Kötü Amaçlı Yazılımları Tanımlamak İçin Uzaktan Karma Arama Hizmeti

   Mayıs 27, 2024  Posted in GBHackers


Bugün, uzaktan karma arama hizmeti olan Kesakode’un tanıtıldığı 0.9.6 sürümünün piyasaya sürülmesiyle Malcat kullanıcıları için önemli bir dönüm noktasına işaret ediyor.

Bu yenilikçi araç, Malcat’in kullanıcı arayüzüne sıkı bir şekilde entegre edilmiştir ve bilinen işlevleri, dizeleri ve sabit kümeleri, temiz kötü amaçlı yazılım ve kitaplık dosyalarından oluşan kapsamlı bir veritabanıyla eşleştirecek şekilde tasarlanmıştır.

Bu makalede Kesakode’nin özellikleri, işlevleri ve potansiyel kullanım durumları ele alınmaktadır.

Kesakode Nasıl Çalışır?

İndeksleme Süreci

Malcat’ın bloguna göre, geçtiğimiz aylarda 300’den fazla yeni kötü amaçlı yazılım ailesi ve bir milyon benzersiz, temiz program ve kitaplıktan oluşan geniş bir kitaplık oluşturuldu.

ANYRUN malware sandbox’s 8th Birthday Special Offer: Grab 6 Months of Free Service

Buna Malpedia’nın 2000’den fazla kapsamlı kötü amaçlı yazılım ailesi koleksiyonu da dahildir. Her örnek için üç grup özellik çıkarılır:

  1. İşlev Karmaları: Örnekte bulunan her ilginç fonksiyonun mutlak uzaklıkları maskelenmiş şekilde karmaları.
  2. Dize Karmaları: Malcat’ın puanlama sistemi kullanılarak, örnekte bulunan her ilginç dizenin karmaları.
  3. Bulanık Karma: Sabit tarayıcı tarafından tanımlanan ilginç kod eeeeeeee ve veri sabitleri listesi üzerinden hesaplanan tek bir bulanık karma.

Bu karmalar, karşılık gelen örneklere bağlı devasa bir ilişkisel veritabanında depolanır.

Kesakode dosyanız için benzerlikleri nasıl hesaplar?
Kesakode dosyanız için benzerlikleri nasıl hesaplar?

Sorgu Zamanı

Kesakode sorgusu yapıldığında aynı üç karma kümesi hesaplanır ve eşleştirme servisine gönderilir.

Bulut hizmeti daha sonra bu karmaların daha önce görülüp görülmediğini ve nerede görüldüğünü belirlemek için veritabanını sorgular. Kullanılan karar ağacı basittir:

  • Kütüphane Kodu: Bir kitaplıkta bir işlev karması bulunursa, KÜTÜPHANE kodu olarak etiketlenir ve kitaplığın adı döndürülür.
  • Temizleme Programı: Karma temiz bir programda bulunursa CLEAN olarak etiketlenir.
  • Kötü niyetli: Yalnızca kötü amaçlı yazılımda görülüyorsa KÖTÜ amaçlı olarak etiketlenir ve bulunduğu tüm kötü amaçlı yazılım aile adları döndürülür.

Kod anlıkları ve veri sabitleri için farklı bir yaklaşım benimsenir.

Yalnızca kötü amaçlı örnekler, depolanan tüm sabit/anlık kümeleri özetleyen tek bir bulanık karma değerine odaklanır.

Sorgulama sırasında bu bulanık karma, en yakın komşularıyla karşılaştırılır ve benzerlik puanı %80’in üzerinde olan tüm kötü amaçlı yazılım aileleri döndürülür.

Malcat'taki yeni Kesakode manzarası
Malcat’taki yeni Kesakode manzarası

Kesakode, genellikle kod gizleme veya veri/dizge şifreleme gibi aldatma tekniklerini kullanarak, kötü amaçlı yazılımların karmaşıklığını ortadan kaldırmak için tasarlanmıştır.

Kesakode, üç farklı özellik kümesini kullanarak kötü amaçlı yazılım örneklerinin büyük çoğunluğunu tanımlayabilir.

Tipik arama sorguları, programdaki işlev ve dize sayısına bağlı olarak 1 ila 4 saniye sürer.

Kullanıcılar, yalnızca birkaç tıklamayla yanlış pozitifler ve negatifler göndererek veritabanının iyileştirilmesine yardımcı olabilir.

Yanlış pozitif/negatiflerin gönderilmesi
Yanlış pozitif/negatiflerin gönderilmesi

Kullanım Durumları

Kötü Amaçlı Yazılım Tanımlaması

Kesakode’un birincil kullanımı kötü amaçlı yazılım tanımlamadır ve kullanıcıların bir örneğin hangi kötü amaçlı yazılım ailesine ait olduğunu belirlemesine yardımcı olur.

Eksik veya güncelliğini yitirmiş olabilen genel Yara kurallarının aksine Kesakode, tanımlama için daha fazla kalıp kullanır.

Triyaj sanal alanından alınanlar gibi paketlenmemiş/boşaltılmış numunelerde en iyi sonucu verir.

Tria.ge Sandbox dökümleri, Kesakode kullanarak kötü amaçlı yazılımların hassas bir şekilde tanımlanması için iyi hedeflerdir
Tria.ge Sandbox dökümleri, Kesakode kullanarak kötü amaçlı yazılımların hassas bir şekilde tanımlanması için iyi hedeflerdir

Tespit Mühendisliği

Tespit mühendisleri için Kesakode, kötü amaçlı yazılımdaki benzersiz kod bölümlerini ve dizeleri tanımlayarak Yara kurallarının yazılmasına yardımcı olur.

Renklendirme şeması (KÜTÜPHANE, ZARARLI ve TEMİZ etiketleri), Malcat’ın görünümlerine uygulanarak Yara’nın kurallarını oluşturmayı kolaylaştırır.

Kesakode isteği sonrasında Malcat'ta veri ve dizelerin renklendirilmesi
Kesakode isteği sonrasında Malcat’ta veri ve dizelerin renklendirilmesi

Daha Hızlı Tersine Mühendislik

Kesakode, standart uygulama tersine mühendislik için bile düşük değerli işlevlerin tanımlanmasına yardımcı olarak kullanıcıların programın benzersiz bölümlerine odaklanmasına olanak tanır.

Malcat’taki sökme görünümü, TEMİZ programlarda veya KÜTÜPHANE’de bulunan bilinen tüm işlevleri etiketler/renklendirir ve geri alma işlemini hızlandırır.

Kesakode talebinden sonra sökme görünümündeki renk yardımcıları
Kesakode talebinden sonra sökme görünümündeki renk yardımcıları

Kesakode, kötü amaçlı yazılım örneklerini tanımlamak, tespit mühendisliğine yardımcı olmak ve tersine mühendislik süreçlerini hızlandırmak için güçlü bir çözüm sunan, Malcat’a güçlü bir eklentidir.

Kapsamlı veritabanı ve etkili sorgulama sistemiyle Kesakode, siber güvenlik profesyonelleri için vazgeçilmez bir araç olmaya hazırlanıyor.

Free Webinar on Live API Attack Simulation: Book Your Seat | Start protecting your APIs from hackers



Source link