Bilindiği üzere çağımızın en önemli sorunlarının başında siber saldırılar gelmektedir. Teknolojinin gelişmesiyle birlikte etkisini daha da arttıran siber saldırılar birçok farklı amaç için gerçekleştirilebilmektedir. Son zamanlarda özellikle artan fidye yazılım saldırıları devletlere, kurumlara ve şirketleri ciddi zararlar vermiştir. Ödenen yüksek fidyelerin haricinde yaşanan itibar kaybı da kurum ve firmaları ciddi anlamda etkilemiştir. Siber saldırılar gerçekleşirken birçok zararlı yazılım türü kullanılabilir. Bu zararlar yazılımlar; solucan, Truva atı, rootkit, fidye yazılım, scareware, casus yazılım gibi çok sayıda çeşidi bulunmaktadır. Bugün ki yazımızda bu zararlı yazılımların analizi nasıl yapılır konusuna değineceğiz. Burada anlatacağımız başlıklar genel bilgilendirme niteliğinde olup, detaylı bilgi için alanında uzman siber güvenlik ekibimizden bilgi alabilirsiniz. Şimdi konumuza dönelim.
Zararlı yazılım; kısaca kullanıcıya, bilgisayara ya da ağa zarar veren kötü amaçlı yazılımlar olarak tanımlanır. Genel anlamda zararlı yazılımlar 3 temel teknikte incelenmektedir. Bunlar; statik analiz, dinamik analiz ve hybrid analizdir.
Statik analiz; zararlı yazılım çalıştırılmadan önce hakkında bilgi toplanması işlemine verilen isimdir. Bu analiz yöntemi sayesinde bir dosyanın zararlı yazılım içerip içermediğini öğrenmek mümkündür. Fakat bu analiz yönteminde zararlı yazılımın tam manasıyla amacı saptanamaz. Bunu öğrenmek için ise dinamik analiz yöntemi kullanılır.
Dinamik analiz; bu analiz yönteminin bir diğer adı davranışsal analizdir. Bu yöntemde zararlı yazılım çalıştırılarak; etki alanı, gerçekleştirdiği işlemler, oluşturmuş olduğu işlemler, komuta kontrol sunucusu gibi IP adresleri gibi bilgiler edinebilir. Bu analiz yöntemi kullanılırken tersine mühendislik konusunda ciddi anlamda bilgi sahibi olunması, zararlı yazılım çalıştırıldığında bize ya da ağa zarar vermemesi için izole konumda olması açısından önemlidir.
Hybrid analiz ise statik ve dinamik analizin birlikte gerçekleştirildiği analiz yöntemidir. Birazdan bu teknikleri biraz daha yakından inceleyeceğiz. Ayrı ayrı konu başlıklarına değinmeden önce şu konuya da değinmekte fayda vardır. Günümüz teknolojisinde malware adı verilen zararlı yazılımların analizini gerçekleştiren sandbox adında sistemler bulunmaktadır.
Bu sistemler analizi otomatize hale getirmektedir. Sandboxlar zararlıların statik ve dinamik analizini otomatize şekilde gerçekleştirirler ve rapor sunarlar. Ne yazık ki birkaç tane sandbox yazılımı hariç çoğu sandbox yazılımı işletim sistemi içerisinde çalıştırdığı çeşitli ajanlar yüzünden (bunlar event/network monitoring ajanları, sanallaştırma servisleri vs. olabilir) kolayca anti analiz tekniği geliştirilebilir. Bu nedenle manuel analiz teknikleri kullanılmaktadır. Şimdi 3 temel analiz tekniğine biraz daha yakından bakalım.
Statik Analiz: Bu analiz yönteminde kullanılabilecek ilk araçlardan biri virüstotaldir. Virüstotal, zararlı yazılımın imza tabanlı araştırmasının yapılabileceği bir platformdur. Zararlı yazılımın daha önceden bir imza veri tabanında bulunup bulunup bulunmadığını kontrol edebiliriz. Akabinde yazılımın içerdiği stringlere bakarak hangi kütüphaneler kullanılmış hangi DLL’ler kullanılmış görebiliriz. Unutmamak gerekir ki statik analiz zararlı yazılım çalıştırılmadan önce hakkında bilgi toplamak için yapılan bir analiz yöntemidir. Bu işlemden sonra zararlı yazılım muhtemelen paketlenmiş ya da kod karmaşıklaştırma şekliyle karşımıza çıkacaktır. Bu nedenle mantıklı string göremeyiz.
Yazılımın analiz edilebilmesi için öncelikle paketten çıkarılması gerekmektedir. Burada yazılımın hangi paketleyici kullandığını bulmak için bazı toollar kullanılır. Örnek olarak PEID, DIE gibi toollar. Paketten çıkarılan yazılım çeşitli araçlarla taratılarak indikatörlerini inceleyebiliriz. Böylece zararlı yazılımı çalıştırmadan önce bazı bilgilere haiz olabiliriz.
Dinamik Analiz: Bu analiz yönteminde zararlı yazılım çalıştırılarak, dosya dizinlerdeki hareketleri, network aktiviteleri, DNS sorguları, kayıt defteri üzerindeki aktiviteleri gibi durumlar incelenir. Burada yine bazı temel araçlar kullanılır. Bu analiz yönteminde; wireshark, Burpsuite, Sandbox, FakeDNS gibi araçlar kullanılmaktadır. Dinamik analiz işlemini gerçekleştirirken elimizdeki zararlı PE dosyasını çalıştıracağımız için bu ortamın izole olması gerekmektedir. Eğer bu izolasyon durumu sağlanmaz ise kendi sistemimize ya da ağda bulunan diğer sistemlere zarar verebilir. Bu analiz yöntemini gerçekleştirirken iki adet sanal makine kurmak yeterli olacaktır. Bu sanal makinelerin kurulma sebebi, zararlı yazılımın internet üzerinde yaptığı işlemleri ve komuta kontrol sunucuyla haberleşmesini görebilmek içindir.
Bu analiz yöntemlerinin haricinde “bellek analizi” dediğimiz bir analiz yöntemi daha bulunmaktadır. Bellek analizi; daha çok adi vakalarda karşımıza çıkmaktadır. Bellek analizi kısaca, enfekte olmuş bilgisayarın o anki ram imajı alınmasıyla çeşitli araçlarla incelenmesi işlemidir.
İçerisinde zararlı yazılım çalıştığı tespit edilen veya incelenmek üzere zararlı yazılım çalıştırılan bilgisayarın bellek imajını almak için Win32dd / Win64dd, Memoryze, DumpIt, FastDump gibi araçları kullanabiliriz. İncelemeler yapılırken elde edilen verileri, analizi yapan kişi tarafından doğru algılanabilmesi ve raporlanması önem arz etmektedir. Bu sayede zararlı yazılımın arka planda gerçekleştirdiği işlemleri, kullandığı enjeksiyon tekniklerini, değişiklik yaptığı ya da yeni oluşturduğu dosyaları görebiliriz.
Siber güvenlik alanında destek almak, siber güvenlik yazılımlarımız ve hizmetlerimiz hakkında bilgi sahibi olmak için BBS Teknoloji ekibiyle iletişime geçebilirsiniz.
