتفرم قابلیت اتصال به میل سرور را داشته و میتواند پیوستهای ایمیل را پیش از باز شدن تحلیل و بررسی نماید.
4. کیوسک امن: این سامانه به صورت یک کیوسک هم به فروش میرسد تا زمانی که مشتریان یک سازمان حساس و حیاتی بخواهند فایلی را از طریق USB یا CD به داخل آن سازمان منتقل کنند ابتدا با اتصال به این کیوسک ماهیت فایلهای درون USB یا DVD مشخص میگردد.
5. فراهم کردن بستری برای حضور تحلیلگران بدفزار در سراسر ایران به صورت برخط و درآمدزایی.
6. ارزیابی خودکار کانالهای شبکههای اجتماعی و شناسایی کانالهای مخرب و توزیع کننده بدافزار و ارسال گزارش به نهادهای حاکمیتی همچون پلیس فتا و قوهی قضائیه.
*دستاوردهای ویژه اثر:
1. طراحی و پیادهسازی نخستین پلتفرم تحلیل بدافزار در ایران و دومین پلتفرم تحلیل بدافزار در جهان
2. ارائه مفهوم تحلیل بدافزار به عنوان یک خدمت (Malware Analysis as a service) برای نخستین بار. این ویژگی باعث میگردد که سازمانها به جای ایجاد تیمهای تحلیل بدافزار و هزینهکرد زیاد، فرآیند تحلیل بدافزار را برونسپاری کنند و در هزینههای خود صرفهجویی نمایند.
3. کاهش هزینههای خرید تا یک چهارم مشابه نمونه خارجی
4. به دلیل منحصر به فرد بودن محصول و تنها یک مشابه خارجی منجر به جذب مشتریان فراوان از جمله: پلیس فتا، همراه اول، دانشگاه صنعتی شریف، و شرکت کافه بازار، در مدت یکسال گردیده است.
لازم به ذکر است که نسخه مشابه خارجی نرمافزاری است که توسط شرکت گوگل تولید شده است (VirusTotal) و مشتریان داخلی بین این محصول و مشابه خارجی آن (گوگل) این محصول را برگزیدهاند.
* اهمیت طرح:
زمینههای اصلی و فرعی کاربرد:
زمینه اصلی این محصول عبارتست از ارزیابی اولیه فایلها در سازمانها و ادارات پیش از اجرا در سیستم جهت جلوگیری از آلودگی سیستمها. به عبارت دیگر ورودیهای این محصول عبارتند از:
• نرمافزارهای تحت دسکتاپ و یا وب تولید شده در سازمان و یا برونسپاری شده
• فایلهای ورودی به سازمان در قالب رسانههای قابل حمل همانند CD و USB
• فایلهای مشکوک در سیستمهای کاربران
• فایلهای موجود در رونوشت حافظه
• پیوست ایمیلها
• سایر فایلهای مورد درخواست کاربر
زمینه فرعی آن سامانه ضدبدافزاری است که بر روی گوشی اندرویدی کاربران نصب میشود و ماهیت نرمافزارها از لحاظ سالم یا مخرب بودن را مشخص می نماید.
*نوآوریها:
1. ایجاد پلتفرمی جهت ثبت نام تحلیلگران بدافزار و کسب درآمد
2. قابلیت ایجاد ضدویروس مرکب در شرایط تحریم و عدم فروش توسط شرکتهای ضدبدافزار
3. ایجاد محیط تحلیل امن و ایزوله جعبهشن مبتنی بر فناوری Intel-VT
*مشخصات فنی کالا/ خدمت:
• زبانهای برنامهنویسی سمت سرور:
C++ Java Python Assembly PHP.
• زبان های برنامهنویسی سمت کلاینت:
HTML5 CSS3 Javascript ReactJS .
• این سامانه از پایگاه دادههای PostgreSQL و از Redis برای کش کردن اطلاعات استفاده می کند.
• سمت سرور این سامانه قابلیت نصب در ویندوز و لینوکس را دارد و سمت کلاینت نیز هم به صورت تحت وب و هم به صورت نسخه مبتنی بر ویندوز ارائه میگردد.
• متدولوژی های توسعه مورد استفاده Kanban و Scrum است. برای مدیریت کد از Gitlab و برای مدیریت پروژه از Jira استفاده می شود.
*منابع علمی استفاده شده در اجرای طرح:
منابع علمی استفاده شده: یک پایاننامه دکتری، دو پایان نامه کارشناسی ارشد، دو مقاله علمی
محصول پیشنهادی دارای چندین قابلیت است که بخشی از آن نمونه یک محصول خارجی است و بخش دیگر آن کاملا نوآورانه است. بدلیل آنکه کار دارای سبقه علمی و پایاننامههای دکتری و کارشناسی ارشد در این زمینه است. در خارج کشور شرکتی که دقیقا همان محصول ما را ارائه دهد وجود ندارد. اما محصولاتی با تشابه نسبی در این زمینه وجود دارند که میتوان در این میان شرکتهای زیر را نام برد:
• شرکت اسپانیایی VirusTotal زیر مجموعه شرکت گوگل
• شرکت روسی Positive Technology
• شرکت MetaDefender
*نتایج و دستاوردهای طرح توسط کدام یک از مراکز علمی و مؤسسههای مصرفکننده تایید شده است:
1. مرکز آپا دانشگاه صنعتی شریف
2. مرکز رشد فناوریهای پیشرفته دانشگاه صنعتی شریف
3. معاونت علمی-فنی رایست جمهوری
4. مرکز آپا جهرم
*فعالیتهای شاخص علمی/پژوهشی:
1. مقاله شماره 1: Lajevardi Amir Mohammadzade and Morteza Amini. "A semantic-based correlation approach for detecting hybrid and low-level APTs." Future Generation Computer Systems 96 (2019): 64-88.
2. مقاله شماره 2: یک چارچوب بهینه و شفاف برای تحلیل خودکار بدافزار، مجلهی علمی-پژوهشی علوم و فناوری های پدافند نوین، دوره: 7، شماره: 1
3. طرح و ایده برگزیده در بخش روشهای خلاقانه در هشتمین دوره رقابتهای بین المللی نفوذ و دفاع در فضای مجازی در مرکز آپا دانشگاه صنعتی شریف
4. پذیرش به عنوان محصول دانشبنیان نوع 1 توسط معاونت علمی فناوری ریاست جمهوری (محصول دانش بنیان نوع 1 محصولی است که سطح فناورانه بالاتری نسبت به محصول دانش بنیان نوع 2 دارد)
5. برگزیده شدن ایده توسط مرکز رشد فناوریهای پیشرفته دانشگاه صنعتی شریف
6. یکی از ایدههای برگزیده پنجمین نمایشگاه صنعت بومی سایبری پدافند غیر عامل در سال 97
7. بخشی از یک پایاننامهی دکتری مهندسی کامپیوتر دانشگاه صنعتی شریف
8. حاصل دو پایاننامهی کارشناسی ارشد دانشگاه علم و صنعت تهران
دورههای شرکت در جشنواره
- دوازهمین دوره جشنواره وب و موبایل ایران - 1398
سایر اطلاعات
نام شرکت :
بیتبان
نام صاحب اثر :
امیر محمدزاده لاجوردی
تلفن :
آدرس شرکت :
تلفن ثابت :
02166039612
فکس :
02189789882
دیدگاهها
جهت ارسال نظر باید وارد
شوید.
0
دیدگاه
اسکرین شات وجود ندارد
گزارش مردمی
×