Kötü amaçlı yazılımın ağ trafiğini analiz etmek, siber güvenlik ekiplerinin kötü amaçlı yazılımın davranışını anlamasına, kökenlerini izlemesine ve hedeflerini belirlemesine yardımcı olur.
Analistler bu bağlantıları inceleyerek kötü amaçlı kalıpları tespit edebilir, komuta ve kontrol sunucularıyla iletişimi ortaya çıkarabilir ve tehdidin tüm kapsamını anlayabilir.
İşte ağ trafiği analizi için beş temel araç. Her birinin süreci nasıl basitleştirdiğini ve geliştirdiğini inceleyelim.
1. Paket Analizörü
Genellikle “paket algılayıcılar” olarak adlandırılan paket analizörleri, ağ üzerinde hareket eden paketleri yakalayan ve denetleyen araçlardır.
Bu, virüs bulaşmış bir sistemden gelen ve giden tüm verileri görüntülemenize olanak tanıyarak kötü amaçlı yazılımın komuta ve kontrol sunucularıyla nasıl iletişim kurduğunu, verileri nasıl sızdırdığını veya bir ağ içinde nasıl yayıldığını anlamanızı sağlar.
Örneğin, giden paketleri takip etmek, kimlik bilgileri, çerezler ve diğer özel bilgiler de dahil olmak üzere çalınan verilerin belirlenmesine yardımcı olabilir.
İçinde ANY.RUN’un sanal alanı, Ağ Akışı penceresi Her bağlantı için veri alışverişine ayrıntılı bir bakış sunarak trafik düzenlerini ve paket içeriklerini analiz etmenize olanak tanır.
Alınan paketlerin mavi renkle ve gönderilen paketlerin yeşil renkle vurgulandığı, iletişim akışlarının izlenmesini ve kötü amaçlı yazılımın ağ davranışının anlaşılmasını kolaylaştıran ham ağ akışı verilerine erişmek için belirli bir bağlantıyı seçmeniz yeterlidir.
Analyze Unlimited Phishing & Malware with ANY.RUN For Free - 14 Days Free Trial
2. Suricata Kimlikleri
Suricata, ağ trafiğini izleyen ve izinsiz giriş önleme, ağ güvenliği izleme ve paket yakalama yetenekleri içeren açık kaynaklı bir izinsiz giriş tespit sistemidir (IDS).
Suricata, ağ trafiğini bilinen saldırı kalıplarına göre analiz eder ve şüpheli etkinlikleri işaretleyerek potansiyel kötü amaçlı yazılım davranışlarının gerçek zamanlı olarak belirlenmesine yardımcı olur.
Gibi hizmetler dahilinde HERHANGİ BİR ÇALIŞMASuricata, paket ve akış verilerini bir kural kümesine göre analiz ederek olası tehditleri işaretleyerek şüpheli etkinliği hızlı bir şekilde tespit etmenize yardımcı olur.
Bu araç, kötü amaçlı yazılımların yürütülmesi sırasında olağandışı bağlantılar veya veriler hakkında değerli uyarılar sağlar.
3. MITM Vekili
Kötü amaçlı yazılım analistleri için şifrelenmiş trafiği ortaya çıkarmak, saldırganın yöntemlerini ve veri sızdırma yollarını ortaya çıkarmak açısından kritik öneme sahiptir. MITM (Ortadaki Adam) Proxy’nin ortaya çıktığı yer burasıdır.
MITM Proxy aracı kendisini bir aracı olarak ekleyerek çalışır ve analistlerin kötü amaçlı yazılım ile onun komuta ve kontrol (C2) sunucuları arasındaki HTTPS trafiğini yakalamasına ve şifresini çözmesine olanak tanır.
Araç, HTTPS isteklerini yakalayarak gerçek zamanlı trafiği izlemek için gereken şifre çözme anahtarlarını güvence altına alır. Bu süreç, şifrelenmiş bilgileri tamamen okunabilir hale getirerek analistlerin IP’ler, URL’ler veya çalınan kimlik bilgileri gibi kötü amaçlı yazılım tarafından toplanan veya iletilen belirli verileri incelemesine olanak tanır.
Örneğin, ANY.RUN’un sanal alanında MITM Proxy özelliği, kullanıcıların şifresi çözülmüş HTTPS trafiğini organize bir arayüzde görüntülemesine olanak tanır. Analistler, iletişim akışlarının ayrıntılarını görmek için paketlere tıklayabilir ve daha derin analiz için SSL anahtarlarını inceleyebilir.
İşte bir XWorm kötü amaçlı yazılım örneğinin analizivirüslü sistemlerden veri sızdırmak için bir Telegram botuna bağlanan.
MITM Proxy ile ana bilgisayar ile Telegram botu arasındaki trafiğin şifresi çözülür.
XWorm’un GET istek başlığını incelemek, bir Telegram bot jetonunu ve saldırganların çalınan verileri almak için kullandığı sohbet kimliğini ortaya çıkarıyor. Bu bileşenlerle diğerlerini engelleyebiliriz veri sızdırıldı virüslü tüm makinelerden alınan numuneyle.
PCAP Çıkarıcı, kötü amaçlı yazılım analizi sırasında ağ trafiği verilerini yakalamak ve korumak için kullanılan bir araçtır. PCAP dosyaları (Paket Yakalama dosyaları), virüslü sistem ile harici bağlantıları arasında iletilen her paket dahil olmak üzere ham ağ verilerini depolar.
Araç, bu verileri PCAP formatında kaydederek analistlerin paket düzeyindeki ayrıntıları çevrimdışı olarak veya ek yazılımla yeniden ziyaret etmesine ve incelemesine olanak tanır.
ANY.RUN’da entegre PCAP Çıkarıcı, HTTP istekleri, DNS sorguları ve C2 sunucularıyla iletişim dahil olmak üzere kötü amaçlı yazılım oturumundan gelen tüm ağ trafiğini toplar.
ANY.RUN içinden PCAP verileri indiriliyor
5. Kötü Amaçlı Yazılım Korumalı Alanı
Kötü amaçlı yazılım korumalı alanı, gerçek sistemleri riske atmadan kötü amaçlı dosyaları güvenli bir şekilde analiz etmek ve davranışlarını gözlemlemek için tasarlanmış yalıtılmış bir sanal ortamdır.
Korumalı alanın ana avantajlarından biri, bazılarının paket analizörleri, MITM proxy’leri, IDS ve PCAP çıkarıcıları gibi kötü amaçlı yazılım analizi için gerekli tüm araçları tek bir yerde entegre etmesidir. Bu, kötü amaçlı yazılımın ne yaptığını tam olarak anlamak için farklı araçlar arasında geçiş yapmanıza gerek olmadığı anlamına gelir.
ANY.RUN sanal alanında kötü amaçlı yazılımların ağ trafiğini analiz etme
Örneğin, ANY.RUN gibi etkileşimli kötü amaçlı yazılım sanal alanlarında, tüm ağ bağlantılarını, HTTP ve DNS isteklerini ve bunların kötü amaçlı yazılım yürütme sırasında başlatılan belirli işlemlere nasıl bağlandığını görebilirsiniz.
Bu, tehditlerin büyük resmini görmenizi sağlayarak her bir bileşenin nasıl etkileşimde bulunduğunu anlamanıza yardımcı olur ve bu da tespit ve müdahale çabalarını büyük ölçüde artırır.
Kötü Amaçlı Yazılımın Ağ Trafiğini Daha Hızlı Analiz Edin
Yukarıda bahsedilen araçlar, kötü amaçlı yazılımın ağ davranışını analiz etmek ve kötü amaçlı yazılımın nasıl iletişim kurduğunu, yayıldığını ve potansiyel olarak veri sızdırdığını ortaya çıkarmanıza yardımcı olmak için önemlidir.
Bununla birlikte, ANY.RUN sandbox gibi hizmetleri kullanarak bu araçları birlikte çalışarak kullanabilirsiniz; bu, size her sürecin daha büyük bir resmini ve tehdidin tüm kapsamını sunar.
Ready to get started? Try ANY.RUN sandbox free for 14 days and experience interactive malware analysis firsthand.