Malware Analiz Araçlarım Ve Kullanımları // Black Turtle

Black Turtle

Adanmış Üye
28 Ocak 2015
6,615
35
Remote Admin
Herkese merhabalar arkadaşlar bu gün sizlere bana çok sorulan "Malware Anlalizini" ve "Kullandığım Araçları" anlatıcam.

malware-628x353-1.jpg



Öncelikle malware nedir ? nasıl bulaşır? analiz yöntemleri kaça ayrılır ? Bunları öğrenmek için bu konuya bakmalısınız :



* Şimdi geldik bu malware analizlerini nerede yapıcağımıza *



Malware analizleri genellikle sanal pc dediğimiz (VM VirtualBox - VMware Workstation) ortamlarında yapılmaktadır. Linux vb. işletim sistemlerinde de yapılabilir. Size tavsiyem sanal pc üzerinden yapmanız. Ve kurucağınız işletim sistemi çok önemlidir. Ben sanal bilgisayarıma "Windows 7" kurmuştum. Sizlere de tavsiyem Windows 7 üzerinden analizlerinizi yapmanız.





VM VirtualBox - VMware Workstation Nedir nasıl kurulur şu video dan öğrenebilirsiniz :






Sakın gerçek bilgisayarınız da analiz vs yapmayın. Çünkü trojen açıcağınız dan bilgisayarınıza büyük zararlar verebilirsiniz. Buna dikkat edin.



Ben sanal pc de yaparken bile bazenleri mavi ekran hatası alıyorum, o derece şeyler çıkabiliyor içinden :)



Ve unutmayın en etkili analiz yöntemi dinamiktir. Yani programı açıp neyin ney olduğunu gördüğümüz analiz türüdür.


logo.png



Öncelikle bir darkcomet ratın'dan server yapalım




Serverimiz hazır. Şimdi programları tanıyıp analiz edelim


malware-analysis-complete-threat-visibility.png


Önce statik analizimizi yapalım


BinText


Programcıların özellikle ilgisini çekecek küçük, çok hızlı ve güçlü bir metin çıkarıcı. Herhangi bir dosya türünden metin ayıklayabilir ve isteğe bağlı "gelişmiş" görünüm modunda her bir öğe için yararlı bilgiler sağlayan düz ASCII metin, Unicode (çift bayt ANSI) metin ve Kaynak dizeleri bulma özelliğini içerir. Kapsamlı filtreleme, istenmeyen metinlerin listelenmesini önlemeye yardımcı olur. Toplanan liste aranabilir ve düz bir metin dosyası veya bilgilendirici tablo biçiminde ayrı bir dosyaya kaydedilebilir.



Burda programın içinde ki "string's" değerlerini görebiliyoruz. Ön analizler için fena değil



CFF Explorer



CFF Explorer, olabildiğince kolay, ancak taşınabilir yürütülebilir uygulamanın iç yapısını gözden kaçırmadan yapmak için tasarlanmıştır. Bu uygulama sadece mühendisleri değil, aynı zamanda programcıları da Reverse Engineering yardımcı olabilecek bir dizi araç içermektedir. Çok dosyalı bir ortam ve değiştirilebilir bir arayüz sunar.



cff1.jpg


Burda ki amaç programın içinde çalışan dl dosyalarını görmek ve data string's değerlerine bakmak.



Unutmayın ne kadar çok dll o kadar çok windows üzerinde işlem demektir.



Örnek : Avdapi dll si regedit işlemleri için kullanılır. gibi gibi





Exeinfo PE


ExEinfo-PE_1.png


Exeinfo PE, .exe dosyalarını doğrulamanızı ve tüm özelliklerini kontrol etmenizi sağlayan bir programdır. Ayrıca dosya adını değiştirebilir, doğrudan .exe dosyasını açabilir veya silebilirsiniz. Sağlanan bir başka bilgi ise tam boyut ve giriş noktasıdır. Kısacası, herhangi bir Windows çalıştırılabilir dosyasını düzenlemek için onlarca farklı seçeneğe erişebilirsiniz.




Şimdiye kadar yaptığımız bütün analizler "Statik" analizlerdi.



Şimdi ise dinamik analize geçiyoruz. (Yani programı çalıştırıp analiz ediyoruz.)




OllyDbg


Rtr_dis1.gif


OllyDbg, genellikle programların tersine mühendislik için kullanılır . [3] Genellikle diğer geliştiriciler tarafından yapılan yazılımları kırmak için kullanılır . Tersine mühendislik için, kullanım kolaylığı ve bulunabilirliği nedeniyle çoğunlukla birincil araçtır; herhangi bir 32-bit çalıştırılabilir hata ayıklayıcı tarafından kullanılabilir ve gerçek zamanlı olarak bitcode / assembly'de düzenlenebilir. [4] Programcılar için programlarının amaçlandığı gibi çalışmasını sağlamak ve kötü amaçlı yazılım analizleri amacıyla kullanışlıdır.



Gördüğünüz gibi "server" imizi "ollydbg" ile çalıştırdığımız zaman bize dns adresimizi, portumuzu , içinde ki kopyalanan klasör yolunu, varsa hata mesajını gösterdi.




Autoruns


autoruns-windows.jpg


Autoruns, Microsoft ürünü ücretsiz bir sistem başlangıç yönetim aracıdır. İşletim sisteminizin başlangıcında yüklenen programların belirlendiği başlangıç klasörü, Run, RunOnce ve diğer Kayıt Defteri değerlerini görebileceğiniz vi direkt olarak müdahale edebileceğiniz başarılı ve kolay bir uygulama. Bunun dışında Internet Explorer araç çubuklarını, eklentilerini, otomatik başlayan sistem servislerini ve daha da fazlasını Autoruns programında bulacaksınız.



FileAlyzer

FileAlyzer21-ELFHeader-en.png



Dosyaların iç hayatı hakkında daha fazla bilgi edinmek istiyorsanız , FileAlyzer, acilen ihtiyacınız olan araçtır!



FileAlyzer, bir dosyanın amacını anlamanıza yardımcı olan yorumlanmış karmaşık dosya yapıları için temel dosya içeriğini, standart bir altıgen görüntüleyiciyi ve çok çeşitli özelleştirilmiş ekranları gösterir .



Ayrıca OpenSBI gelişmiş dosya parametrelerinin oluşturulmasını da destekler - FileAlyzer ile kendi optimize edilmiş kötü amaçlı yazılım dosya imzalarınızı yazmak için doğru özellikleri bulabilirsiniz !



Gördüğünüz gibi "binder" lediğimiz "Superantispyware.exe" programını bize gösteriyor. Ve program bize başlangıç'a bir şey lerin ekleniceğini,siliniceği vb. şeyler hakkında bilgi veriyor.


Çok güzel ve kullanışlı bir "Dosya Analiz" programıdır. Hemen hemen her şeyi bu program üzerinden görebilirsiniz....





Process Hacker

main_window.png



Process Hacker, ücretsiz ve açık kodlu işlem görüntüleyici programıdır. Process Hacker size bilgisayarınızda işlemci ve hafıza kullanımlarının hangi program ya da işlemler tarafından yapıldığını gösterir. Program ile gereksiz ya da zararlı olduğunu düşündüğünüz program ya da işlemi kolaylıkla sonlandırabilirsiniz. Process Hacker programı için Windows Görev Yöneticisi'nin oldukça gelişmiş bir hali diyebiliriz.



CurrPorts


cports.gif


CurrPorts, yerel bilgisayarınızda halen açık olan tüm TCP / IP ve UDP bağlantı noktalarının listesini görüntüleyen ağ izleme yazılımıdır. Listedeki her bir bağlantı noktası için, bağlantı noktası açan işlemle ilgili bilgiler, işlem adı, işlemin tam yolu, işlemin sürüm bilgileri (ürün adı, dosya açıklaması vb.)

Ek olarak, CurrPorts istenmeyen TCP bağlantılarını kapatmanıza, portları açan işlemi sonlandırmanıza ve TCP / UDP portları bilgilerini HTML dosyasına, XML dosyasına veya sekmeyle ayrılmış metin dosyasına kaydetmenize izin verir.

CurrPorts ayrıca tanımlanamayan uygulamalara ait pembe renkle ilgili şüpheli TCP / UDP bağlantı noktalarını otomatik olarak işaretler (sürüm bilgisi ve simgeler içermeyen uygulamalar)



Burda kendi bilgisarımdan deniceğim için "127.0.0.1" localhost kullandım. Sizde kurbanın port numarası ve ip adresi gözükücektir.



Regshot


scrS40enC.gif


Regshot, analistin Windows Kayıt Defteri'nin anlık görüntülerinden önce ve sonra çalışmasını sağlayan dinamik bir kötü amaçlı yazılım analiz aracıdır . Genellikle bu, kötü amaçlı yazılımları çalıştırmadan önce ve ardından hemen sonra sistemin anlık görüntüsünü yakalamak için kullanılır.



Amaç, kötü amaçlı yazılımın yaptığı kayıt defterinde yapılan değişiklikleri belirlemektir. Bu, kötü amaçlı yazılımın neler yapabileceğini, herhangi bir ek dosya atılırsa veya diğer herhangi bir Uzlaşma Göstergesini (IOC'ler) belirtir.



Process Monitor


procmon-main.png


Process Monitor , Windows için gerçek zamanlı dosya sistemi, Kayıt Defteri ve işlem / iş parçacığı etkinliği gösteren gelişmiş bir izleme aracıdır. İki eski Sysinternals hizmet programı olan Filemon ve Regmon'un özelliklerini birleştiriyor ve zengin ve tahribatsız filtreleme, oturum kimlikleri ve kullanıcı adları gibi kapsamlı etkinlik özellikleri, güvenilir işlem bilgileri, tümleşik sembol destekli tam iş parçacığı yığınları gibi kapsamlı bir geliştirme listesi ekliyor Her işlem için, bir dosyaya eşzamanlı günlük kaydı ve daha fazlasını sunuyor. Benzersiz güçlü özellikleri Process Monitor'ü sisteminizde sorun giderme ve kötü amaçlı yazılım avlama araç setinde temel bir yardımcı program haline getirir.





Bu anlatımlarım kısa ve öz anlatımlardır. Eğer üstüne düşerseniz sizde zamanla çok daha iyi analizler yapabilirsiniz.



Ne kadar çok çalışırsanız o kadar çok öğrenirsiniz.




Tüm Araçları İndirmek İçin Tıkla


Paylaşım Tarafımca Onaylanmıştır.




- Diğer Bütün Malware Analiz Konularım -



Linklerin üstüne tıklayarak konuya gidebilirsiniz.



Security Task Manager İle Malware Analizi



giphy.gif


 
Moderatör tarafında düzenlendi:

SHARPY

Üye
15 Mar 2018
68
0
İstanbul
Bu kadar az bilinen bir konuyu, bu kadar detaylı bir açıklama ile anlatmak çok başarılı olmuş. Ellerine sağlık dostum.
 

DarkHawk06

Uzman üye
12 Şub 2016
1,046
8
Pandora
Ellerinize sağlık harika bir konu olmuş. Anlatım için baya bir emek vermişsiniz.Konu için biz teşekkür ederiz.
 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.