Truva atları, fidye yazılımları, casus yazılımlar ve diğer kötü amaçlı yazılım türleri kuruluşlar için önemli tehditlerdir. Bilgi sahibi olmak ve en yeni kötü amaçlı yazılımların nasıl çalıştığını anlamak için siber güvenlik uzmanlarının bunu analiz edebilmesi gerekir. Güvenlik uzmanlarının kötü amaçlı yazılımları incelemek ve işlevselliğini açığa çıkarmak için atabileceği beş adımı burada bulabilirsiniz.
1. Adım: Kötü Amaçlı Yazılımı Yalıtın
Kötü amaçlı yazılım analizinde ilk adım, kötü amaçlı yazılımın yayılmasını veya daha fazla hasara neden olmasını önlemek için sistemin geri kalanından yalıtmaktır. Bu izolasyon bir sandbox, sanal makine veya herhangi bir ağa bağlı olmayan fiziksel bir makine kullanılarak sağlanabilir.
ANY.RUN, birkaç tıklamayla dosya ve bağlantı analizine başlamanıza olanak tanır
Kötü amaçlı yazılım izolasyonunu sağlamanın en kolay yollarından biri, kötü amaçlı yazılım örneklerinizi ANY.RUN sanal alanına yüklemektir. Bu bulut tabanlı hizmet, cihazınıza herhangi bir kurulum ihtiyacını ortadan kaldırır ve temel analiz için yeterli olan ücretsiz bir topluluk planı sunar.
Kötü amaçlı yazılımları ücretsiz analiz etmek için ücretsiz bir ANY.RUN hesabına kaydolun!
Adım 2: Statik Bilgilerin Toplanması
Kötü amaçlı yazılım izole edildikten sonraki adım, statik analiz yoluyla onun hakkında mümkün olduğunca fazla bilgi toplamaktır. Bu, kötü amaçlı yazılımın kodunu çalıştırmadan incelemeyi içerir. Bu, kötü amaçlı yazılımın işlevselliği, potansiyel hedefleri ve tespit edilmekten kaçınmak için kullandığı teknikler hakkında değerli bilgiler sağlayabilir.
ANY.RUN size numunenin statik analiz bilgilerini 40 saniyeden kısa bir sürede sağlar. Aşağıdakiler de dahil olmak üzere farklı dosya türleri için özel modüllerle donatılmıştır:
- PDF dosyaları: Başlıkları, HEX değerlerini, resimleri, komut dosyalarını ve URL’leri ayıklar.
- LNK dosyaları: LNK dosyalarını analiz ederek komutları ve potansiyel kötü amaçlı komut dosyalarını ortaya çıkarır.
- MSG/E-posta dosyaları: Spam ve kötü amaçlı öğelerin tespit edilmesine yardımcı olmak için e-postaları önizler ve meta verileri ve IOC’leri listeler.
- Arşivler: RAR, ZIP, tar.gz ve .bz2 formatlarını açarak Microsoft dosyalarına yönelik OLE modülünü tamamlar.
- Ofis belgeleri: Kullanıcıların potansiyel tehditleri tespit etmesine ve analiz etmesine yardımcı olmak için Office belgelerinden makroları, komut dosyalarını, görüntüleri ve yükleri çıkarır.
Burada .eml formatındaki bir e-postanın analiz oturumu yer almaktadır.
E-posta örneğine ilişkin dosyaların statik analiz bilgileri
Bu durumda, e-posta RAR formatında bir arşiv içerir. Korumalı alan, bu eki açmamıza ve içeriğini incelememize olanak tanıyarak, PDF belgesi olarak gizlenmiş kötü amaçlı bir yürütülebilir dosyayı ortaya çıkarır. Her dosyaya ilişkin tüm statik analiz bilgileri sandbox tarafından sağlanır.
Adım 3: Dinamik Analiz Gerçekleştirin
Dinamik analiz, kötü amaçlı yazılımın kontrollü bir ortamda çalıştırılmasını ve davranışının gözlemlenmesini içerir. Bu, ağ iletişimleri, kayıt defteri değişiklikleri ve dosya sistemi değişiklikleri gibi statik analizde görünmeyen ek bilgileri ortaya çıkarabilir.
ANY.RUN, etkileşimli bir dokunuşla gelişmiş dinamik analiz işlevselliği sunar. Kullanıcıların analiz ortamını tam olarak kontrol etmesine ve standart bir sanal makinede olduğu gibi onunla etkileşime geçmesine olanak tanır.
ANY.RUN’daki dinamik analiz sonuçları, aşağıdakiler de dahil olmak üzere çok çeşitli önemli bilgileri ortaya çıkarır:
- Ağ etkinliği: Analiz sırasında tetiklenen gelen ve giden HTTP çağrıları, DNS istekleri, bağlantılar ve Suricata algılama kuralları.
- Süreçler: Yürütme sırasında başlatılan tüm süreçlerin ve dökümler gibi ayrıntılarının hiyerarşik görünümü.
- Taktikler, teknikler ve prosedürler: Kötü amaçlı yazılım tarafından kullanılan tüm TTP’ler, MITRE ATT&CK matrisiyle eşlendi.
- Uzlaşma göstergeleri: Daha fazla tespit için gerekli olan IOC’ler ve kötü amaçlı yazılım yapılandırmaları.
ANY.RUN sanal alanının ne kadar bilgi sağladığını görmek için bu analiz oturumuna göz atmanız yeterli.
Bir .LNK dosyasının korumalı alan analizi, Formbook kötü amaçlı yazılımını ortaya çıkardı.
Analizin bir parçası olarak tüm yürütme zincirini görüntüleyebilir ve son Formbook yükünün tam olarak hangi noktada bırakıldığını görebilirsiniz. Ayrıca hizmet, parola çalma ve PowerShell komut yürütme de dahil olmak üzere her işlemle ilgili kötü amaçlı etkinlikleri listeler.
ANY.RUN’un tüm özelliklerine 14 günlük ücretsiz deneme süresiyle erişin!
Adım 4: Bulguları Belgeleyin
Statik ve dinamik analizin ardından bir sonraki adım bulguların belgelenmesidir. Bu, kötü amaçlı yazılımın davranışının, potansiyel etkisinin ve algılama ve azaltma için kullanılabilecek her türlü tehlike göstergesinin (IOC’ler) ayrıntılı bir açıklamasını içermelidir. Dokümantasyon açık, kısa ve hem teknik hem de teknik olmayan paydaşlar için erişilebilir olmalıdır.
ANY.RUN, analiz sırasında toplanan tüm önemli bilgileri içeren hazır kötü amaçlı yazılım raporları sunar.
ANY.RUN raporları kolayca paylaşılabilir
Bu raporlar PDF, HTML veya JSON gibi farklı formatlarda indirilebilir.
Adım 5: Azaltma ve Önlemeyi Sağlayın
Kötü amaçlı yazılım analizindeki son adım, bulguları mevcut tehdidi azaltmak ve gelecekteki tehditleri önlemek için kullanmaktır. Bu, antivirüs yazılımının güncellenmesini, sistem açıklarının düzeltilmesini veya yeni güvenlik politikaları ve prosedürlerinin uygulanmasını içerebilir. Başkalarının da aynı kötü amaçlı yazılıma karşı korunmasına yardımcı olmak için bulguları daha geniş siber güvenlik topluluğuyla paylaşmak da önemlidir.
Çözüm
Kötü amaçlı yazılım analizi karmaşık ve zorlu bir süreçtir ancak etkili siber güvenlik için gereklidir. Siber güvenlik uzmanları, bu kılavuzda özetlenen adımları izleyerek ve ANY.RUN gibi araçları kullanarak kötü amaçlı yazılımlar, etkileri ve bunlara karşı nasıl korunabilecekleri konusunda derinlemesine bir anlayış kazanabilirler.
Reklam