Kötü amaçlı yazılım korumalı alanı, tehditlerin ağ trafiği de dahil olmak üzere kötü amaçlı davranışları incelemek için çeşitli araçlar sunan çok yönlü bir çözümdür.
Hızlı bir sanal alan analizi, kötü amaçlı yazılımın komuta ve kontrol sunucusuyla ve yüklerinin depolandığı harici kaynaklarla iletişimi gibi tonlarca yararlı bilgiyi ortaya çıkarabilir. Trafik araştırmalarının bir parçası olarak bir sanal alanın öğrenmemize başka neler yardımcı olabileceğini öğrenelim.
1. HTTP İstek Analizi
HTTP istek analizi, kötü amaçlı yazılım tarafından yapılan bağlantı isteklerinin ayrıntılarını incelemeye yönelik bir yöntemdir.
Gibi bir sanal alanda HERHANGİ BİR ÇALIŞMAsayesinde kullanıcılar, URL bağlantısının yanıtı ve içeriği de dahil olmak üzere bu ayrıntıların kapsamlı bir görünümünü elde edebilir. Belirli bağlantılara odaklanmayı kolaylaştıran URL’ye göre filtreleme özelliği de mevcuttur.
Örnek: Kötü Amaçlı Yazılımın Kaçış Girişimini Açığa Çıkarma
Hadi yükleyelim Agent Tesla kötü amaçlı yazılımının bir örneği Ağ trafiği analizinin nasıl gerçekleştirilebileceğini göstermek için sanal alana.
HTTP İstekleri sekmesi, kötü amaçlı yazılımın yürütülmesi sırasında başlatılan belirli işlemlerle ilgili bağlantıları ortaya çıkarır.
Bizim durumumuzda PID 6444 işlemi Agent Tesla yüküne karşılık gelmektedir. İşlemle ilişkili HTTP protokolü bağlantısının daha ayrıntılı incelenmesi, kötü amaçlı yazılımın meşru bir internet teşhis hizmeti olan ip-api.com’a bağlanmaya çalıştığını gösterir.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware files
Tehdit aktörleri bunu, makinenin bir barındırma sağlayıcısı IP adresi kullanıp kullanmadığını kontrol ederek sanal alan ortamını tespit etmek de dahil olmak üzere ek istemci bilgileri toplamak için kullanır. Kötü amaçlı yazılım, bu bilgilere dayanarak tespit edilmekten kaçınmak için çalışmayı durdurabilir.
ANY.RUN sanal alanı, analiz sırasında ağ trafiğini bir konut proxy’si üzerinden yönlendiren Yerleşik Proxy özelliğini etkinleştirerek bu kaçınma tekniğine karşı koymayı kolaylaştırır. Bu, ip-api.com’un sanal alanın gerçek IP adresini açığa çıkarmasını önler ve kötü amaçlı yazılımın kesintisiz çalışmasını sağlar.
Ağ bloğunun HTTP İstekleri sekmesinde ip-api.com bağlantısına tıkladığımızda GET isteğinin URL’si gibi HTTP bağlantı verilerini görüyoruz (…ip[-]API[.]com/line/?fields=hosting) ve sunucunun yanıtı – false.
2. Suricata Kuralı Tespiti
Suricata, gerçek zamanlı trafik analizi için sanal alanda kullanılabilecek açık kaynaklı bir ağ güvenlik aracıdır. ANY.RUN’un veritabanı, kötü amaçlı yazılımlarla ilgili faaliyetler de dahil olmak üzere şüpheli trafiği tespit etmek için hizmetin şirket içi analist ekibi tarafından oluşturulan 1.800’den fazla kural içerir. Aynı zamanda Emerging Threats Pro ve Emerging Threats Open kural setlerini de entegre eder.
Örnek: Ajan Tesla’nın C2 İletişimini Görüntüleme
Ajan Tesla örneğinin analizine devam edelim ve tetiklenen Suricata kurallarının listesini inceleyelim. Hizmet, Suricata IDS tarafından tespit edilen tüm tehditlerin aynı PID 6444 sürecinden kaynaklandığını gösteriyor.
19 saniyede IDS uyarısının seçilmesi. Analiz başlatıldıktan 381 ms sonra “ET MALWARE AgentTesla Exfil via FTP” mesajına tıklanması, kötü amaçlı yazılımın veri sızdırma için bir C2 FTP kanalı kullandığını gösterir.
Açılan pencerede üç sekme vardır: Ana, Veri Akışı ve Suricata kuralı.
Ana sekme, meta veriler, tetiklenen kuralın açıklaması, Wireshark’ta bağlantının kolay aranması için kopyalanabilir bir filtre, aktarım katmanı ve uygulama katmanı protokolleri, bağlantının adresleri ve bağlantı noktaları dahil olmak üzere tehditle ilgili ayrıntılar sağlar.
Akış Verileri sekmesi, ayrıntılı bağlantı verilerini kullanışlı, kompakt bir formatta görüntülemenizi sağlar. Ağ mesajlarını genişletmeyi ve bunlar arasında gezinmeyi kolaylaştırır.
ANY.RUN’daki Suricata kuralı içerikleri
Suricata kuralı sekmesi, tespit için kullanılan Suricata kuralının ayrıntılarını keşfetmenize olanak tanır.
3. Ağ Akışı Analizi
Ağ akışı analizi, kötü amaçlı yazılım davranışının anlaşılmasını kolaylaştıran, sanal alanların bir başka güçlü işlevidir. ANY.RUN’da paket içeriğini ve akışları inceleyebilir veya daha fazla analiz için verileri PCAP formatında indirebilirsiniz.
Analiz, kötü amaçlı yazılım yapılandırmasına (proxy’ler, C2 adresleri, veri paketleme/alma), çalınan verilere (şifreler, oturum açma bilgileri, çerezler) ve indirmelere (PE dosyaları dahil) ilişkin bilgiler sağlar.
Örnek: Kötü Amaçlı Yazılımın Bağlantılarını Görüntüleme
ANY.RUN, analiz sırasında kaydedilen bağlantıların bir listesini sunar. Bunlardan ilki IP adresi isteği, ikincisi FTP kontrol bağlantısı ve üçüncüsü ise çalınan verileri içeriyor.
Agent Tesla istemcisinin ftp.jeepcommerce ile bağlantısına tıklamak[.]60365 numaralı bağlantı noktasındaki rs, iki ana bilgisayar arasındaki iletişimi inceleyebileceğimiz bir Ağ Akışı penceresi görüntüler.
Burada ayrıca bir Wireshark filtresi edinebilir veya daha sonra kullanmak üzere (örn. CyberChef’te) HEX/Text alt dizilerini seçip kopyalayabilirsiniz.
ANY.RUN’da Kötü Amaçlı Yazılım ve Kimlik Avı Saldırılarını Analiz Edin
ANY.RUN’un sanal alanı, kimlik avı ve kötü amaçlı yazılım analizini kolaylaştırarak tehditlere ilişkin eyleme dönüştürülebilir öngörüleri 40 saniyeden kısa sürede sunar.
ANY.RUN’un özel ekip çalışma alanı, Windows 10 ve 11 VM’leri ve esnek analiz ortamı yapılandırmaları dahil gelişmiş özelliklerini ücretsiz olarak keşfedebilirsiniz.
Integrate ANY.RUN Malware Sandbox solutions into your company: Request a 14-day free trial of the service!