Online Sandboxlar İle Zararlı Yazılım Analizi

Ph1x

Yeni üye
3 Şub 2022
48
17

AnyRun Malware Service Kullanımı ve Hakkında Genel Bilgiler

Kullanılan Siteler: Buraya tıklayarak ulaşabilirsiniz.

Kullanılan Yazılım / Zararlı Dosya: Dosyayı buraya tıklayarak indirebilirsiniz.





5aE7rL.png





Any Run büyük çoğunlukta ücretsiz bir servis olmasının yanı sıra, günlük kullanıma oldukça elverişlidir. Any Run servisini gündelik zararlı yazılım analizlerinizde veya incelemelerinizde rahatlıkla kullanabilirsiniz. Any Run'ın kullanımı basit olmasının yanı sıra sadece bir hesap oluşturmanız yeterlidir.



Ben anlatımım boyunca hesap oluşturma bölümünü anlatmayacağım. Siz hesabınızı kolaylıkla oluşturup işlemlerinize başlayabilir ve inceleme ve analizlerinizi yapabilirsiniz. Yukarıda verdiğim linkten Any Run servisine ulaşabilirsiniz.



Any Run'ı kısaca açıklayacak olursak; Any Run interaktif bir ortamda birçok dosya türünü ve yürütülebilir dosyaları Windows 7 gibi işletim sistemlerinde çalıştırarak bu yazılımlar ve dosyalar üzerinde gerçek zamanlı birçok analiz ve inceleme yapmanızı sağlamaktadır.



Any Run kullanımını gündelik hale getirebilir ve bu sayede dosyalarınızı kolaylıkla inceleyebilirsiniz. Kısacası Any Run bir Online SandBox'dır. SandBox teriminin ne olduğunu yukarıdaki post'da okuduk. Bu yüzden uzatmadan kullanıma ve detaylarına geçiyoruz.


l0tmp8u.png






New Task


>>
Yeni bir işlem başlatmak için kullanılan buton'un ismidir. Bu buton sayesinde yeni işlemler başlatabilirsiniz ve inceleme yapabilirsiniz.



Public Tasks


>>
Geçmiş'de herkes tarafından görülebilir yaptığınız inceleme, ve analizleri görüntülemeye yarar.



History


>>
Geçmişte yaptığınız tüm analiz ve incelemeleri detayları ile görüntülemeye işlemi sağlayan buton'un ismidir. Task'lerinizi buradan takip edebilirsiniz.





AnyRun ile Malware Analizi ve Genel Kullanımı Hakkında Bilgiler





AnyRun içerisinde kullanılan tüm butonları, işlem bütünlerini ve AnyRun'ı az önce tanıdık. Şimdi sıra nasıl analiz edebiliriz sorusuna geldi. Bu işlem için ilk olarak AnyRun sitesinin linkine giriyoruz ve karşımıza çıkan ekrandan aşağıdaki butona basıyoruz.



Bu bağlantıya tıkladıktan sonra aşağıdaki gibi bir sayfa ile karşılaşacaksınız. Burada daha önce anlattığım butonlar ile karşılaşıyoruz. Bu butonların ne anlama geldiğini ve ne işe yaradığını temel olarak anladık.



5aE7rL.png




Örneğin "New Task" butonu ile yeni bir analiz işlemi başlatabiliriz. Fakat bu analiz işlemlerinde yapabileceğimiz şeyler kısıtlı. Örneğin yüklediğimiz dosyanın 16 mb'ı geçmemesi gerekli. Bu yüzden yükleyeceğimiz dosyaların boyutuna daha önce bakmalıyız.



5aE7rL.png




Ayrıca dosyamızın boyutuna sağ tık "Özellikler" diyerek baktığımızda aşağıdaki gibi 750kb olduğunu görüyoruz.




rezz2fx.png





Ardından incelemeye geçmek için "New Task" butonuna basıyoruz. Buradan resimdeki kırmızı renkli butona basarak inceleyeceğimiz dosyayı seçiyoruz.



hmtej3v.png





Daha sonrasında seçtiğimiz dosyayı çalıştıracağımız aralıkları seçiyoruz. Çoğu premium özellikler olduğundan ben göstermiyorum. Seçtikten sonra "Run" butonuna basarak çalıştırıyoruz.



pl0gmgt.png





Gördüğünüz gibi yazılımımız Windows 7 - 32 bit işletim sisteminde başarıyla çalıştırıldı. Bunun ardından gördüğünüz gibi DNS Requests sekmesinde bir olaylar döndüğünü görüyoruz. Bu yüzden hemen oraya gidiyoruz.


Not: İşlemlerde ve diğer işlem bütünlerinde bazı değişiklikler olmasının sebebi diğer resimlerde yazılımın kısayolu üzerinden gitmemdir. Zaten birşey fark etmiyor, anlatım için.




vml73fl.png




Gördüğünüz gibi bazı DNS Adresleri ile karşılaşıyoruz. Bu adreslerin yazılım ile alakalı olmadan üçüncü parti bağlantılar olduğunu rahatlıkla görebiliriz.


Not: Yazılımda arayüz olmaması ve herhangi bir ip bağlantısı bulunmaması benim örnek için oluşturduğum bir yazılım olmasından kaynaklanmaktadır.




5aE7rL.png



Ayrıca aşağıdaki sekmelerden kurduğu bağlantıları türüne bakarak görebilirsiniz. Ayrıca "More İnfo" butonuna basarak da işlem bütünü hakkında tüm bilgileri görebilirsiniz.



rwzm41c.png





Gördüğünüz gibi "More İnfo" kısmına girdiğimizde sağ taraftan güncel Event'leri sol taraftan ise dosya hakkında cmd bilgilerini veya indirme linkini görüyoruz.




hb4pd0k.png




Evet arkadaşlar bu konumuzda Rozzz ile birlikte sizlere SandBox Kullanımı'nı anlattık. SandBox'ları sizde bu şekilde kullanabilirsiniz.


Virüs Totel kullanımındaki oranlar kesin olarak zararlı yazılım olduğunu belirtmez. Örneğin bir yazılımın trojen olduğunu belirlemek için herhangi bir bağlantı kurması gereklidir. Bunun için Any Run ortamında analiz yaparken bağlantılar yakalayabilirsiniz.



Daha da ileri düzey analizler için temel tersine mühendislik bilgisi gereklidir. Diğer konularımızda tersine mühendislik ile ilgili konuları da anlatacağız.







Evet Türk Hack Team ailesi konumuz bu kadar. Bir sonraki konumuzda görüşmek üzere. Esenlikler.
emek kokuyor ellerinize sağlık
 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.