- 15 Ocak 2019
- 247
- 1
- 26
Malware Kod Analizi ?
Malware kavramı örnek zararlı yazılımın içine kendini unpack edip bir takım modüller tarafından gerçekleşir. Daha çok saldırgan Process yanıltma yöntemi kullanır lsass.exe svchost.exe System.exe tarzında genel bilindik servis isimleri ile karşımıza çıkmaktadır.
Zararlı olduğu öne sürülen program çalıştırılmadan önce sistem hareketleri ve uygulama kullanıldıktan sonra incelenir.
Birçok malware programı Windows NT tabanlı yazılmıştır daha çok Portable Executable formatı incelenir. Dynamic linker aracılığı ile uygulamayı belleğe taşır.
Malware yazılımları hedeflere özel yazılıp bypass işlemleri gerçekleşiyor debug, yanlış breakpoint atama, Windows güvenlik duvarının devre dışı kalması, obfuscate işlemleri ile algoritma bulanıklaştırma, İşlem hooklama, atamak istediği WinAPİleri çalıştırmaya yönelik saldırılar
WriteFile, GetSystemDirectory, HttpOpenRequest, VirtualProtect, WinExec...
Malware saldırıları daha çok para kazanmak için (şifrelenen kritik dosyalar için dijital para yöntemleri, mining, botnet satışları, Hedef Tabanlı APT Saldırılar) Güncellenmeyen sistemleri hedef alan saldırganlar veya doğrudan hedefe APT saldırısı bulaştırılmıştır. İsimlerini daha çok stinglerinden veya davranışsal şemasından ele alınır.
İmzasını ne kadar aratsak da farklı yöntemler ile bunu değiştirebilmek mümkün olduğundan eski analizlerinde göremiyoruz.
Malware İnject Olduğu Bölgeler
PS İNJECTİON
.DLL İNJECTİON
PORTABLE EXECUTABLE İNJECTİON
Malware Çeşitleri ?
Wiki kaynaklar "Zararlı Yazılım" başlığını bazen 3 bazen 6 başlıkta inceler biz yapılarına göre 6 ya ayırdığımız bu yapıları inceleyelim.
Trojan : Truva Atı belirli bir program içerisinde açıldığında farklı unpack lerin yapıldığı zararlı kodlar. (UPX Tabanlı)
Rootkit : Kernel Modunda (Ring CPL0) çalışır kendini kernele gizlemeyi başaran bir rootkit sistemde en yetkilidir olmaktır.
Ransomware : Daha çok botnet ağı şeklinde olan Qbot, Mirai gibi zararlıların IRC sisteminde bağlı tüm bilgisayarlara yollanılıp açıldıktan sonra tüm dosyalar daha hızlı şifrelenmesi açısından genellikle simetrik olarak şifrelenir (.cry .bript .crinf .kk .locky) daha fazla bulmak için "Ransomware Encrypted Data"
Worm : Solucan kendini sistemde veya ağ içinde kopyalayan işlevlerini görünmeden yapan yazarlı türüdür.
Spyware : Keylogger özelliği olan şifrele, cookies, gibi kısaca PC bilgisi alan bir zararlı türüdür.
Adware : Spyware'ye çok benzeyen zararlı kod browserda reklam açtırma uygulama indirme, site yönlendirme gibi işlevi vardır.
Portable Executable Format
Windows NT işletim sistemlerinde kullanılan .exe .dll .sys gibi içerikleri çalıştırır hale getirmekle sorumlu formattır iç kısımda dynamic linker ile çalıştırılmak istenen dosya (.text .data .reloc..) belleğe .dll yardımı ile nasıl yazdırılacağını belirtir. (belleğe kendini sokmamış bir uygulama ise başarısızdır ve çalışmaz)
https://i.hizliresim.com/NZr505.png
Statik ve Dinamik İnceleme Programları
Dosya sistemde çalışabilir veya çalışmadan yapılan bilgi toplama yöntemlerindendir açıklamaları birlikte kullanılan programlar
PEview, https://github.com/dwfault/PEView (Portable Executable Header)
PowerShell Event Logları (Olay Görüntüleyici)
Stings.exe https://docs.microsoft.com/en-us/sysinternals/downloads/strings (str görüntüleme)
UPX, https://upx.github.io/ (Pack-Unpack)
DİE, .:NTInfo:.
DisAssembly, https://onlinedisassembler.com/odaweb/ (Güzel Bir Kaynak)
Debugger, http://www.ollydbg.de/]OllyDbg v1.10 (Uygulama İnceleme Ve İçerik Düzenleme)
TcpView, https://docs.microsoft.com/en-us/sysinternals/downloads/tcpview (Ports)
RegShot, https://sourceforge.net/projects/regshot/files/latest/download (Kayıt Defteri)
Procmon, https://docs.microsoft.com/en-us/sysinternals/downloads/procmon (PS Monitor)
WireShark, https://www.wireshark.org/ (Ağ Analizi)
Örnek ObfusCate (ALINTI)
Uygulama stringlerini veya fonksiyonlarını okuyamamak için yapılmış kısaltma farklı yerlerden yazım ve çağrışım ile zorlanmamız için yapılmıştır.
a(X){/*/X=- a(X){/*/X=-
-1;F;X=- -1;F;X=-
-1;F;}/*/ -1;F;}/*/
char*z[]={"char*z[]={","a(X){/*/X=-","-1;F;X=-","-1;F;}/*/","9999999999 :-| ",
"int q,i,j,k,X,O=0,H;S(x)int*x;{X+=X;O+=O;*x+1?*x+2||X++:O++;*x=1;}L
{for(*",
Sonsöz
Potansiyel Saldırılarda birçok kitle uygulamayı Sandbox veya Sanal Bilgisayarlarda açıyor modern malware yazılımlar artık bu senaryoları anlayabiliyor ve işlemi tamamen durdurabilir veya kendini başka uygulamalarca kopyalayıp arka planda yeni bir ps ile çalıştırabilir. Bu tür yazılımları kullanılmayan bir bilgisayarda güvenliği en az iken yapmak uygulamayı daha fazla deşifre etmemize ve raporunuzu eksiksiz bir döngü ile bitirmenize olanak sağlayacaktır.
Online birçok platform ile tarayan bir online site vermek istiyorum https://www.hybrid-analysis.com/ .exe uygulamalar için kullanmanızı tavsiye ederim .jpg .jpeg .png uygulamalarını ise AV ile tarıyor.
Son düzenleme:
