SeNZeRo
Özel Üye
- 8 Eyl 2016
- 5,100
- 14
2018 in son konusundan herkese merhaba. Bu konumda sizlere Malware Analizi konusunu anlatacağım. Keşfedilen malwareler gün geçtikçe artıyor. Şirketleri, kurum ve kuruluşları hedef alan malware saldırıları çok büyük maddi zararlara yol açabiliyor. Bu malware saldırılarını önlemek için analiz yapmak gerekiyor. Bu analizlerin nasıl yapıldığını bu konumda sizlerle paylaşacağım. Öncelikle malware' nin tanımı ile başlayalım.
Malware Nedir ?
Malware sistemlere bulaşarak geliştiricisinin istekleri doğrultusunda sistemlerden veri, bilgi sızıntısı için kullanılan kötücül yazılımlar. Malware, zararlı yazılımlara verilen genel ad. Örnek olarak worm, trojan, keylogger, ransomware, backdoor, adware, spyware, rootkit gibi zararlı yazılımların geneline malware denir.
Malware Kullanım Amaçları Nelerdir ?
Sistemlere bulaşan malware sistemdeki bir çok bilgiyi sızdırabilir. Mesela telefonunuza bulaşan bir malware telefon konuşmalarınız, mesajlarınızı görebilir. Başkaları arayabilir, mesaj atabilir. Telefonunuzun içindeki bilgileri (dosya, fotoğraf vb.) görüntüleyebilir.
Bilgisayarınıza bulaşan malware bilgisayarınızı dinleyebilir, izleyebilir, takip edebilir, bilgisayardaki bilgilerinizi sızdırabilir, bilgisayarınızı bot haline yani DDoS saldırılarında kullanılan makine haline getirebilir. Bu örnekleri ve daha bir çok şeyi malware yapabilir.
Malware Nasıl Bulaşır ?
Malwarelerin bir çok bulaşma yöntemi vardır. Bunlardan bazıları:
- Browser güvenlik açıklarını kullanarak bulaştırma.
- USB, DVD, CD, Autorun vb... gibi şeyler kullanarak bulaştırma.
- Sosyal mühendislik yöntemleri ile (e-posta, mesaj) bulaştırma.
Malware Geliştirme Yöntemleri Nelerdir ?
İki tip malware geliştirme yöntemi vardır. Bunlar:
1-) İnternet üzerindeki hazır yazılımları kullanarak geliştirme.
2-) Yazılım kullanmadan, programlama dili bilip kendisine özel malware geliştirme.
Malware Uzantıları Nelerdir ?
Bir çok kişi malwarelerin sadece .exe uzantısında olacağını sanıyor. Malwareler bir çok uzantıda olabiliyor. Virüs totalin açıkladığı verilere göre en çok kullanılan malware uzantıları:
Malware Analiz Yöntemleri Nelerdir ?
Malware analizinin bir çok yöntemi vardır. Bazı analiz adımları şunlardır:
Davranışsal analiz. Kod analizi. Statik ve Dinamik analiz olarak iki genel başlık altında inceleniyor. Bellek analizi.
Davranışsal Analiz Nedir ?
Malware'nin ağ, kayıt defteri (registry), dosya sistemleri üzerindeki davranışları incelenir. Bu davranışlar analiz edilir.
Analiz sırasında kullanılan bazı programlar: Process Monitor, Process Explorer, Regshot, Wireshark, CaptureBat, Cuckoo Sandbox
Kod Analizi Nedir ?
Kod analizi iki genel başlık altında incelenir. Statik analiz ve Dinamik analiz.
Statik (Binary) Analiz Nedir ?
Statik analiz malware'nin sistem üzerinde çalıştırmadan kodlarına bakarak incelenmesidir. En kolay yöntemdir. İmza tabanlı yakalama yöntemleri mevcuttur. Statik kontrolleri atlatmak çok kolaydır.
Malwarenin analizini zorlaştırmak için bir çok yöntem mevcuttur. Cryper, fud vb.. gibi yöntemler kullanılır.
Statik analizde kullanılan bazı programlar: Strings, IDA, Dependency Walker, PEiD, JAD, Reflector, dnSpy.
Dinamik Analiz Nedir ?
Dinamik analiz malware'nin debugger ile sistem üzerinde çalıştırarak davranışlarını çeşitli araçlarla analiz etmektir. Yalıtılmıiş bir ortamda (Sandbox) malware'nin çalıştırılarak çalıştırıldığı sistem üzerindeki etkilerinin incelenmesi.
Statik analizden farklı olarak riskli bir yöntemdir. Sistem üzerinde çalıştırıldığında sistemi bozabilir, verileri silebilir vb. Bunun için yalıtılmış ortam sandbox, vmware, virtualnbox gibi programlar üzerinde çalıştırılmalıdır.
Dinamik analizde kullanılan bazı programlar: IDA, Ollydbg, Immunity Debugger, Windbg
Bellek Analizi Nedir ?
Bellek analizi malwareyi çalıştırılıp hafızada çalışan kopyası diske kopyalayıp analiz edilir.
Bellek analizinde kullanılan bazı programlar: Volatility, Memoryze, Redline
Malware Analizini Zorlaştırma Yöntemleri Nelerdir ?
Malware analizini zorlaştırmak için çeşitli yöntemler kullanılır. Bu yöntemler sayesinde antivirüs programlarına, firewall'a vb. gibi sistemlere yakalanmadan malwaremizin istediğimiz sisteme bulaşmasını sağlayabiliriz.
Bu zorlaştırma yöntemleri genellikle otomatize olarak çalışan sistemleri yanıltmak için kullanılır. Tecrübeli bir malware analisti için bu yöntemleri atlatmak çok zor olmayacaktır.
Anti Debugging: Debugging işleminin zorlaştırılması sağlanır.
Anti WM: Malwarenin sanal makinede çalışıp çalışmadığını tespit edilir.
Obfuscation: Kodların kaynak koduna çevrilmesi ve analiz edilmesi zorlaştırılır.
Paketleme: Statik kod analizini zorlaştırma adına zararlı yazılımın sıkıştırılmasıdır.
Anti Disassemling: Disassembler algoritmalarındaki zafiyetler kötüye kullanılarak analizin zorlaştırılması sağlar.
Online Malware Analiz Siteleri ?
Malwareleri kendimiz analiz edebildiğimiz gibi online siteleri kullanarak da analiz etmek mümkün. Bu siteler sayesinde zamandan tasarruf ederek dosyaları analiz edebilirsiniz. Eğer analiz etmek istediğiniz dosya sizin için önemli ise online olarak analiz etmemenizi tavsiye ederim.
Bazı online analiz siteleri:
Free Automated Malware Analysis Service - powered by Falcon Sandbox
VirusTotal
Automated Malware Analysis - Joe Sandbox Cloud Basic
Kaynak Önerileri:
Malware analizi konusunda kendinizi geliştirmek istiyorsanız aşağıdaki kaynaklara bakabilirsiniz.
Zararlı Yazılım Analizi İçin Lab Ortamı Hazırlamak
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
https://www.slideshare.net/CezeriSGACezeriSiber/linux-malware-antianaliz-teknikleri
Malware analizi konumuzun sonuna geldik. Sevdiklerinizle mutlu, huzurlu, sağlıklı bir yıl geçirmeniz dileğiyle. Mutlu yıllar.
Moderatör tarafında düzenlendi:
:
