Kötü amaçlı yazılım, güvenlik sistemlerinin kötü amaçlı içeriği tanımasını önlemek için genellikle trafiğini (bir komut ve kontrol sunucusuna gönderilen çalınan veriler) ve dahili dizeleri (URL’ler ve yapılandırmalar gibi) şifreler.
Kriptografinin temelleri, klasik şifreler, bitsel işlemler, XOR işlevleri ve XOR şifresi algılama ve şifre çözme teknikleri ve XOR ile şifrelenmiş kötü amaçlı yazılım C2 iletişiminin şifresinin nasıl çözüleceğine dair pratik bir örnek sergileniyor.
Yaygın şifreleme yöntemleri:
- XOR
- Rc4
- AES
- OF
- 3DES (Üçlü DES)
Şifrelemedeki ana kavramlar şunlardır:
- Düz metin şifrelenmemiş, işlenmeden okunabilen ve anlaşılabilen ham verilerdir.
- Şifreli metin bir grup rastgele harf veya bayta benzeyen ve okunamayan şifrelenmiş verilerdir. Kodlama süreci buna dönüşüyor.
- Bir şifreleme algoritması düz metni şifreli metne dönüştüren bir dizi kuraldır. Düz metinde genellikle çeşitli ikameler ve permütasyonlar kullanılır.
- A anahtar Verilerin güvenliğini sağlamak ve şifrelerini çözmek için bir şifreleme algoritmasıyla birlikte kullanılan, genellikle bir harf veya sayı dizisi olan bir veri parçasıdır.
Analyze Encrypted Traffic in ANY.RUN with HTTPS MTIM Proxy - Register for Free
Şifrelemenin Temelleri:
Şifreleme algoritması, tipik olarak ikameler ve permütasyonlar yoluyla verilerin nasıl değiştirileceğini belirler ve doğru anahtarla şifrenin çözülmesine olanak tanır.
İki şifreleme yöntemi vardır: simetrik ve asimetrik, oysa simetrik şifreleme hem şifreleme hem de şifre çözme için tek bir anahtar kullanır, bu da onu daha hızlı ve daha basit hale getirir, bu da anahtar değişimi için güvenli bir kanal gerektirir.
Açık anahtar şifrelemesi olarak da bilinen asimetrik şifreleme, bu sorunu matematiksel olarak bağlantılı iki anahtar kullanarak çözer: şifreleme için serbestçe dağıtılabilen bir genel anahtar ve şifre çözme için gizli tutulan, daha güvenli anahtar değişimine izin veren ancak aynı zamanda da gelen özel bir anahtar. artan karmaşıklığın ve daha yavaş işlem sürelerinin maliyeti.
Döküm, şifreleme kavramlarını Lego benzeri bir yaklaşımla keşfedecek ve açık metin mesajının bir anahtara göre dönüştürüldüğü basit ikameyle XOR’u anlamaya yönelik inşa edecek.
Mesajın bit düzeyinde mutasyona uğratılması, bit düzeyinde işlemlerin tanıtılması ve kavramların sentezlenmesi, kriptografide temel bir işlem olan XOR’un kapsamlı bir şekilde anlaşılmasıyla sonuçlanır.
Basit ikame şifreleri, tüm şifrelemenin temelini oluşturduğu için, harflerin emojilerle değiştirilmesi gibi, düz metin karakterlerini bir anahtara göre alternatif sembollerle değiştirir.
Bir tür basit ikame olan Sezar şifreleri, düz metin harflerini sabit bir miktarda kaydırır.
Sezar şifreleri, öngörülebilir modeller ve değişmeyen sembol frekansları nedeniyle savunmasızdır; burada şifreleme, tanımlanmış bir kurala göre sembollerin değiştirilmesine dayanır.
Vigenère şifresi, şifreleme amacıyla düz metni değiştirmek için bir anahtar kullanma kavramını gösterir. Bir anahtar kelime, karşılık gelen anahtar harfin konumuna (A = 0) göre bir kaydırma uygulayarak birden fazla Sezar şifresi üretir.
Tekrarlama, anahtarın mesajdan daha kısa olması durumunda ortaya çıkar ve şifreyi savunmasız hale getirir. Anahtar kısalığı nedeniyle bu güvenlik açığı, XOR gibi modern simetrik şifreleme yöntemleri için de geçerlidir.
ANY.RUN keşfedildi bitsel işlemler, özellikle XOR, şifrelemedeki rolleri nedeniyle, XOR’un ayrı ayrı bitler üzerinde çalıştığı, yalnızca bir giriş biti 1 ise 1 döndürdüğü, bir mesajın (düz metin) XOR kullanılarak bir anahtarla birleştirilmesine izin vererek şifrelenmiş bir şifreli metin elde edilmesine olanak tanır.
Anahtar olmadan şifre çözme hesaplama açısından imkansızdır çünkü anahtar bit düzeyindeki değişiklikleri kontrol eder ve tek kullanımdan sonra (tek kullanımlık ped) atılır. Bu, verileri güvenli bir şekilde şifrelemek için bit düzeyinde işlemlerin nasıl kullanılabileceğini gösterir.
XOR şifresi, düz metin ile gizli anahtar arasında bit düzeyinde bir XOR işlemi gerçekleştirerek verileri şifreler; burada, anahtardaki karşılık gelen bit 1 ise, düz metindeki her bit ters çevrilir (0’dan 1’e veya 1’den 0’a).
Şifreli metnin aynı anahtarla bir kez daha XORlanmasıyla şifre çözme mümkündür. Bu, kısa, tekrarlayan anahtarlar kullanıldığında şifrenin kusurunu ortaya çıkarır. Şifrelenmiş verilerin onaltılık gösteriminde, tekrarlanan sıfır desenleri olarak görünür, bu da potansiyel bir XOR şifrelemesine işaret eder.
HERHANGİ BİR ÇALIŞMA analiz, bir .mp4 dosyası için şüpheli bir GET isteği gönderen bir süreci ortaya çıkardı; burada istenen içerik, tekrarlayan 5’li ve 3’lü kalıplar sergiliyor ve XOR şifrelemesini öneriyordu. Anahtar muhtemelen 5’li ve 3’lü bir diziyi içerse de tam uzunluğu bilinmiyordu.
Yürütülebilir dosyayı buradan indirmek ve dnSpy’da incelemek, şifreleme işlevini ve anahtarın kendisini ortaya çıkarabilir. Anahtar elde edildikten sonra CyberChef gibi araçları kullanarak indirilen dosyanın (potansiyel olarak kötü amaçlı yazılım) şifresini çözebilir.
Quickly analyze malware dynamically and statically in ANY.RUN sandbox - Register for free
ANY.RUN nedir?
HERHANGİ BİR ÇALIŞMA güvenlik ekiplerinin işlerinin çoğunu yapan bulut tabanlı bir kötü amaçlı yazılım laboratuvarıdır. 400.000 profesyonel, Linux ve Windows bulut sanal makinelerinde olayları incelemek ve tehdit araştırmalarını hızlandırmak için her gün ANY.RUN platformunu kullanıyor.
ANY.RUN’un Avantajları
- Gerçek Zamanlı Algılama: ANY.RUN, bir dosya gönderildikten sonra yaklaşık 40 saniye içinde YARA ve Suricata kurallarını kullanarak kötü amaçlı yazılım bulabilir ve birçok kötü amaçlı yazılım ailesini anında tanımlayabilir.
- İnteraktif Kötü Amaçlı Yazılım Analizi: ANY.RUN, tarayıcınızdan sanal makineye bağlanmanıza izin vermesi nedeniyle birçok otomatik seçenekten farklıdır. Bu canlı özellik, sıfır gün güvenlik açıklarının ve imza tabanlı korumayı geçebilecek gelişmiş kötü amaçlı yazılımların durdurulmasına yardımcı olur.
- Paranın karşılığı: ANY.RUN’un bulut tabanlı yapısı, DevOps ekibinizin herhangi bir kurulum veya destek işi yapması gerekmediğinden onu işletmeler için uygun maliyetli bir seçenek haline getirir.
- Yeni güvenlik ekibi üyelerini işe almak için en iyisi: HERHANGİ. RUN’un kullanımı kolay arayüzü, yeni SOC araştırmacılarının bile kötü amaçlı yazılımları incelemeyi ve güvenlik ihlali işaretlerini (IOC’ler) tanımlamayı hızlı bir şekilde öğrenmesine olanak tanır.