Kötü amaçlı yazılım korumalı alanları, potansiyel olarak zararlı yazılımları ve URL’leri analiz etmek için güvenli ve kontrollü bir ortam sunar. Ancak tüm korumalı alanlar, doğru analiz için gerekli olan özellikleri içermemektedir. Kötü amaçlı yazılım korumalı alanını etkili kılan beş bileşene bakalım.
- Davranış Analizi
Davranış analizi, kötü amaçlı yazılım korumalı alana almanın kritik bir yönüdür. Şüpheli dosyaların oluşturduğu eylemlere ve potansiyel tehditlere ilişkin öngörüler sağlar. Bu, birkaç temel alanın izlenmesini içerir:
AsynRAT’ın süreç grafiği ANY.RUN sanal alanı tarafından görüntülenir
- Süreçler: Kötü amaçlı yazılımların genellikle kötü amaçlı faaliyetlerini gerçekleştirmek için süreçler oluşturması, enjekte etmesi ve sonlandırması nedeniyle, bu değişiklikleri izlemek ve bunları kullanıcıya sindirilebilir bir formatta iletmek çok önemlidir.
- Kayıt: Kötü amaçlı yazılım, kalıcılığı sağlamak, sistem ayarlarını değiştirmek veya güvenlik özelliklerini devre dışı bırakmak için kayıt defterinde değişiklikler yapar. Bu tür etkinliklerin tespit edilmesi, tehdit araştırmalarında yararlı olur.
- Dosya sistemi: Kötü amaçlı yazılım, bileşenlerini depolamak, verileri çalmak veya sistem işlevselliğini bozmak için dosya ve dizinleri değiştirir. Uygun bir sanal alan, tüm bu etkinlikleri açığa çıkarır ve kodun kendisinde bulunmayan ek Uzlaşma Göstergelerini (IOC’ler) ortaya çıkarır.
Ek olarak, gelişmiş kötü amaçlı yazılım korumalı alanları, gözlemlenen davranışları, gerçek dünya gözlemlerine dayanan düşman taktikleri ve tekniklerinden oluşan evrensel bir bilgi tabanı olan MITRE ATT&CK çerçevesiyle eşleştirmelidir.
Bu şekilde, kullanıcılar yalnızca tehdidin ölçeğini tam olarak anlamakla kalmaz, aynı zamanda kötü amaçlı yazılımın etkisini tahmin etmek, etkili karşı önlemler oluşturmak ve kuruluşun genel güvenlik duruşunu iyileştirmek için eyleme dönüştürülebilir bilgiler de alabilir.
- Ağ Analizi
Ağ analizi, kötü amaçlı yazılımları etkili bir şekilde koruma altına almanın bir başka kritik bileşenidir ve ağ tabanlı etkinliklere ilişkin öngörüler sağlar. Bu süreç birkaç temel tekniği içerir:
- Paket Yakalama ve Denetleme: Ağ trafiğinin günlüğe kaydedilmesi ve kullanıcının içeriğini görüntülemesine izin verilmesi, kötü amaçlı yazılım ile diğer sistemler arasındaki etkileşimlerin derinlemesine bir görünümünü sunar. Bu, kaynak ve hedef IP adresleri, kullanılan bağlantı noktaları, ilgili protokoller ve iletişimlerin zaman damgaları gibi bilgileri içerir. Bu, kötü amaçlı yazılımın bir komuta ve kontrol (C&C) sunucusuyla iletişim kurmaya, savunmasız sistemleri taramaya veya başka kötü amaçlı etkinlikler gerçekleştirmeye çalışıp çalışmadığını ortaya çıkarabilir.
- Şifreli Trafik Analizi: Giderek daha fazla ağ trafiği şifrelendikçe, onu analiz etme yeteneği giderek daha önemli hale geldi. MITM proxy gibi yerleşik araçları kullanan sanal alanlar, HTTPS trafiğinin şifresini çözmeyi ve böylece kötü amaçlı etkinlikleri tanımlamayı mümkün kılar.
AgentTesla’nın sızma aktivitesinin Suricata tespiti HERHANGİ BİR ÇALIŞMADA
- Ağ Tehdidi Tespiti: Korumalı alanlar için yalnızca ağ trafiğine erişim sağlamak değil, aynı zamanda önceden tanımlanmış imzalara veya anormalliklere dayalı olarak potansiyel tehditleri otomatik olarak tespit etmek de önemlidir. Suricata IDS gibi çözümler, kötü amaçlı yazılım korumalı alanının ağ analizi yeteneklerini geliştirmek ve şüpheli ağ etkinliklerini işaretlemek için kullanılabilir.
- Statik Analiz
Korumalı alanlar genellikle dinamik analiz için kullanılsa da statik analizde de aynı derecede yararlı olabilirler:
- Dosyaları Analiz Etme: Korumalı alanlar, PDF’ler, LNK dosyaları ve Microsoft Office belgeleri gibi çeşitli dosya türlerine statik bir genel bakış sunabilir. Örneğin, kötü amaçlı PDF’ler şüpheli URL’leri tespit etmek için analiz edilebilirken, LNK dosyaları gömülü komutlar ve komut dosyaları açısından incelenebilir. Microsoft Office belgeleri kötü amaçlı makrolar, resimler, QR kodları vb. açısından incelenebilir.
Rspamd spam filtreleme modülünü kullanarak ANY.RUN’daki kimlik avı e-postasının statik analizi
- Spam ve Kimlik Avı E-postalarının Araştırılması: Korumalı alanlar, e-posta önizlemeleri, meta verileri görüntüleme ve Tehlike Göstergelerini (IOC’ler) listeleme olanağı sunarak, e-postanın kendisini açmadan e-posta içeriğini ve kaynak ayrıntılarını incelemenize olanak tanır. Ayrıca sanal alanlar, genellikle temel tespitten kaçınmak için kullanılan ZIP, tar.gz, .bz2 ve RAR dosyaları gibi kötü amaçlı arşiv eklerini etkili bir şekilde işleyebilir.
Statik analiz güçlü bir teknik olsa da her zaman tek başına yeterli olmadığını unutmamak gerekir. Bu nedenle korumalı alanlar, gerektiğinde dosyalar ve bağlantılarla manuel olarak etkileşime geçmek için etkileşim de sunmalıdır.
- Etkileşim ve Esneklik
Etkileşim, güvenlik ekiplerinin şüpheli yazılımın davranışı ve yetenekleri hakkında daha kapsamlı bir anlayışa sahip olmasını sağlayan, gelişmiş kötü amaçlı yazılım sanal alanlarının önemli bir özelliğidir.
Etkileşim, CAPTCHA korumalı kimlik avı sayfaları gibi durumlarda yardımcı olabilir
Etkileşim sayesinde güvenlik ekipleri, bağlantılara tıklamak, veri girmek veya sanal alan içindeki dosyaları açmak gibi çeşitli kullanıcı etkileşimlerini manuel olarak gerçekleştirebilir. Bu eylemler, ek davranışları tetikleyebilir veya kötü amaçlı yazılımın yalnızca otomatik analizle açığa çıkarılamayacak gizli yeteneklerini ortaya çıkarabilir. Örneğin, kimlik bilgilerini çalmak için tasarlanmış bir kötü amaçlı yazılım parçası, gerçek niteliğini yalnızca bir kullanıcı belirli bir web sitesinde veya uygulamada oturum açmaya çalıştığında ortaya çıkarabilir.
Manuel kullanıcı etkileşimlerine ek olarak, gelişmiş kötü amaçlı yazılım sanal alanları, güvenlik ekiplerinin farklı sistem ve ağ koşullarını özelleştirmesine ve taklit etmesine olanak sağlamalıdır. Bu, çeşitli işletim sistemlerini, yazılım yapılandırmalarını veya ağ ortamlarını içerebilir. Güvenlik ekipleri, bu koşulları taklit ederek kötü amaçlı yazılımın çeşitli senaryolarda nasıl davrandığını analiz edebilir.
- Raporlama
Korumalı alanlar genellikle bir olayı ele alırken veya bir tehdidi araştırırken güvenlik analistlerinin ilk aracı olduğundan, ayrıntılı ve anlaşılması kolay raporlar sunmaları gerekir. Her raporda, gerçekleştirilen eylemler, sistemde veya ağda yapılan değişiklikler ve belirlenen IOC’ler de dahil olmak üzere, kötü amaçlı yazılımın davranışının kapsamlı bir özeti bulunmalıdır.
Remcos örneği hakkında rapor oluşturma HERHANGİ BİR ÇALIŞMADA
Etkili bir kötü amaçlı yazılım korumalı alanı, bulguları hakkında net, ayrıntılı ve eyleme dönüştürülebilir raporlar sunarak, güvenlik ekiplerinin tehditlere nasıl yanıt verecekleri konusunda bilinçli kararlar almasına olanak tanıyarak kuruluşun genel güvenlik duruşunu iyileştirebilir.
ANY.RUN Sandbox
ANY.RUN, gelişmiş kötü amaçlı yazılım ve kimlik avı analizini kolaylıkla ve hızla yürütmek için gerekli tüm özellikleri içeren etkileşimli bir bulut sanal alanı sağlar. Ücretsiz sürüm, Windows 7 (x32), 10 (x64) ve Linux VM’lerinde sınırsız gönderim ve analiz sunarken premium planlar, dosyalarınızı ve URL’lerinizi özel olarak analiz etmenize ve özel alanınızda tüm ekibinizle birlikte çalışmanıza olanak tanır.
Siber tehditleri sınırsızca analiz etmek için ücretsiz ANY.RUN hesabınızı oluşturun.
Çözüm
Kötü amaçlı yazılım korumalı alanı, siber güvenlik profesyonellerinin cephaneliğindeki güçlü bir araçtır ve potansiyel tehditleri analiz etmek ve anlamak için güvenli bir alan sağlar. Kuruluşlar, davranışsal analiz, ağ analizi, IOC çıkarımı, etkileşim ve kapsamlı raporlamayı birleştirerek, sanal alanlarının yalnızca bir araç değil, siber tehditlere karşı sağlam ve etkili bir savunma hattı olmasını sağlayabilirler.
Yazar Hakkında
Vlad Ananin, ANY.RUN’da Teknik Yazardır. Siber güvenlik ve teknoloji alanındaki 5 yıllık tecrübesiyle, karmaşık kavramları daha geniş bir kitleye erişilebilir hale getirme tutkusuna sahiptir ve en son trendleri ve gelişmeleri keşfetmekten keyif alır. Vlad’a https://any.run/ şirketin web sitesinden çevrimiçi olarak ulaşılabilir.