SECURITYSECURITY GENEL

5 Adımda Malware Analizi

5 Adımda Malware Analizi

beş adımda ücretsiz malware analiz araçlarını inşa edin.

kötücül yazılımının inceleme kapasitesi, bilişim takımınızın güvenlik arızası kaynağını daha rahat incelemesini sağlar ve başka virüslerden koruyabilir. burada kontrol altına alınmış kötü amaçlı yazılım analiz labının nasıl kurulacağı var-ücretsiz

adım 1-analiz labı için fiziksel ya da sanal sistemler ayırmak

adım 2-laboratuvar sistemlerini üretim ortamından izole etmek

adım 3-davranışsal analiz araçlarını yükleme

adım 4-kod-analiz araçlarını yükleme

adım 5-çevrim içi analiz araçlarından faydalanma

sonraki adımlar.

güvenliği kırılan bilgisayarların çoğunun nedeni kötücül yazılımlardır (malware), bunlar kurbanın iş istasyonuna ya da sunucusuna ulaşmak için bir yol bulur. arıza incelenirken, bilişim cevaplayıcısı genelde şu sorulara cevap arar: malware örnekleri sistemde ne gibi hareketlenmelere neden olur? bu nasıl yayılır? eğer oluyorsa, saldırıcıyla nasıl irtibat devam ettirilir? bu soruların hepsi kontrol altına alınmış bir ortamda sorun yaratan malware’in analizi sonucunda cevaplanabilir
basit bir analiz araç takımı , ücretsiz ve ulaşılabilir bir yazılımından üretilmiş olan, hem size hem de sizin bilişim takımınıza günümüz güvenlik arızalarına karşılık vermeniz için yeteneklerinizi geliştirmenize yardımcı olur. aşağıdaki adımlar başlamanıza yardımcı olacaktır. windows ortamında malware analizine odaklanacağız, çünkü windows platformu özellikle malware yazarları arasında oldukça ünlü….

Adim 1: Analiz laboratuvarında, fiziksel veya sanal sistemlerin tahsisi

Kotu niyetli yazılımı inceleyip, sistemi etkileme evresi ve daha sonra nasıl davrandığını gözlemlemek için, uygun izleme araçlarının kullanımı gerekir.
Bu da, üretim ortamınızı etkileyecek bir bulaşım olmamasını sağlayacak bir laboratuvar sistemi gerektirir.
Böyle bir laboratuvar sistemini kurmak için en popüler ve esnek yol ise; çoklu sanal sistemleri barındırarak kendi sisteminizden başka bir işletim sistemi çalıştırmanıza izin veren sanallaştırma yazılımlarıdır.
Ücretsiz sanallaştırma yazılımları için seçenekleriniz şunlardır:

–     VMware Server
–     Windows Virtual PC
–     Microsoft Virtual Server
–     VirtualBox

Diğer sistemlerle etkileşime girmeye çalışan, saldırganın talimatlarını çalıştırmayı deneyen, kendini yükseltmeye çalışan( update/up-grade ) ve belki de veri sızdırmaya çalışan kötücül yazılımları analiz etmek için fiziksel makine kullanımı gayet yararlı bir yöntemdir.
Sanallaştırmanın kolay kurulumu ve çok sayıda fiziksel güç harcamaması bu tür sistemleri kullanmayı kolaylaştırır.
Birçok sanallaştırma programının en önemli özelliği laboratuvar sisteminin anlık görüntülerini çekebilmesidir.
Bu şekilde, kötücül yazılım bulaşmadan önce sistemi kayıt edip, analiz sonunda tek tıklamanız ile bozulmamış laboratuvara geri dönebilirsiniz.
Eğer bir sanallaştırma yazılımı kullanacaksanız, sanallaştırmaya mümkün olduğu kadar RAM ayırın. Zira sanal makinelerde RAM en önemli performans faktörüdür.
Buna ek olarak, büyük boyutlarda harddisklere sahip olmak, size birçok sanal makineyi barındırma imkanı sunacağı gibi, bu sanal makinelerin sistem dosyalarını da klasik klasörlermiş gibi bilgisayarınızın harddiskinde saklama imkanı sunacaktır.
Çünkü, kotu amaçlı yazılım sanallaştırılmış bir ortamda çalıştığını algılayabilir. Eski ve kullanılmayan bilgisayarlarınız malware analiz laboratuvarı olarak kullanılmak için biçilmiş kaftan olacaktır. Zira yüksek performansa ve son derece gereksiz bileşenlere ihtiyaç duymayacaklardır.

Kotu amaçlı yazılımın laboratuvarlarda tam potansiyele ulaşmasını sağlamak için laboratuvarlar birbirlerine bağlanmış durumdadır.Bu da kotu niyetli programın ağ etkileşimlerini görmenize büyük ölçüde katkıda bulunur. Eğer fiziksel sistemler kullanmaktaysanız, ucuz bir hub veya switch işinizi görecek ve rahatça laboratuvarlarınızı birbirlerine bağlayabileceksiniz.

Adım-2 Laboratuvar sistemlerini üretim ortamından izole etmek.

Herhangi bir virüs kaçış riskini azaltmak için üretim ağından zararlı yazılım analiz laboratuvarını izole etme önlemleri almalısınız.
Güvenlik duvarı kullanarak üretimden laboratuvar ağını ayırabilirsiniz.
Daha iyisi, kötü amaçlı yazılımın güvenlik duvarını aşmak istediğinde oluşan yapılandırma problemlerinde laboratuvar ve üretim ağının hepsini bağlamanız gerekmez.
Eğer laboratuvar ağınız güçlü bir şekilde izole edilirse, laboratuvarınızda kötü amaçlı yazılım geliştirmek için kaldırılabilir medya araçlarını kullanabilirsiniz. USB anahtarını sadece bir kez yazarak kötü amaçlı yazılımların kaçmasını engellemek en iyi yoldur. USB anahtarı kullanmanız, bir CD den daha fazla özelliği (yazma-koruma) sizin yararınıza olacaktır. Bazı malware analiz senaryoları internete bağlı olan laboratuvara fayda sağlar.
Bu tür bağlantı için kendi üretim ağınızı kullanmaktan kaçının.
Mümkünse bu amaç için DSL hattı kullanabilirsiniz. (Pahalı değildir ve amacınıza göre ayırabilirsiniz.) İnternet ortamında ki saldırıları en aza indirmek için internet bağlantınızı sürekli açık tutmaktan kaçının. Sanal laboratuvarınız’ın güvenliği için yazılım geliştiricisi tarafından güvelik yamalarının yayınlanıp yayınlanmadığını kontrol edin. Böyle bir yazılımın açıklarından kendi ana sisteminize bir malware kaçabilir. Ayrıca, başka hiçbir amaç için sanallaştırılmış makineyi kullanmayın.

Adım 3: Davranışsal analiz araçlarını yükleyin

Öncelikle laboratuvar sistemine kötü amaçlı yazılımın örneğini enjekte etmeye hazırsın , sana uygun izleme araçları kurmalı ve aktif etmelisiniz. Windows kötü amaçlı yazılımların etkileşimini gözlemleyebileceğimiz ücretsiz araçlar şunlardır:

—Dosya sistemi ve kayıt defteri izleme: Process Monitor ve Capture BAT kayıt defteri girdilerini ve dosyalarını gerçek zamanlı olarak gözlemlemek , yazmak ve silmek için için güçlü bir yol sunar . Bu araçlar kötü amaçlı yazılımların nasıl gömülerek enfeksiyon oluşturulabildiğini anlamamıza yardım eder .
—Süreç izleme : Process Explorer ve Process Hacker ’Windows Görev Yönetici ’ nin yerine bakar , kötü amaçlı yazılımların işlemlerini gözlemlemeye yardım eder , yerel ağ bağlantılarıda dahil olmak üzere ’port’ açmayı deneyebilirler .
—Ağ izleme : Wireshark ve SmartSniff gibi ağ takip edicileri (koklayıcıları ) laboratuvar ağ trafiğini kötü niyetli iletişim girişimlerinin nasıl olabildiğini gözlemler , girişimler şöyle olabilir , DNS çözümleme isteklerini, bot trafiği, ya da indirmelerini .
—Değişim algılama : Regshot küçük bir araçtır , sistemin enfeksiyondan önceki durumunu ve önceki durumu karşılaştırmak için , önemli değişikliklerini vurgular dosya sistemi ve kayıt defterinde yapılanlar gibi .

Adım 4: Kod-analiz aracını indirin.

Kodu incelemek, uygulamadaki bozukluğun çözülmesinde davranışsal analizden daha işe yarar olabilmektedir. Zararlı bir uygulamada, zararlının kaynak kodlarını inceleyebilmek ve yapıldığı ortama sızabilmek bir lükstür. Fakat aşağıda vereceğim 2 ücretsiz uygulama derlenmiş Windows uygulamalarını incelemenizde ve kaynak görüntülemelerinde kolaylık sağlayacaktır:
Çözümleyici ve debug edici: OllyDbg ve IDA Pro Freeware Windows exe’lerini tersine çevirebilir, ve kodlarını Intel x86 mimarisine göre gösterebilir. Bu iki program aynı zamanda debug etme özelliğine de sahip olup zararlı yazılımın belli kısımlarını çalıştırabilmeye, böylece cihaz üzerine etkisinin ne olacağını kontrollü bir şekilde görmemize yarayan araçlara sahiptir.
Memory dumper: LordPE ve OllyDump lab sistemindeki hafızada bulunan kodu bir dosyaya aktarmamızı sağlar. Bu teknik paketlenmiş uygulamalarda çokça işe yarar çünkü çalışmadıklarını yönergeleri ve kodları kriptolanmıştır ve sadece çalıştıklarında bunları dekripte ederek hafıza aktarırlar.

Adım 5: Online analiz araçlarını kullanın

Malware analiz araç setinizi tamamlamadan önce online analiz araçlarından da ekleyin. Bu araçlardan bir kategori exe’nin davranışsal analizini yapmaktadır. İlk bakışta bu ücretsiz uygulamalar çok benzeseler de, aslında arkalarında dönen teknik çok daha farklıdır. Malware’ınızı bu sitelerden birine yükleyin ve sonuç aldığınızı görün. Bazı siteler malware çeşidine göre daha da faydalı olabilmektedirler. Bu araçlardan bazıları bunları içerir:
Anubis
CWSandbox
Joebox
Norman SandBox
ThreatExpert
Başka bir kategori web sayfaları da zararlı yazılım hostingi yapıldığı düşünülen bazı web sitelerini listelerler. Bazıları gerçek zamanlı olarak incelerken bazıları geçmiş verilerden yola çıkar. Şüpheli bir URL’yi aşağıda yazan web sayfalarına taratın ve bunu yaparken aynı anda iki üç taneye taratın, çünkü birinde kayıtlı olmayan web sayfası diğerlerinde kayıtlı olabilir:
Gerçek zamanlı tehdit taraması: AVG LinkScanner, ve Wepawet
Geçmişe dönük güvenilirlik taraması: Norton Safe Web, McAfee Site Advisor, ve WOT (Web of Trust)

Sonraki Adımlar:
İlk araç butonu ile sisteminizi, e-posta kutusunu ve web üzerinde ki malware raporlarına ulaşabilirsiniz. Bu süreç içerisinde size yardımcı olabilecek bir kaç hile yöntemlerinden göstereceğiz:

Tersine Mühendislik Malware
Zararlı Dosyaların İncelenmesi

Sizin için en başarılı yaklaşım yöntemi araçları analiz etmek olacaktır. Malware örneğinin iç işleyişini daha sonrada araçları ve teknikleri öğrenmeniz gerekebilir, ona göre hareket etmelisiniz. Listelenen araçlarda ki her adım hemen hemen aynı mantıkla çalışır. Hepsini deneyin, çekinmeyin. Aracı iyi kavrayın ve mantığına göre kullanmaya çalışın. Zaman ve sabır çerçevesi içerisinde kötü amaçlı yazılımlara karşı tüm bilgilendirmeleri öğreneceksiniz.

Etiketler

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu
Kapalı
Kapalı