Dinamik Kötü Amaçlı Yazılım Analizi Nedir?
Dinamik kötü amaçlı yazılım analiz yöntemi, kötü amaçlı yazılımların güvenli ortamlarda çalıştırılıp incelendiği bir analiz yöntemidir. Bu yöntemde, zararlı yazılımın güvenli ortamlardaki ağ, dosya vb. faaliyetleri incelenerek davranışının analiz edilmesi amaçlanmaktadır.
Statik analiz yöntemine göre daha hızlı analiz gerçekleştirebildiğiniz için SOC analistlerinin ilk etapta yaygın olarak tercih ettiği bir yöntemdir.
Dinamik analizi otomatikleştirmek için çeşitli korumalı alan çözümleri mevcuttur. Korumalı alanlar, kötü amaçlı yazılımı kendi yalıtılmış ortamlarında çalıştırır ve analiz sonuçlarını otomatik olarak sunar. Bu korumalı alan çözümleri SOC analistleri için çok önemlidir.
Dinamik Analiz Yönteminin Avantajları
Dinamik analiz yönteminin avantajlarından bazıları;
- Statik analiz yöntemine göre çok daha hızlı sonuç üretir,
- Sandbox’lar ile otomatik analizler gerçekleştirebilirsiniz,
- Statik analize göre daha az teknik bilgi gerektiren, yeni başlayanların kolaylıkla öğrenebileceği bir analiz yöntemidir.
Dinamik Analiz Yönteminin Dezavantajları
Dinamik analiz yönteminin bazı dezavantajları ise;
- Kötü amaçlı yazılımın davranışı farklı sistemlerden farklılık gösterebileceğinden, kötü amaçlı yazılımın tam kapasitesini belirleyemezsiniz.
- Gelişmiş kötü amaçlı yazılımları genellikle dinamik analiz yöntemiyle tek başına analiz edemezsiniz, bu durumlarda hem dinamik hem de statik analiz yöntemlerini bir arada kullanmanız gerekebilir.
SOC Analistleri İçin Dinamik Kötü Amaçlı Yazılım Analizinin Önemi
SOC analisti olarak çalışan bir arkadaşınıza işyerinde ne yaptığını sorarsanız muhtemelen duyacağınız cevaplardan biri “şüpheli dosyaları analiz ediyorum” olacaktır. Kötü amaçlı yazılım analizi SOC’nin en önemli görevlerinden biridir. Hangi seviyede SOC analisti olursanız olun, günlük yaşamınızda kötü amaçlı yazılımlarla yakın çalışacağınızı rahatlıkla söyleyebilirim.
Peki neden statik analiz değil de dinamik analiz?
Her iki analiz yönteminin de kendine göre avantaj ve dezavantajları bulunmaktadır. Aslında bu iki yöntem birbirinin yerine geçmez. Bir kötü amaçlı yazılımı analiz etmek istediğinizde bu iki yöntemi birleştirip analiz etmeniz gerekir. Kötü amaçlı yazılım analizi, analiz yöntemi olarak ikiye ayrılmaktadır.
Bir SOC analisti olarak zamana karşı yarışıyorsunuz. Zararlı bir durumu ne kadar hızlı tespit ederseniz, ona karşı o kadar hızlı önlem alabilirsiniz. SOC analistleri, statik analize göre çok daha hızlı sonuçlar üretebildiği için öncelikle dinamik analiz yöntemini tercih ediyor.
“Kötü amaçlı yazılımı çalıştırıp faaliyetlerini incelemek” olarak özetleyebileceğimiz dinamik analiz yöntemi basit gibi görünse de ne yaptığını bilmeyen bir kişi için oldukça zor ve tehlikeli bir analiz yöntemidir.
Hangi araçlara ve yazılımlara ihtiyacımız var?
Dinamik analiz yöntemini uygularken bazı yazılımlara ihtiyacımız olacaktır. Gelin bu yazılım kategorilerine bir göz atalım.
Sanallaştırma Yazılımı
Kötü amaçlı yazılımın faaliyetlerini inceleyebilmek için çalıştırmamız gerektiğinden kendi sistemimizde dinamik analiz yapmak istemiyoruz. Bu nedenle bazı sanal sistemler üzerinde çalışmamıza yardımcı olan Sanallaştırma Yazılımlarından faydalanmalıyız.
Bu yazılımlar sayesinde ana işletim sisteminizde farklı bir işletim sistemi kullanabilirsiniz. Kötü amaçlı yazılımlar bu sanal işletim sisteminden kaçamayacağından, bunların doğru yapılandırılması durumunda analizinizi güvenli bir şekilde gerçekleştirebilirsiniz. Bu sanallaştırma yazılımlarına burada küçük bir not düşmemizde fayda var. Bu sanallaştırma ortamları esasen yazılım olduğundan, bu ortamlarda kötü amaçlı yazılımların bu sanal ortamlardan dışarı kaçmasına ve ana işletim sistemi üzerinde kod çalıştırılmasına izin veren çeşitli güvenlik açıkları oluşabilmektedir. Bu nedenle sanallaştırma yazılımlarınızı güncel tutmanız çok önemlidir.
Sıklıkla kullanılan sanallaştırma yazılımlarından bazıları şunlardır;
- VMware Workstation
- VMware Fusion
- Oracle Virtualbox
İdeal bir izole dinamik analiz ortamı tamamen ayrı bir fiziksel cihaz ve ayrı bir ağdan oluşur. Ancak bu karmaşık ortamı kurmak hem çok maliyetli hem de başlangıç için gerekli değil.
Yardımcı Yazılımlar
Kendi sanal işletim sisteminizi kurduktan sonra dinamik analizde işinize yarayacak yazılımları kurmanız gerekmektedir. Örneğin docx, xlsx gibi dosya uzantılarına sahip office dosyalarının dinamik analizini sisteme Microsoft Office veya benzeri bir yazılım yüklemeden yapamayacağız.
- Microsoft Office
- Adobe Reader
- Browser (Chrome, Firefox etc.)
- WinRAR
- Text Editors (Notepad++, Sublime Text etc.)
Saldırganlar dinamik analiz yöntemine oldukça aşinadır. Bu nedenle, ele geçirdikleri cihazlarda kötü amaçlı faaliyetler gerçekleştirmeden önce, kötü amaçlı yazılımın sanal bir işletim sistemi üzerinde çalışıp çalışmadığını tespit edebilmek için hedef sistemde sık kullanılan yazılımların yüklü olup olmadığını kontrol ederler.
Hata ayıklayıcılar / Debuggers
Hata ayıklayıcılar genellikle programcıların kodları test etmek ve hataları yakalamak için kullandıkları yazılımlardır. Hata ayıklayıcılar bir sürecin talimatlarını görmeye ve programın akışını değiştirmeye yardımcı olur
Kötü amaçlı yazılım analistleri, kötü amaçlı yazılımın çalışma yapısını öğrenmek ve kötü amaçlı yazılım kodlarında değişiklik yaparak bazı önleme mekanizmalarını devre dışı bırakmak için sıklıkla hata ayıklayıcılardan yararlanır.
Örneğin, cihaz adı “John” olmadığında çalışmayan bir kötü amaçlı yazılımı analiz etmek istiyorsunuz. Debugger yardımıyla bu kontrolün yapıldığı kodlarda değişiklik yaparak bu kontrolü devre dışı bırakabilir, kötü amaçlı yazılımın çalışmaya devam etmesini sağlayabilirsiniz.
Bu eğitim başlangıç konularına hitap ettiği için hata ayıklama konusuna detaylı girmeyeceğiz ancak gelecek eğitimlerimizde kullanacağımız için şimdi hata ayıklayıcıları yüklemek işimizi kolaylaştıracaktır.
Kötü amaçlı yazılım analistlerinin sıklıkla tercih ettiği bazı hata ayıklayıcılar aşağıdaki gibidir.
- Ollydbg
- X64dbg
- Windbg
- Radare2
Ağ İzleme Araçları
Kötü amaçlı yazılımın kurduğu ağ bağlantıları, iletişim kurduğu adresler ve bu adreslerle nasıl iletişim kurduğu gibi bilgilerin, kötü amaçlı yazılım analizi sonucunda raporlanması gerekir.
Kötü amaçlı yazılımın ağ aktivitelerini tespit etmek için bazı yazılımlara ihtiyacımız var. Bunlardan bazıları aşağıdaki gibidir.
- Wireshark
- Fiddler
- Burp Suite
Süreç İzleme Araçları
Kötü amaçlı yazılım analizi için çalıştırdığımız program için yeni bir süreç oluşturulur. Bu süreçleri takip edebilmek için süreç izleme araçlarını kullanmalıyız.
Windows zaten “Görev Yöneticisi” adı verilen bir süreç izleme aracıyla birlikte geliyor. Ancak diğer süreç izleme araçları, kötü amaçlı yazılım analizi için kullanım ve özellikler açısından daha kullanışlıdır.
Dinamik kötü amaçlı yazılım analizi için oluşturacağımız sanal işletim sistemine aşağıdaki süreç izleme araçlarını yükleyebilirsiniz.
- Process Hacker
- Process Explorer (SysInternals)
- Procmon (SysInternals)
Dosya Etkinliği İzleme Araçları
Dosya aktiviteleri dinamik analizde takip edilmesi gereken aktivitelerin başında gelir. Kötü amaçlı yazılım, işletim sisteminden bilgi toplamak için dosyaları okuyabilir, kötü amaçlı yazılımın diğer bileşenlerini dosya sistemine yazabilir ve kalıcılığı sağlamak için kendisini başlangıç klasörüne taşıyabilir. Kötü amaçlı yazılımlar, bu ve diğer nedenlerden dolayı dosya sistemindeki çeşitli faaliyetlere karışabilir. Bu aktiviteleri tespit edip kötü amaçlı yazılım analiz raporunda belirtmeliyiz.
Dosya etkinliklerini görmek için aşağıdaki araçları kullanabilirsiniz.
- Sysmon
Diğer Aletler
- SysInternal Tools
- CFF Explorer
- PEView
- TriDNet
- BinText
- PEiD
- Regshot
- HashMyFiles
Sanal Makine Oluşturma
Sanallaştırma Yazılımını Yükleme
Sanal işletim sistemi kurmadan önce bunu sağlayan sanallaştırma yazılımlarından birini kurmamız gerekiyor.
Aralarında bazı farklar olsa da herhangi bir sanallaştırma yazılımı dinamik analizimiz için bize yardımcı olacaktır. Aşağıdaki sanallaştırma yazılımlarından birini yükleyebilirsiniz:
- VMware Workstation
- VMware Fusion (for macOS)
- Oracle Virtualbox
Eğitim süresince VMware Workstation sanallaştırma yazılımını kullanacağız ve eğitimi rahatlıkla takip edebilmeniz için kurmanız tavsiye edilmektedir.
VMware Workstation’ı buradan indirip kurabilirsiniz .
İşletim Sistemini Yükleme
Sistemimize sanallaştırma yazılımını yükledikten sonra bu sanallaştırma yazılımları yardımıyla işletim sistemimizi kuralım.
İşletim sistemini sanallaştırma yazılımı ile birlikte kurabilmek için işletim sistemlerine ait ISO dosyalarını edinmemiz gerekmektedir. Windows işletim sistemi için ISO dosyası oluşturmak için Microsoft’un yayınladığı MediaCreationTool adlı uygulamayı kullanabilirsiniz .
Kötü amaçlı yazılımlar, işletim sistemine bağlı olarak çalışmayacak veya farklı davranacak şekilde programlanabilir. Bu nedenle elinizde farklı işletim sistemlerinin bulunmasını şiddetle tavsiye ederiz.
MediaCreationTool’u çalıştırdığınızda, “Bu bilgisayarı şimdi yükselt” ve “Kurulum medyası oluştur” seçenekleri istenecektir. “Kurulum medyası oluştur” seçeneğini seçerek devam edelim.
Daha sonra Dil, işletim sistemi versiyon bilgisi ve işletim sistemi mimarisini seçmemiz isteniyor. Buradan Windows 10 64bit seçeneğini seçebilirsiniz. Öncelikle 64bit mimariye sahip işletim sistemini tercih etmenizi öneririz. 64 bit mimariye sahip işletim sistemlerinde hem 32 bit uygulamaları hem de 64 bit uygulamaları çalıştırabilirsiniz ancak 32 bit mimariye sahip işletim sistemlerinde yalnızca 32 bit uygulamaları çalıştırabilirsiniz.
İşletim sistemi sürüm bilgisini ve mimarisini seçtikten sonra USB sürücüye mi yazmak istediğimiz yoksa ISO dosyası mı oluşturmak istediğimiz soruluyor. ISO dosyasına ihtiyacımız olduğu için burada ISO seçeneğini seçiyoruz.
Daha sonra bize ISO dosyasının hangi dizine kaydedilmesini istediğimiz soruluyor. Kendinize uygun bir dizin seçebilirsiniz.
Bu adımları tamamladığınızda ISO dosyası belirttiğiniz dizine kaydedilecektir. (Bu adım uzun zaman alabilir.)
Artık ISO dosyamız olduğuna göre işletim sisteminin kurulumuna geçebiliriz. Bu eğitim serisinde VMware Workstation kullanılacağı için ders bu yazılım üzerinden gerçekleştirilecektir. Ancak, eğer başka bir sanallaştırma yazılımı kullanmak istiyorsanız, bu yazılımların hepsi birbirine çok benzediğinden, dersi diğer sanallaştırma yazılımlarına da kolaylıkla uyarlayabilmelisiniz.
Yeni bir işletim sistemi kuracağımız için öncelikle “Create a New Virtual Machine” butonuna tıklamamız gerekiyor. Alternatif olarak üst menüden “Dosya”yı ve ardından “Yeni Sanal Makine”yi seçebilirsiniz.
Daha sonra ne tür bir kurulumla devam etmek istediğimizi seçmemiz isteniyor. “Typical (recommended)” seçeneğini seçerek kurulumumuza devam ediyoruz.
İndirdiğimiz ISO dosyasını “Yükleyici disk imaj dosyası (iso)” seçeneğini seçerek seçiyoruz.
Daha sonra bizden Sanal Makineye isim vermemiz ve VM’nin dosyalarının saklanmasını istediğimiz dizini belirtmemiz isteniyor. Ad olarak “Windows10 Dynamic Analysis”i, dizin olarak ise “varsayılan dizin”i kullanabilirsiniz. Birden fazla sanal makineniz varsa karıştırmamak için sanal makinenize açıklayıcı bir ad vermenizi öneririz. Dilerseniz VM’ye verdiğiniz bu ismi daha sonra değiştirebilirsiniz.
VM’nin dosyalarının tutulacağı adı ve dizini seçtikten sonra işletim sistemimizin disk boyutunu belirlememiz isteniyor. İçerisine çeşitli yazılım ve uygulamalar kuracağımız için minimum 60-70 GB ayırmanızı öneririz.
Son olarak işletim sisteminin kullandığı bazı donanım ayarlarıyla karşılaşıyoruz. Bu aşamada “Donanımı Özelleştir” butonuna tıklayarak özelleştirme adımına geçiyoruz.
64 bit mimariye sahip bir işletim sistemi kullandığımız için minimum 4 GB RAM ayırmanızı tavsiye ederim. Daha düşük ayarlar atarsanız performans ve işletim sistemi hataları ile karşılaşabilirsiniz. Ancak 32 bit mimariye sahip bir işletim sistemi kuruyorsanız daha az RAM ayırabilirsiniz.
Bu aşamayı geçtikten sonra belirttiğimiz ayarlara sahip bir Sanal Makine oluşturuluyor.
VM oluşturulduktan sonra, oluşturulan VM’yi çalıştırarak işletim sistemini normal şekilde kurabilirsiniz.
Araç ve Yazılımların Kurulumu
Bu noktada artık işletim sistemimiz kullanıma hazırdır. Daha sonra dinamik analiz sırasında kullanacağımız araç ve yazılımların kurulumu geliyor.
Bir önceki yazımızda bahsettiğimiz araçları artık sanal işletim sisteminize kurmalısınız. Kurulum sihirbazını takip ederek bu araçları kolayca kurabilirsiniz.
Sanal Makineyi Ayarlama
Kötü amaçlı yazılım analizinde kullanabilmek için Sanal Makinemizde bazı yapılandırma değişiklikleri yapmamız gerekiyor.
- Kötü amaçlı yazılımdan koruma çözümlerini kapatın
VM’mizde kötü amaçlı yazılımları analiz edeceğimiz için antivirüs yazılımlarının analiz için yüklediğimiz kötü amaçlı yazılımları silmesini istemiyoruz. Windows işletim sistemlerinde varsayılan olarak aktif olan Windows Defender’ı kapatmalıyız.
Windows Defender ayarlarına gitmeli ve tüm etkin ayarları devre dışı bırakmalısınız. Analiz etmek için yüklediğiniz kötü amaçlı yazılımları anında tarayıp silen özellik “ Gerçek zamanlı koruma ”dır. Bu özelliği kapattığınızdan emin olun.
Grup İlkesini Kullanarak Windows Defender’ı Devre Dışı Bırakma
Başlat menüsünde “grup ilkesini düzenle” ifadesini arayarak Yerel Grup İlkesi Düzenleyicisi uygulamasını açabilirsiniz. Alternatif olarak Yerel Grup İlkesi Düzenleyicisi uygulamasına “gpedit.msc” yazarak ya da Windows’ta “Ara>Çalıştır” fonksiyonunu çalıştırarak ulaşabilirsiniz.
Yerel Grup İlkesi Düzenleyicisi uygulamasını kullanarak Windows Defender’ı devre dışı bırakmak için aşağıdaki politikaya erişmeniz gerekir.
“Bilgisayar Yapılandırması > Yönetim Şablonları > Windows Bileşenleri > Microsoft Defender Antivirüs”
Burada “Microsoft Defender Antivirus’ü Kapat” politikasına çift tıklayıp “Etkin” olarak ayarlamalısınız.
Ayrıca “Gerçek Zamanlı Koruma” altındaki “Bilgisayarınızdaki dosya ve program etkinliğini izleyin” politikasını da devre dışı bırakmalısınız.
- Sanal işletim sisteminizi yeniden adlandırın
Bazı kötü amaçlı yazılımlar analiz ortamlarında çalışmamak için çeşitli kontroller yapar. Bu kontrollerden biri ana bilgisayar adını kontrol etmektir. Çoğu sanal alanın “Sandbox”, “Malware”, “Cuckoo” gibi ana bilgisayar adları olduğundan, kötü amaçlı yazılım bu ana bilgisayar adlarına sahip sistemlerde çalışmayacak şekilde programlanır.
Anti-analiz tekniklerinden kaçınabilmeniz için VM’nizin mümkün olduğunca normal bir kullanıcı sistemine benzemesini sağlamalısınız. Ana bilgisayar adı olarak rastgele bir ad belirlemek, bu tür kontrollerden kaçınmanıza yardımcı olacaktır.
Cihaz adını değiştirmek için “Ayarlar → Sistem → Hakkında” seçeneğini seçip “Bu Bilgisayarı Yeniden Adlandır” düğmesine tıklamalısınız.
Kullanıcı adınızı da değiştirmeyi unutmayın!
- Otomatik güncellemeleri kapat
Analiz edeceğimiz kötü amaçlı yazılım, işletim sistemindeki güvenlik açıklarından yararlanıyor olabilir. Kötü amaçlı yazılımın mümkün olduğunca normal şekilde çalışabilmesi için sanal işletim sistemimizin otomatik güncellemelerini kapatmamız gerekir.
Otomatik güncellemeleri grup ilkesi ayarlarından kapatabilirsiniz.
Başlat menüsünde “grup ilkesini düzenle” ifadesini arayarak Yerel Grup İlkesi Düzenleyicisi uygulamasını açabilirsiniz. Alternatif olarak Yerel Grup İlkesi Düzenleyicisi uygulamasına “gpedit.msc” yazarak veya Windows’ta “Ara>Çalıştır” fonksiyonundan çalıştırarak ulaşabilirsiniz.
Daha sonra aşağıdaki politikaya erişmelisiniz.
“Bilgisayar Yapılandırması > Yönetim Şablonları > Windows Bileşenleri > Windows Güncelleme”
İlgili politikaya ulaştıktan sonra “Otomatik Güncelleştirmeleri Yapılandır” isimli politikayı “Devre Dışı” olarak ayarlamanız gerekmektedir.
- Gizli Uzantıları Devre Dışı Bırak
Saldırganların dosya uzantılarını değiştirerek kurbanlarını kandırmaya çalıştıklarını görmüş olabilirsiniz. Bunu nasıl yapabildiler?
Windows işletim sistemleri varsayılan olarak bilinen dosya uzantılarını gizleyecek şekilde ayarlanmıştır. Yani “Chrome.exe” isimli bir dosya varsayılan olarak “Chrome” olarak görünecektir. Saldırganlar kötü amaçlı yazılımlarını “Photo.jpg.exe” olarak adlandırarak kullanıcının dosyayı “Photo.jpg” olarak görmesine neden olurlar. Kullanıcı bu dosyanın bir imaj dosyası olduğunu düşünüp dosyayı açtığında zararlı yazılım çalışmaya başlayacaktır.
Analizimiz sırasında bununla karıştırılmaması için, varsayılan olarak gizlenen uzantıların her zaman gösterilmesini sağlayacak şekilde düzeltmemiz gerekiyor.
Bunun için “File Explorer” isimli uygulamayı açıp üst menüden “Dosya” ve ardından “Klasör ve arama seçeneklerini değiştir” butonlarına tıklayarak ayarlar menüsüne ulaşmamız gerekiyor.
Daha sonra “Görünüm” sekmesinden “Bilinen dosya türleri için uzantıları gizle” seçeneğinin işaretini kaldırarak ayarları kaydetmelisiniz.
- Gizli Dosya ve Klasörleri Göster
Kötü amaçlı yazılım, kullanıcının dosyalarını gizleyerek tespit etmesini engellemeyi amaçlar. Varsayılan olarak gizli dosya ve dizinlerin gösterilmesi daha rahat bir analiz yapmamızı sağlayacaktır.
Dosya Gezgini adlı uygulamayı açıp üst menüden “Dosya” yardımıyla ayarlar menüsünü açalım, ardından “Klasör ve arama seçeneklerini değiştir” seçeneğine tıklayalım.
Daha sonra “Görünüm” sekmesinden “Gizli dosya, klasör ve sürücüleri göster” seçeneğini işaretleyip ayarı kaydedelim.
- ASLR’yi devre dışı bırak
Windows’un yeni sürümlerinde, ASLR (Adres Alanı Düzeni Rastgeleleştirme/Address Space Layout Randomization) adı verilen, istismara karşı bir güvenlik mekanizması bulunur. Bu eğitimde ASLR konusuna çok fazla girmeyeceğiz ancak ileride karşınıza çıkacağından bu aşamada bu özelliği devre dışı bırakmak isteyebilirsiniz.
Bu ayarı Kayıt Defteri’nin yardımıyla devre dışı bırakabilirsiniz. Kayıt Defteri Düzenleyicisi uygulamasını açarak aşağıdaki kayıt defterine erişin.
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management”
Daha sonra “MoveImages” adında “REG_DWORD” tipi bir anahtar oluşturun.
Bu ayarlar sonunda ASLR özelliğini devre dışı bırakacaktır.
- Windows Güvenlik Duvarını Devre Dışı Bırak
Önceki adımlarda uyguladığımız gibi güvenlik mekanizmalarının analiz ettiğimiz kötü amaçlı yazılımlara müdahale etmesini önlemek için Windows Güvenlik Duvarı’nı devre dışı bırakmalıyız.
Windows Defender Güvenlik Duvarı ayarlarına kontrol panelinden erişin. Bu ayarlara Dosya Gezgini’nin üst menüsündeki arama çubuğunu kullanarak erişebilirsiniz. Bu arama çubuğuna aşağıdaki yolu kopyalayıp ararsanız, sizi Windows Defender Güvenlik Duvarı ayarlarına götürecektir.
“Denetim Masası\Sistem ve Güvenlik\Windows Defender Güvenlik Duvarı\Ayarları Özelleştir”
Defender Güvenlik Duvarı ayarlarına eriştikten sonra “Windows Defender Güvenlik Duvarını Kapat” seçeneğini seçin ve kaydedin. Bu Güvenlik Duvarını devre dışı bırakacaktır.
- Son Kullanıcı Sistemini Taklit Edin
Analiz ettiğiniz kötü amaçlı yazılımın anti-analiz tekniklerine yakalanmaması için VM’nizin mümkün olduğunca normal bir son kullanıcı işletim sistemi gibi görünmesini sağlamalısınız.
Bunun için kesin talimatlar veya ayarlar olmadığından, analiz VM’nizin normal bir son kullanıcı bilgisayarı gibi görünmesini sağlamak tamamen size kalmıştır. Bu benzerliği oluşturmak için sanal makinenizde uygulamak üzere aşağıdaki ipuçlarını önerebiliriz:
- Chrome ve Firefox gibi son kullanıcıların sıklıkla tercih ettiği tarayıcıların kurulumu,
- Saldırganın ilgisini çekecek dosyaları farklı dizinlerde bırakmak,
- Masaüstü arka planını değiştirme,
- Tarayıcı üzerinden küçük uygulamalar indirerek bazı dosyaların İndirilenler dizininde bulunmasını sağlamak
- Ağ Ayarlarını Değiştir
Kötü amaçlı yazılımlarımızın ağ bağlantısı üzerinden farklı cihazlara yayılmasını önlememiz gerekiyor. Sanallaştırma yazılımlarının sağladığı özel ağlar sayesinde kötü amaçlı yazılımların farklı cihazlara bulaşmasını engelleyebiliyoruz.
Bunun için VMware Workstation üst menüsündeki “VM” menüsüne tıklayıp “Ayarlar” seçeneğini seçmelisiniz.
Açılan pencerede soldaki menüden “Ağ Adaptörü” seçeneğini seçerek “Özel” ayarını seçmelisiniz.
Snapshot Al
Sisteminizdeki kötü amaçlı yazılım veya fidye yazılımını analiz ettiğinizde işletim sisteminiz işlevsel olarak etkilenebilir veya kullanılamaz hale gelebilir. Başka bir kötü amaçlı yazılımı çalıştırıp analiz ettikten sonra yeni bir kötü amaçlı yazılımı analiz etmek istediğinizde, işletim sisteminizin analiz ettiğiniz eski kötü amaçlı yazılımın yaptığı değişikliklerden etkilenmesini istemezsiniz.
Bu gibi durumlarda sanallaştırma yazılımının Snapshot özelliğinden yararlanabilirsiniz.
Snapshot, Sanal Makinenizin anlık görüntüsünü almanızı ve bu yedeğe daha sonra geri dönmenizi sağlayan bir özelliktir.
VM’miz kötü amaçlı yazılım analizi için yapılandırılmıştır ve analizde kullanacağımız uygulamalar ona yüklenmiştir. Bu aşamada Snapshot alıp daha sonra temiz VM’nizle aynı analiz ortamına geçiş yapabilirsiniz.
Snapshot almak için VMware Workstation uygulamasının üst menüsünde yer alan “VM” menüsüne tıklayıp “Snapshot” -> “Snapshot Manager” seçeneğine tıklayarak Snapshot’ları yönettiğiniz ekrana ulaşabilirsiniz.
Daha sonra “Anlık Görüntü Al” butonuna tıklayarak sanal makinenizin anlık görüntüsünü alabilirsiniz. Anlık görüntü almak işte bu kadar kolay.
Açıklamaya detaylı bilgi girmeniz, ihtiyacınız olan Snapshot’ı kolayca bulmanızı sağlayacaktır. Bu nedenle mümkün olduğunca açıklayıcı yorum girmenizi öneririz.
Dinamik Analiz Yaparken Nelere Dikkat Etmeliyiz?
Dinamik analizin aslında zararlı yazılımı kendi sistemimizde çalıştırıp işletim sistemi üzerindeki faaliyetlerini analiz ettiğimiz yöntem olduğundan bahsetmiştik.
Peki kötü amaçlı yazılımı çalıştırdıktan sonra ne yapmalıyız? Çalıştırıp sadece ekranı mı izleyeceğiz?
Bu yazımızda zararlı yazılımı çalıştırdıktan sonra izlemeniz gereken adımlardan bahsedeceğiz.
Süreç Faaliyetleri / Process Activities
Kötü amaçlı yazılım çalıştırıldığında diğer uygulamalar gibi kendine ait bir süreç oluşturur. İşletim sistemi üzerindeki tüm işlemler bir süreç üzerinden gerçekleştirilir. Diğer faaliyetleri takip etmeden önce kötü amaçlı yazılıma ait süreçleri tespit etmeliyiz.
İşletim sistemi içerisinde çok sayıda işlem, ağ, kayıt defteri ve dosya etkinliği gerçekleşir. Tüm bu aktiviteleri analiz etmek mümkün olmayabileceğinden, kötü amaçlı yazılım süreçlerinin aktivitelerini analiz etmeye başlayabilir ve faaliyetleri hakkında sağlam bir şey bulup bulamayacağımızı görebiliriz.
Bir süreç incelenirken yeni bir alt süreç oluşturup oluşturmadığı, içe aktardığı DLL’ler, hangi kullanıcı tarafından çalıştırıldığı gibi bilgilere özellikle dikkat edilmelidir.
Süreçleri incelemek için Process Hacker adlı uygulamayı kullanabilirsiniz.
Process Hacker, süreçleri hiyerarşik bir görünümde listeleyerek süreçlerin incelenmesini kolaylaştırır. Kötü amaçlı yazılım yeni bir süreç oluşturduğunda, yeni oluşturulan süreci ana süreci altında görebilirsiniz.
Kötü amaçlı yazılım, kendisini farklı süreçlere enjekte edebilir, yerleşik ikili dosyalar üzerinde kendi amaçları doğrultusunda faaliyetler gerçekleştirebilir veya meşru uygulamaların kendi uygulamalarını çalıştırmasını sağlayabilir. Bu nedenlerden dolayı kötü amaçlı yazılıma ait olan ve kötü amaçlı yazılımın kullandığı tüm süreçlerin aktivitelerinin analiz edilmesi gerekmektedir.
Örneğin, kötü amaçlı yazılımın, çalıştırıldıktan sonra kendisini notepad.exe işlemine enjekte ettiğini varsayalım. Bu durumda notepad.exe’nin enjekte edildiği andan itibaren oluşturduğu tüm aktiviteleri incelememiz gerekiyor.
Kötü amaçlı yazılım analizi eğitimlerinde Process Injection gibi konular ele alınacaktır.
Network Activities
Kötü amaçlı yazılımlar genellikle ikinci veriyi indirmek, komuta ve kontrol (c2) ile iletişim kurmak, ağdaki diğer cihazlara atlamak, veri çalmak için ağ bağlantısı kurar.
Kötü amaçlı yazılım analizimizin sonunda bu ağ bağlantılarını tespit etmemiz, kötü amaçlı yazılımın nasıl iletişim kurduğunu öğrenmemiz ve bu ağ aktivitelerini raporlamamız gerekiyor.
Wireshark, ağ aktivitelerini analiz etmek için tüm ihtiyaçlarınızı karşılayabilecek bir yazılımdır. Ancak kötü amaçlı yazılımın özellikle HTTP protokolü üzerinden iletişim kurduğunu bildiğiniz durumlarda (Kötü amaçlı yazılım çoğunlukla HTTP, SMTP gibi protokoller aracılığıyla iletişim kurar) Fiddler gibi araçları tercih edebilirsiniz.
Registry Activities
Windows eğitiminde Kayıtlardan bahsetmiştik. Tekrar belirtmek gerekirse, kayıt defterleri Windows işletim sistemlerinde veri depolamak için kullanılan hiyerarşik veritabanlarıdır. Saldırganlar tarafından veri çalmak ve kalıcılığı sağlamak gibi amaçlarla kullanılmaktadır.
Windows, bazı kayıt defteri anahtarlarında işletim sistemi başlatıldığında uygulamaların çalışmasını sağlar. Saldırganlar, işletim sisteminin bu özelliğinden yararlanarak ve kendi kötü amaçlı yazılımlarını bu kayıt defteri anahtarlarına ekleyerek kalıcılığı sağlamayı amaçlamaktadır.
Bu kayıt defteri anahtarlarından bazıları;
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
Kayıtlar normal işlemler tarafından da çok fazla kullanıldığından, özellikle kötü amaçlı yazılım işlemlerinin yaptığı kayıt defteri değişikliklerine bakmanız gerekir.
Regshot adlı uygulamayı kullanarak kötü amaçlı yazılımın Kayıtlar üzerinde yaptığı değişiklikleri tespit edebilirsiniz.
Kötü amaçlı yazılımı çalıştırmadan önce Regshot’ı çalıştırabilir ve Regshot’ın mevcut kayıtları toplamasına izin vermek için “1. shot” düğmesini tıklayabilirsiniz.
Ardından, kötü amaçlı yazılımı çalıştırıp etkinlik göstermesi için bir süre bekledikten sonra yeni bir atış yapmak için “2. shot” düğmesine basmalısınız. Regshot’ın bu iki çekimi arasındaki farkları “Karşılaştır” butonuna basarak görebilirsiniz.
File Activities
Kötü amaçlı yazılımlar birçok nedenden dolayı işletim sistemi üzerinde dosya etkinlikleri gerçekleştirir. Son zamanlarda saldırganlar, tespit edilmeyi engellemek için dosyasız kötü amaçlı yazılımlar geliştirdi.
Windows’ta geçici dosyaların bulunduğu “Temp” adında bir dizin vardır. Uygulamalar genellikle geçici dosyalarını barındırmak için bu dizini kullanır. Kötü amaçlı yazılımlar genellikle kendisini Temp dizinine kopyalar. Bu nedenle bu rehberde gerçekleştirilen faaliyetlere özellikle dikkat etmelisiniz.
Bu dizine “ Win+R ” tuş kombinasyonuna basarak ve sonrasında aşağıdaki komutu yazarak ulaşabilirsiniz :
- %TEMP%
Kalıcılığı sağlamak için, kötü amaçlı yazılım kendisini, işletim sistemi başlatıldığında otomatik olarak çalışacak uygulamaları içeren Başlangıç dizinine de kopyalar. Bu dizinlerde gerçekleştirilen faaliyetlere özellikle dikkat etmelisiniz.
Bu dizine “ Win+R ” tuş kombinasyonuna basarak ve sonrasında aşağıdaki komutu yazarak ulaşabilirsiniz :
- shell:startup
- shell:common startup
Dinamik Kötü Amaçlı Yazılım Analizi Örneği #1
File Name: e-Archive Dekont.exe
MD5 Hash: 7a0093c743fc33a5e111f2fec269f79b
SHA256 Hash: 722ef401e5cbb067c5c33faa402774d3c75ef08e0c8cc4d7e66a9cfa53684088
Hazırlık
İzleme araçlarımız, kötü amaçlı yazılımın çalıştırıldığı andan itibaren gerçekleştirilen tüm etkinlikleri listelediğinden, sahip olduğumuz şüpheli programı çalıştırmadan önce bu araçları çalıştırmalıyız. Aksi takdirde bu araçlar kötü amaçlı yazılım faaliyetleri yürütseler bile üzerinde kötü amaçlı faaliyetler göremeyeceğiz.
Süreç aktivitelerini görmek için ‘Process Hacker’ isimli aracımızı çalıştıralım. Kötü amaçlı yazılımı masaüstüne tıklayarak çalıştıracağımız için explorer.exe işlemi altında kötü amaçlı yazılıma ait işlemi göreceğiz, bu nedenle buna özellikle dikkat etmemiz gerekiyor.
Dosya aktivitelerini görmek için SysInternals araç setindeki “Procmon” adlı aracı çalıştırın. Bu araç süreç, dosya, kayıt defteri ve ağ aktivitelerini görmemizi sağlar. Ancak çok fazla log olduğu için okunup anlamlı sonuçlara varılması zor olabiliyor. (Evet, siz göremeseniz bile işletim sisteminiz arka planda gerçekten o kadar çok çalışıyor!)
Kayıt defteri etkinliklerini görmek için RegShot’ı çalıştırın. Kötü amaçlı yazılımı çalıştırmadan önce “1. shot” düğmesine basarak çekim yapın. Bu işlem biraz zaman alacak.
Ağ etkinliklerini görmek için Wireshark ve Fiddler’ı kullanabilirsiniz. İncelediğimiz kötü amaçlı yazılım HTTP protokolü üzerinden iletişim kurduğu için Fiddler yeterli olacaktır.
Analiz et / Analyze
Artık kötü amaçlı yazılımı çalıştırmadan önce gerekli hazırlıkları tamamladığımıza göre, kötü amaçlı yazılımı VM’nizde çalıştırabilirsiniz.
Daha iyi anlaşılması için süreç, ağ, kayıt ve dosya aktivitelerini ayrı ayrı inceleyeceğiz. Bu faaliyetleri inceledikten sonra bir zaman çizelgesi oluşturacağız.
Kötü amaçlı yazılımın etkinliğini gerçekleştirmesi için yeterli süre verdikten sonra Regshot aracından “2. atış” butonuna basarak ikinci atışı yapalım.
Süreç Faaliyetleri
Daha önce eğitim serimizde de belirttiğimiz gibi, öncelikle süreç aktivitelerini tespit etmenin bazı avantajları vardır. Çok fazla log ve aktivite ile karşılaşacağımız için yapmamız gereken ilk adım, kötü amaçlı yazılıma ait süreçleri tespit etmektir.
Process Hacker üzerinden gerçekleşen işlemleri incelediğimizde zararlı yazılıma ait yalnızca bir işlemin çalıştığını görüyoruz.
Ancak işler her zaman göründüğü gibi değildir! Process Hacker yalnızca anlık olarak çalışan süreçleri gösterdiğinden, kötü amaçlı yazılım bizim izlemediğimiz bir zamanda bir alt süreç oluşturmuş ve onu daha sonra sonlandırmış olabilir.
Bu noktada imdadımıza Procmon aracı yetişiyor. Üst menüde yer alan “İşlem Ağacını Göster” butonuna basarsanız, procmon kayıt yaptığı süre boyunca sizin için oluşturduğu süreç ağacını gösterecektir.
Procmon tarafından sağlanan süreç ağacı, sonlandırılan süreçleri de içerdiğinden Process Hacker’ın bu eksikliğini tamamlıyor.
Yukarıdaki görselin üzerinden geçtiğimizde ilk çalıştırdığımız işlemin (9076 PID) Windows Görev Zamanlayıcı’ya ait “schtasks.exe” adlı aracı çalıştırdığını (PID 4800) ve ardından tekrar kendi zararlı yazılımını (7944 PID) çalıştırdığını görüyoruz. .
Diğer aktivitelere geçmeden önce schtasks.exe sürecini inceleyelim. Schtasks.exe, Görev Zamanlayıcı’nın Windows işletim sistemindeki komut arayüzü aracılığıyla kullanılmasını sağlayan bir araçtır. Saldırganlar, Görev Zamanlayıcı yardımıyla zamanlanmış görevlere kendi kötü amaçlı yazılımlarını ekleyerek kalıcılığı sağlarlar.
Saldırganın ne tür bir zamanlanmış görev eklediğini görmek için procmon’un işlem ağacında “schtasks.exe” (4800 PID) dosyasına tıklayıp detaylarını incelememiz gerekiyor.
Komut satırı argümanlarını incelediğimizde “Updates\VbxFiQYCyFDgGL” adında zamanlanmış bir görevin oluşturulduğunu görüyoruz. Ancak zamanlanan görevin adı dışındaki bilgileri aşağıdaki yolda bulunan XML dosyasında bulunur:
“C:\Users\Amanda\AppData\Local\Temp\tmpCCF2.tmp”.
Schtasks.exe isimli aracın komut satırı argümanları hakkında bilgi almak için burayı tıklayın .
İlgili dosyaya erişmeye çalıştığınızda dosyanın silindiğini görebilirsiniz. Ancak endişelenmeyin, bu zamanlanmış görev artık kaydedildi, böylece onu Zamanlayıcı Görevi aracılığıyla görebiliriz.
Tetikleyici sekmesinde saldırganın eklediği bu zamanlanmış görevin hangi durumlarda çalışacağını görebilirsiniz. Yukarıdaki ekran görüntüsünde görülebileceği gibi, bu zamanlanmış görev oturum açıldığında çalışacaktır.
Eylemler sekmesinde hangi eylemin çalışacağını görebilirsiniz. Yukarıdaki ekran görüntüsünde, zamanlanan bu görev çalıştırıldığında saldırganın hazırladığı “VbxFiQYCyFDgGL.exe” adlı kötü amaçlı yazılımın çalışacağını görebilirsiniz.
Saldırganın eklediği zamanlanmış görevi bu şekilde tespit ettik.
Procmon yardımıyla kötü amaçlı yazılım süreçlerini (9076, 4800, 7944 PID’ler) tespit ettik. Daha sonra bu işlemlerin ağ, dosya ve kayıt defteri aktivitelerini tespit etmemiz gerekiyor.
Procmon’da PID değeri 9076, 4800, 7944 olan işlemleri filtrelersiniz. Ancak daha kolay bir yöntem var. Kötü amaçlı yazılımın üst ana işlemine sağ tıklayıp “İşlem ve alt öğeleri filtreye dahil et” düğmesine bastığınızda, procmon bu filtreleri sizin için oluşturacaktır.
Ağ Faaliyetleri
İncelediğimiz kötü amaçlı yazılım HTTP protokolü üzerinden iletişim kurduğundan, kurduğu bağlantıları Fiddler aracını kullanarak çok kolay bir şekilde tespit edebilirsiniz.
Kötü amaçlı yazılımı çalıştırdıktan sonra Fiddler üzerinde bulunan “e-archive dekont.exe” isimli prosesin “ 5gw4d[.]xyz ” domaini ile iletişim kurduğunu görebilirsiniz .
Registry Activities
Registry aktivitelerini incelediğimizde HKLM\Software\WOW6432Node\Microsoft\Windows\CurrrentVersion\Uninstall altındaki anahtarların sorgulandığını görebilirsiniz. Bu anahtarın altında sistemde kurulu uygulamaların kaldırılmak üzere bırakıldığı ayarlar bulunmaktadır. Saldırganların sisteme yüklediği uygulamaları tespit etmek için bu anahtarın numaralandırılması sıklıkla tercih edilmektedir.
Dosya Etkinlikleri
Kötü amaçlı yazılım dosyası etkinliklerini tespit etmek için procmon’un üst menüsündeki diğer üç etkinliği devre dışı bırakın.
Dosya oluşturma etkinliklerini görmek için Operation=CreateFile ile bir filtre girebilirsiniz.
Logları incelediğimizde “C:\Users\Amanda\AppData\Roaming\” dizini altına “VbxFiQYCyFDgGL.exe” isimli çalıştırılabilir dosyanın yazıldığını görüyoruz.
“VbxFiQYCyFDgGL.exe” isimli uygulamanın hash’ine HashMyFiles isimli araç ile baktığımızda aslında ilk analiz ettiğimiz dosya ile aynı dosya olduğunu görüyoruz. Kötü amaçlı yazılımın kendisini farklı bir klasöre kopyaladığını görüyoruz.
Dosya aktivitelerini daha detaylı incelediğimizde kötü amaçlı yazılımın dosyaları Firefox, Chome, Thunderbird gibi uygulamalardan bilgi çalmak amacıyla okuduğunu görüyoruz. Sahip olduğumuz kötü amaçlı yazılımın bilgi çalan bir yazılım olduğunu belirledik.
Sonuç
Artık kötü amaçlı yazılım analizini tamamladığımıza göre topladığımız bilgileri birleştirebiliriz. Şunu tespit ettik:
- Kötü amaçlı yazılım kendisini “VbxFiQYCyFDgGL.exe” adıyla “C:\Users\Kullanıcı Adı\AppData\Roaming\” dizinine kopyaladı,
- kalıcılığı sağlamak için Görev Zamanlayıcı’yı kullandı,
- “VbxFiQYCyFDgGL” adında zamanlanmış bir görev oluşturarak kendi kötü amaçlı uygulamasının her oturum açmada çalışmasını sağladı
- Komuta ve kontrol sunucusuyla iletişim kurar,
- komut kontrol adresi “5gw4d[.]xyz/PL341/index.php” olup HTTP protokolü üzerinden haberleşir,
- “HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall” kayıt defteri anahtarının altındaki anahtar yardımıyla sistemde yüklü olan uygulamaları keşfeder,
- Chrome, Firefox, Thunderbird gibi uygulamalardan hassas verileri çalar.
Artifacts
MD5: 7a0093c743fc33a5e111f2fec269f79bSHA256: 722ef401e5cbb067c5c33faa402774d3c75ef08e0c8cc4d7e66a9cfa53684088 DosyaAdı: e-Archive Dekont.exe DosyaAdı: VbxFiQYCy FDgGL.exeEtki Alanı: 5gw4d[.]xyzURL’si: http[:]//5gw4d[.]xyz/PL341/index.php
Dinamik Kötü Amaçlı Yazılım Analizi Örneği #2
Dosya adı: Satış Siparişi Sayfası.pdf.exe
MD5 Karma: 411019bcb582ef6e3dab080d99925b4b
SHA256 Hash: f381e338212079c3a03fbbb532cdec44b1d27db03e8cc4c47408ef038885d934
Hazırlanıyor
İzleme araçlarımız, kötü amaçlı yazılımın çalıştırıldığı andan itibaren gerçekleştirilen tüm etkinlikleri listelediğinden, sahip olduğumuz şüpheli programı çalıştırmadan önce bu araçları çalıştırmalıyız. Aksi takdirde bu araçlar kötü amaçlı yazılım faaliyetleri yürütseler bile üzerinde kötü amaçlı faaliyetler göremeyeceğiz.
Süreç aktivitelerini görmek için ‘Process Hacker’ isimli aracımızı çalıştıralım. Kötü amaçlı yazılımı masaüstüne tıklayarak çalıştıracağımız için explorer.exe işlemi altında kötü amaçlı yazılıma ait işlemi göreceğiz, bu nedenle buna özellikle dikkat etmemiz gerekiyor.
Dosya aktivitelerini görmek için SysInternals araç setindeki “Procmon” adlı aracı çalıştırın. Bu araç süreç, dosya, kayıt defteri ve ağ aktivitelerini görmemizi sağlar. Ancak çok fazla log olduğu için okunup anlamlı sonuçlara varılması zor olabiliyor. (Evet, siz göremeseniz bile işletim sisteminiz arka planda gerçekten o kadar çok çalışıyor!)
Kayıt defteri etkinliklerini görmek için RegShot’ı çalıştırın. Kötü amaçlı yazılımı çalıştırmadan önce “1. atış” düğmesine basarak çekim yapın. Bu işlem biraz zaman alacak.
Ağ etkinliklerini görmek için Wireshark uygulamasını açın.
Analiz et
Artık kötü amaçlı yazılımı çalıştırmadan önce gerekli hazırlıkları tamamladığımıza göre, kötü amaçlı yazılımı VM’nizde çalıştırabilirsiniz.
Daha iyi anlaşılması için süreç, ağ, kayıt ve dosya aktivitelerini ayrı ayrı inceleyeceğiz. Bu faaliyetleri inceledikten sonra bir zaman çizelgesi oluşturacağız.
Kötü amaçlı yazılımın etkinliğini gerçekleştirmesi için yeterli süre verdikten sonra Regshot aracından “2. atış” butonuna basarak ikinci atışı yapalım.
Süreç Faaliyetleri
Process Hacker kullanarak çalışan işlemleri incelediğimizde zararlı yazılıma ait sadece 1 işlemin çalıştığını görüyoruz.
Bir önceki örneğimizde olduğu gibi, kötü amaçlı yazılım farklı bir süreç oluşturmuş olabilir ancak anlık çalışmadığı için onu göremeyebiliriz. Bu davranışı procmon aracını kullanarak doğrulayalım.
Üst menüde yer alan “İşlem Ağacını Göster” butonuna basarsanız, procmon kayıt yaptığı süre boyunca sizin için oluşturduğu süreç ağacını gösterecektir.
Yukarıdaki görselde gördüğümüz gibi ilk çalıştırdığımız prosesin (8780 PID) “regsvcs.exe” isimli bir alt prosesinin (7100 PID) olduğunu görüyoruz.
Regsvcs.exe, Microsoft tarafından Windows işletim sistemlerine varsayılan olarak yüklenen .NET Service Installation Utility adı verilen bir araçtır.
Saldırganlar, tespit edilmekten kaçınmak için genellikle işletim sisteminde varsayılan olarak gelen uygulamaları adlandırır. İncelediğimiz kötü amaçlı yazılımın gerçekten Windows’ta varsayılan olarak gelen meşru bir uygulama mı olduğunu yoksa saldırganın tespit edilmesini önlemek için kendi yazılımına verdiği ad mı olduğunu belirlememiz gerekiyor.
İşlemin yol bilgilerini incelediğimizde Windows işletim sisteminde varsayılan olarak gelen RegSvcs.exe aracının bulunduğu asıl dizinin göründüğünü görüyoruz. Ancak bunu doğrulamak için yine de karma kontrolü yapmamız gerekiyor.
HashMyFile isimli araç yardımıyla “C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe” hash’ini alalım.
VirusTotal üzerinde hash araması yaptığımızda ilgili uygulamanın Microsoft tarafından yayınlandığını belirten bilgiyi görüyoruz.
Çalışan uygulamanın gerçekten Microsoft tarafından yayınlanan bir uygulama olduğunu belirledik. Peki bu uygulamanın güvenli olduğu anlamına mı geliyor?
Saldırganlar, bu uygulamaların zararlı kodları çalıştırmasına olanak sağlayan Code Injection, Process Hollowing, Reflective DLL Injection gibi teknikleri kullanarak meşru uygulamalara zararlı kodlar enjekte edebilirler. Ayrıca “arazi ikilisi” olarak adlandırılan ve kötü amaçlı kod enjekte edilmeden kötü amaçlı faaliyetlerin gerçekleştirilmesine olanak tanıyan ikili dosyalar da vardır.
Kötü amaçlı yazılım tarafından oluşturulduğundan, kötü amaçlı yazılımımızın bu işlemi kötü amaçlı bir etkinlik gerçekleştirmek için oluşturduğunu varsayabiliriz. Ancak varsayımlarımızı her zaman geçerli kanıtlarla desteklememiz gerekir. Bir dahaki sefere ağ, kayıt defteri faaliyetlerini incelediğimizde bu sürecin gerçekten kötü amaçlarla kullanıldığını kanıtlayacağız.
Procmon yardımıyla kötü amaçlı yazılım süreçlerini (8780, 7100 PID) tespit ettik. Daha sonra bu işlemlerin ağ, dosya ve kayıt defteri aktivitelerini tespit etmemiz gerekiyor.
Procmon üzerinde PID değeri 8780, 7100 olan işlemleri filtreleyebilirsiniz. Ancak daha kolay bir yöntem var. Kötü amaçlı yazılımın üst ana sürecine sağ tıklayıp ” İşlem ve alt öğeleri filtreye dahil et ” düğmesine bastığınızda, procmon bu filtreleri sizin için oluşturacaktır.
Ağ Faaliyetleri
Wireshark üzerinde analizimizi yapmadan önce, daha kolay incelenebileceği için zararlı yazılımın herhangi bir web isteğinde bulunup bulunmadığını kontrol edelim.
Fiddler uygulamasına baktığımızda zararlı yazılımın (regsvcs.exe, 7100 PID) yaptığı bir web isteğinin olduğunu görüyoruz.
Web isteğini incelediğimizde kötü amaçlı yazılımın genel IP adresini bulmak için checkip.dyndns.org adresine istekte bulunduğunu görüyoruz. Saldırganlar genellikle hedefli saldırılar gerçekleştirmek veya kurbanın IP adresini öğrenmek için IP adresi öğrenme hizmetlerini kullanır. Bu davranış, kötü amaçlı yazılımlar için olağan bir davranış olarak değerlendirilebilir.
Web isteğini yapan sürecin adını fark ettiniz mi? “Regsvcs.exe” normal kullanımda böyle bir istek atmamalıdır.
Wireshark üzerinden ağ aktivitelerini incelediğimizde SMTP trafiğinin olduğunu görüyoruz. SMTP, e-posta göndermek için kullanılan protokoldür. E-posta göndermediğimiz için bunun oldukça şüpheli bir trafik olduğunu söyleyebiliriz.
Herhangi bir SMTP paketine sağ tıklayıp “ İzle ” ve ardından “ TCP Akışı ” seçeneğine tıklayarak tüm SMTP trafiğini net bir şekilde görebilirsiniz .
SMTP trafiğini incelersek, kötü amaçlı yazılımın skychine[.]com[.]my’nin posta sunucusuna bağlandığını ve Graceunlimited153@gmail[.]com adresine ” Bilgisayar Adı: admin | Snake Keylogger ” ile e-posta gönderdiğini görüyoruz.
Mailin içeriğine baktığımızda “Password.txt”, “User.txt” gibi isimlere sahip birden fazla ek bulunduğunu görüyoruz. İçerikleri okunabilir formata getirmek için base64 kod çözme yapmamız gerekiyor.
Konu başlığından ve e-posta içeriğinden de anlaşılacağı üzere analiz ettiğimiz zararlı yazılım aslında Snake Keylogger’dır.
E-posta içeriğine baktığımızda kötü amaçlı yazılımın web uygulamalarına ait kullanıcı adı, şifre bilgilerini ve cihazın IP adresini gönderdiğini görebiliriz.
Saldırganlar genellikle elde ettikleri bilgileri daha önce ele geçirdikleri SMTP sunucularını kullanarak kendi e-posta adreslerine göndermektedir. Başka bir deyişle, skychine[.]com[.]alan adım aslında kötü amaçlı olmayan ancak saldırgan tarafından ele geçirilen ve kötü amaçlarla kullanılan bir SMTP sunucusudur. Ancak gönderilen e-posta saldırganın e-posta adresine gönderildiği için Graceunlimited153@gmail.com adresi büyük ihtimalle saldırgana aittir.
Sonuç
Artık kötü amaçlı yazılım analizini tamamladığımıza göre topladığımız bilgileri birleştirebiliriz. Şunu tespit ettik:
- Bu Yılan Keylogger’ı
- Tarayıcılardan kimlik bilgilerini çalıyor
- IP adresini kontrol eder
- Verileri SMTP aracılığıyla sızdırır
- skyshine.com[.]my:25’e bağlanır
eserler
MD5: 411019bcb582ef6e3dab080d99925b4bSHA256: f381e338212079c3a03fbbb532cdec44b1d27db03e8cc4c47408ef038885d934Dosya adı: Satış Siparişi Sayfası.pdf.exe Etki Alanı: checkip.dyndns.orgDomain : skyshine[.]com[.]benim
Kötü Amaçlı Yazılımım Hiçbir Şey Yapmıyor mu?
Zaman zaman kötü amaçlı yazılım çalıştırdığınızda işletim sistemi üzerinde herhangi bir etkinlik göstermediğini görebilirsiniz. Böyle bir durumda ne yapmamız gerektiğine bir göz atalım.
Biraz daha bekleyin
Birçok sandbox ürünü, kaynakları en iyi şekilde kullanmak için, şüpheli dosyayı çalıştırdıktan belirli bir süre sonra (genellikle 3-5 dakika) herhangi bir şüpheli etkinlik olmazsa, dosyayı zararsız olarak etiketler. Bu durumdan yararlanmak isteyen saldırganlar, ürettikleri zararlı yazılımlara uyku fonksiyonlarını ekleyerek zararlı kodlarının belirli bir süre sonra çalışmaya başlamasını sağlar. Sandbox’lar bu süre zarfında herhangi bir aktivite göstermeyen yazılımları zararsız olarak etiketler ve bu nedenle çoğunlukla güvenlik ürünlerinden geçerek son kullanıcıya ulaşmasına neden olur.
Çalıştırdığınız yazılım herhangi bir aktivite göstermiyorsa günümüzde çok yaygın bir yöntem olduğundan bu yöntemi kullanıyor olma ihtimali yüksektir. Bu nedenle aktiviteyi göstermek için birkaç dakika sabırlı olmanız gerekebilir.
Yönetici olarak çalıştır
Çoğu kötü amaçlı yazılım, yüksek ayrıcalıklarla çalıştırılmadığında herhangi bir kötü amaçlı etkinlik sergilemeden kendini sonlandırma özelliğine sahiptir. Bu nedenle etkin olmayan bir kötü amaçlı yazılımı yetkili bir kullanıcıyla çalıştırmayı deneyebilirsiniz.
Dil Ayarlarını Değiştir
Hedefli saldırıların sayısı her geçen gün arttığı için kötü amaçlı yazılımların bu hedeflerin dışında çalışmadığını görebilirsiniz.
Kötü amaçlı yazılımın kontrol ettiği özelliklere sahip bir ortamınız olmadığı sürece kötü amaçlı yazılım çalışmayacaktır. Hedef odaklı kötü amaçlı yazılımlar genellikle işletim sistemi bilgileri, işletim sistemi dili, sistemin IP adresi üzerinden konum bilgisi, saat dilimi bilgisi gibi kontrolleri gerçekleştirir. Kötü amaçlı etkinlikleri görüntülediğinden emin olmak için kötü amaçlı yazılımların hedeflediği bir ortam oluşturmanız gerekebilir.
Farklı Ağ Kullan
Saldırganların hedefe yönelik kötü amaçlı yazılım geliştirdiğinden bahsetmiştik. İstenilen hedef sistemlerde kötü amaçlı yazılımların çalıştığını tespit etmenin yöntemlerinden biri de IP adresinin coğrafi konum bilgisini kullanmaktır.
Örneğin, yalnızca Fransa’yı hedefleyen kötü amaçlı bir yazılım çalıştırmak için saldırganlar, IP-GeoLocation hizmetlerinde virüs bulaşan cihazın IP adresini sorgulayarak cihazın Fransa’da bulunup bulunmadığını kontrol ediyor. Bu nedenle kötü amaçlı yazılımınızın çalışmadığı durumlarda VPN araçları yardımıyla cihazın farklı ülkelerin IP adresleri üzerinden internete erişmesini sağlayabilirsiniz.
“Böyle bir durumla karşılaştığımda hangi ülkeyi seçmeliyim?”
Bu sorunun kesin bir cevabı yok. Kötü amaçlı yazılımı statik analiz yardımıyla analiz ederek ülke bilgilerini öğrenme şansınız var ancak bu yöntemi kullanmadan önce saldırganın hedefini tahmin ederek daha hızlı bir çözüme ulaşabilirsiniz.
Örneğin, bir e-posta yoluyla kötü amaçlı yazılım bulaşıyorsa, e-postanın dilinin konuşulduğu ülkeleri deneyebilirsiniz. E-posta İspanyolca yazılmışsa İspanya, Meksika, Kolombiya vb. ülkeleri deneyebilirsiniz.
Diğer yöntemler
Şu ana kadar bahsettiğimiz yöntemler en çok kullanılan yöntemler olduğundan, büyük olasılıkla kötü amaçlı yazılımın etkinlik göstermeye başladığını göreceksiniz. Ancak yine de deneyebileceğiniz başka yöntemler de var.
- Kötü amaçlı yazılımı farklı bir dizinden çalıştırmayı deneyin.
- Ekran çözünürlüğünü değiştirin.
- Kötü amaçlı yazılım çalışırken işletim sistemi üzerinde etkinlikler gerçekleştirin. (Farklı işlemler oluşturma, fareyi hareket ettirme, yazma vb.)