Zararlı yazılım analizi, sizi ve sahip olduğunuz dijital verileri koruma hedefli bir analiz çeşididir. Bu konuya geçmeden önce konuyla ilgili daha detaylı bilgi verelim.
Zararlı Yazılım Nedir?
Zararlı yazılım, hedefteki kullanıcıya, bilgisayara hatta internet ağına zarar veren kötü niyetli yazılım çeşididir. Siber saldırıların kaynağı olan bu yazılımlarla karşı tarafa zarar vermek hedeflenir. Solucan, rootkit, scareware, casus, Truva atı en bilindik zararlı yazılım türleridir.
Zararlı Yazılım Analiz Teknikleri Nelerdir?
4 tane zararlı yazılım analiz tekniği vardır. Bunlar;
- 1)Temel statik analiz
- 2)Dinamik analiz
- 3)Hibrid analiz
- 4)Bellek analizi
Temel Statik Analiz
Temel statik analiz, zararlı yazılımı tanımak adına çalıştırılmadan önce onun hakkında bilgi toplanması anlamına gelen analiz çeşididir. Temel Statik analizde genellikle virüstotal aracı kullanılır. Bu araç, zararlı yazılımın imza tabanlı araştırmasının yapılabileceği bir araçtır. Temel statik analizde zararlı yazılım bulunur ama amacı anlaşılmaz.
Temel Statik Analizde Yapılacaklar
- Yazılımın daha önceden bir imza veri tabanında bulunup bulunmadığını kontrol edilmeli
- Yazılımın içerdiği stringlere bakarak kullandıkları hakkında bilgi edinilmeli.
- Eğer Packer halindeyse öncelikle bu paketten çıkarılmalı.
- Yazılımın hangi packer kullanılarak paketlendiğini bulmak için PEiD, DiE(Detect it Easy) gibi toollar kullanılabilir.
- Paketten çıkarılan yazılım, PEstudio aracında taranarak indikatörleri incelenmeli.
- Disassembler kullanılarak yazılımın assembly kodları okunup anlamlandırılmalı.
Dinamik analiz
Davranışsal analiz anlamına gelen dinamik analiz zararlı yazılımı çalıştırarak yazılımın etki alanını, gerçekleştirdiği işlemleri, komuta kontrol sunucusunu, IP adreslerini elde edebildiğimiz analiz türüdür.
Dinamik analizde yapılacaklar
- Sistemlere zarar vermemek için dinamik analiz işlemini gerçekleştirirken ortamın izole olması gerekmektedir.
- Dinamik analiz yapmak için iki sanal makineye ihtiyaç vardır. Bu sayede zararlı yazılımın internet üzerinde yaptığı işlemleri ve komuta kontrol sunucuyla yaptığı haberleşmeleri görebiliriz.
- Bunlardan birisi linux, diğeri ise zararlı yazılımın çalıştırılacağı işletim sistemi olmalı.
- Sanal makinaların ağ konfigürasyonları için Linux makine üzerindeki iki ağ kartı tanımlanmalı ve birisi NAT diğeri VM1 ağı olacak şekilde yapılandırılmalı ve işletim sistemi üzerinde VM1 ağı tanımlanmalıdır.
- Process Monitor ile, zararlı yazılımının process name veya process ID’sini filtre olarak eklenerek kayıt defteri, dosya sistemi değişikleri ve sistem üzerinde yaptığı tüm işlemler ve değişikler görülebilir.
- Process Explorer’ı kullanılarak zararlı yazılımın import ettiği DLL’ler, kullandığı API’ler görülebilir. LordPE aracı kullanılarak zararlı yazılımın PE header ve sectionlarını görülebilir.
- Zararlı yazılım manipüle edilerek yeni bir section oluşturulabilir.
- Regshot ile zararlı yazılım öncesi ve sonrası bellek dökümü karşılaştırılabilir.
Hybrid analiz
Hybrid analiz, statik ve dinamik analizin birlikte yapıldığı analiz yöntemidir.
Bellek Analizi
Bellek analizi, genelde adli vakalarda kullanılan ama zararlı yazılımlar için de faydası olan bir analiz türüdür. Bu analizde zararlı yazılım bulaşmış bilgisayarın o anki ram imajı alınıp çeşitli araçlarla incelenir.
Bellek analizi yaparken
- Bellek analizi için Win32dd / Win64dd, Memoryze, DumpIt , FastDump gibi araçları kullanılabilir. Bellek imajı üzerinde memory forensic gerçekleştirilir. Bunun için Volatility, Memoryze gibi araçlar kullanılabilir.
- Bu araçlarla processler, sistemde çalıştırılan komutlar, bağlı bulunulan ağ, dokümanlar, tarayıcı geçmişi gibi bilgiler elde edilebilir.
- Raporlama yapılır.
- Bellek analizi sayesinde zararlı yazılımın arka planda gerçekleştirdiği işlemler, kullandığı enjeksiyon teknikleri, değişiklik yaptığı, oluşturduğu dosyalar ve processler görülebilmektedir.