Kötü Amaçlı Yazılım Analizi Nasıl Yapılır?


Kötü Amaçlı Yazılım Analizi

2022 Malwarebytes Tehdit incelemesine göre, 2021 yılında 40M Windows iş bilgisayarlarının tehditleri tespit edildi. Ve bu tür saldırılarla mücadele etmek ve bunlardan kaçınmak için kötü amaçlı yazılım analizi gerekiyor. Bu yazıda, kötü amaçlı programların araştırılmasının amacını ve bir sandbox ile kötü amaçlı yazılım analizinin nasıl yapıldığını anlatacağız.

Kötü amaçlı yazılım analizi nedir?

Kötü amaçlı yazılım analizi, kötü amaçlı bir örneği inceleme sürecidir. Araştırma sırasında, bir araştırmacının amacı, kötü niyetli bir programın türünü, işlevlerini, kodunu ve olası tehlikelerini anlamaktır. Kuruluşun izinsiz girişlere yanıt vermesi gereken bilgileri alın.

Aldığınız analiz sonuçları:

  • kötü amaçlı yazılım nasıl çalışır: programın kodunu ve algoritmasını araştırırsanız, tüm sisteme bulaşmasını durdurabilirsiniz.
  • programın özellikleri: ailesi, türü, sürümü vb. gibi kötü amaçlı yazılımlarla ilgili verileri kullanarak algılamayı iyileştirin.
  • kötü amaçlı yazılımın amacı nedir: hangi verilere hedeflendiğini kontrol etmek için örneğin yürütülmesini tetikleyin, ancak elbette bunu güvenli bir ortamda yapın.
  • saldırının arkasında kim var: IP’leri, kaynağı, kullanılan TTP’leri ve bilgisayar korsanlarının gizlediği diğer ayak izlerini alın.
  • Bu tür bir saldırıyı nasıl önleyeceğine dair bir plan.

Kötü amaçlı yazılım analizi türleri

Kötü Amaçlı Yazılım Analizi
Statik ve dinamik kötü amaçlı yazılım analizi

Kötü amaçlı yazılım analizinin temel adımları

Bu beş adımda, araştırmanın ana odak noktası, kötü amaçlı örnek, yürütme algoritması ve kötü amaçlı yazılımın çeşitli senaryolarda çalışma şekli hakkında mümkün olduğunca çok şey bulmaktır.

Kötü amaçlı yazılımları analiz etmenin en etkili yönteminin statik ve dinamik yöntemleri karıştırmak olduğuna inanıyoruz. Kötü amaçlı yazılım analizinin nasıl yapılacağına dair kısa bir kılavuz. Sadece aşağıdaki adımları izleyin:

Adım 1. Sanal makinenizi ayarlayın

Bir VM’yi tarayıcı, Microsoft Office, işletim sistemi bitliği ve yerel ayar gibi belirli gereksinimlerle özelleştirebilirsiniz. Analiz için araçlar ekleyin ve bunları sanal makinenize kurun: FakeNet, MITM proxy, Tor, VPN. Ancak bunu ANY.RUN sanal alanında kolayca yapabiliriz.

Kötü Amaçlı Yazılım Analizi
ANY.RUN’da sanal makine özelleştirmesi

Adım 2. Statik özellikleri gözden geçirin

Bu, statik kötü amaçlı yazılım analizi için bir aşamadır. Yürütülebilir dosyayı çalıştırmadan inceleyin: Kötü amaçlı yazılımın işlevini anlamak için dizeleri kontrol edin. Karmalar, dizeler ve başlıkların içeriği, kötü amaçlı yazılım niyetlerine genel bir bakış sağlayacaktır.

Örneğin, ekran görüntüsünde, Formbook örneğinin karmalarını, PE Başlığını, mime türünü ve diğer bilgilerini görebiliriz. İşlevsellik hakkında kısa bir fikir edinmek için, içe aktarılan tüm DLL’lerin listelendiği kötü amaçlı yazılım analizi örneğindeki İçe Aktarma bölümüne bakabiliriz.

Kötü Amaçlı Yazılım Analizi
PE dosyasının statik keşfi

3. Adım. Kötü amaçlı yazılım davranışını izleyin

İşte kötü amaçlı yazılım analizine dinamik yaklaşım. Güvenli bir sanal ortamda bir kötü amaçlı yazılım örneği yükleyin. Programı harekete geçirmek ve çalışmasını gözlemlemek için kötü amaçlı yazılımlarla doğrudan etkileşim kurun. Ağ trafiğini, dosya değişikliklerini ve kayıt defteri değişikliklerini kontrol edin. Ve diğer şüpheli olaylar.

Çevrimiçi korumalı alan örneğimizde, dolandırıcının kimlik bilgilerini C2’ye ve virüslü bir makineden çalınan bilgileri almak için ağ akışının içine bakabiliriz.

Kötü Amaçlı Yazılım Analizi
Saldırganın kimlik bilgileri
Kötü Amaçlı Yazılım Analizi
Çalınan verilerin gözden geçirilmesi

Adım 4. Kodu parçalayın

Tehdit aktörleri kodu gizlediyse veya paketlediyse, kodu ortaya çıkarmak için gizlemeyi kaldırma tekniklerini ve tersine mühendislik kullanın. Önceki adımlarda gösterilmeyen yetenekleri belirleyin. Kötü amaçlı yazılım tarafından kullanılan bir işlevi ararken bile, işlevselliği hakkında çok şey söyleyebilirsiniz. Örneğin, “InternetOpenUrlA” işlevi, bu kötü amaçlı yazılımın bazı harici sunucularla bağlantı kuracağını belirtir.

Bu aşamada hata ayıklayıcılar ve ayrıştırıcılar gibi ek araçlar gereklidir.

Adım 5. Bir kötü amaçlı yazılım raporu yazın.

Bulduğunuz tüm bulgularınızı ve verilerinizi ekleyin. Aşağıdaki bilgileri sağlayın:

  • Kötü amaçlı programın adı, kaynağı ve temel özellikleriyle birlikte araştırmanızın özeti.
  • Kötü amaçlı yazılım türü, dosya adı, boyutu, karmaları ve virüsten koruma algılama kapasiteleri hakkında genel bilgiler.
  • Kötü niyetli davranışın tanımı, enfeksiyon algoritması, yayılma teknikleri, veri toplama ve С2 iletişim yolları.
  • Gerekli işletim sistemi bitliği, yazılım, yürütülebilir dosyalar ve başlatma dosyaları, DLL’ler, IP adresleri ve komut dosyaları.
  • Kimlik bilgilerini nereden çaldığı, dosyaları değiştirmesi, düşürmesi veya yüklemesi, değerleri okuması ve dili kontrol etmesi gibi davranış etkinliklerinin gözden geçirilmesi.
  • Kod analizi sonuçları, başlık verileri.
  • Ekran görüntüleri, günlükler, dize satırları, alıntılar vb.
  • IOC’ler.

Etkileşimli kötü amaçlı yazılım analizi

​​Modern antivirüsler ve güvenlik duvarları, hedefli saldırılar, sıfırıncı gün güvenlik açıkları, gelişmiş kötü amaçlı programlar ve bilinmeyen imzalı tehlikeler gibi bilinmeyen tehditleri yönetemez. Tüm bu zorluklar etkileşimli bir sanal alan ile çözülebilir.

Etkileşim, hizmetimizin en önemli avantajıdır. ANY.RUN ile şüpheli bir örnekle doğrudan kişisel bilgisayarınızda açmış gibi çalışabilirsiniz: tıklayın, çalıştırın, yazdırın, yeniden başlatın. Etkili sonuçlar elde etmek için gecikmeli kötü amaçlı yazılım yürütme ile çalışabilir ve farklı senaryolar üzerinde çalışabilirsiniz.

Araştırmanız sırasında şunları yapabilirsiniz:

  • Etkileşimli erişim elde edin: VM ile kişisel bilgisayarınızda olduğu gibi çalışın: bir fare kullanın, veri girin, sistemi yeniden başlatın ve dosyaları açın.
  • Ayarları değiştir: önceden yüklenmiş yazılım seti, farklı bitlik ve yapılara sahip birkaç işletim sistemi sizin için hazır.
  • Sanal makineniz için araçlar seçin: FakeNet, MITM proxy, Tor, OpenVPN.
  • Ağ bağlantılarını araştırın: paketleri yakalayın ve IP adreslerinin bir listesini alın.
  • Analize anında erişim: VM hemen analiz sürecini başlatır.
  • Sistem süreçlerini izleyin: Kötü amaçlı yazılım davranışını gerçek zamanlı olarak gözlemleyin.
  • IOC’leri toplayın: IP adresleri, alan adları, karmalar ve diğerleri mevcuttur.
  • MITRE ATT@CK matrisini alın: TTP’yi ayrıntılı olarak inceleyin.
  • Bir süreç grafiğine sahip olun: bir grafikteki tüm süreçleri değerlendirin.
  • Hazır bir kötü amaçlı yazılım raporu indirin: tüm verileri uygun bir biçimde yazdırın.

Tüm bu özellikler, karmaşık kötü amaçlı yazılımları ortaya çıkarmaya ve saldırının anatomisini gerçek zamanlı olarak görmeye yardımcı olur.

[email protected] adresindeki e-posta konusuna “HACKERNEWS” promosyon kodunu yazın ve 14 günlük ANY.RUN premium üyeliğini ücretsiz kazanın!

Etkileşimli bir yaklaşım kullanarak kötü amaçlı yazılımları kırmaya çalışın. ANY.RUN korumalı alanını kullanırsanız, kötü amaçlı yazılım analizi yapabilir ve hızlı sonuçların, basit bir araştırma sürecinin keyfini çıkarabilir, karmaşık kötü amaçlı yazılımları bile araştırabilir ve ayrıntılı raporlar alabilirsiniz. Adımları izleyin, akıllı araçları kullanın ve kötü amaçlı yazılımları başarıyla avlayın.





Source link