Kötü amaçlı yazılım yazarları, kodlarını gizlemek ve YARA, Suricata ve diğer statik dosya analiz çözümleri gibi güvenlik araçları tarafından tespit edilmekten kaçınmak için giderek daha fazla şifrelemeye güveniyor.
Güvenlik araştırmacıları için, kötü amaçlı yazılımları bir ANY.RUN gibi etkileşimli sanal alan daha rahat ve güvenli bir yoldur,
çeşitli izleme özellikleriyle.
Şifreleme, modern kötü amaçlı yazılımların temel taşıdır. Ağ trafiğini şifrelemek, komut ve kontrol (C2) dizelerini gizlemek ve yükleri korumak için kullanılır. Bu kılavuz, kötü amaçlı yazılımlarda en sık kullanılan şifreleme yöntemlerine ilişkin derinlemesine bir genel bakış sağlar.
Şifreleme Algoritmalarının Türleri
Akış Şifreleri
Akış şifreleri, verileri musluktan akan suya benzer şekilde, her seferinde bir bit veya bayt olacak şekilde sürekli bir akışta şifreler. Bu yöntem hızlı ve etkilidir ancak genellikle blok şifrelere kıyasla daha zayıf bir şifreyle sonuçlanır.
Akış şifreleri, çeşitli nedenlerle kötü amaçlı yazılımlarda sıklıkla kullanılır, öncelikle basitlikleri, hızları ve düşük hesaplama yükü nedeniyle. Gerçek zamanlı kötü amaçlı yazılım analiziAkış şifrelerinin nasıl kullanıldığını anlamak, analistlerin kötü amaçlı yazılımların oluşturduğu tehditleri tespit etmesine, şifresini çözmesine ve azaltmasına yardımcı olabilir.
Akış Şifrelerine Örnekler:
- RC4: Zamanla keşfedilen açıklar nedeniyle kullanımı azalan, ancak en bilinen akış şifrelerinden biridir.
- Salsa20: Hızı ve güvenliğiyle bilinen modern bir akış şifreleyicisi.
- ÇaÇa20: Salsa20’nin bir çeşidi olup TLS (Transport Layer Security) de dahil olmak üzere çeşitli protokollerde yaygın olarak kullanılır.
Akış şifreleri, şifrelemeye etkili ve basit bir yaklaşım sunarak, yüksek hız ve düşük karmaşıklığın önemli olduğu belirli uygulamalar için uygun hale getirir. Ancak, şifrelenmiş verilerin gizliliğini ve bütünlüğünü sağlamak için güvenli ve modern bir akış şifresi seçmek hayati önem taşır.
XOR Şifresi:
XOR şifreleri genellikle kötü amaçlı yazılımlarda kodu gizlemek, çalınan verileri şifrelemek ve yapılandırma bilgilerini korumak için kullanılır. Basitlikleri ve düşük hesaplama yükü onları bu amaçlar için etkili kılar.
Analistler, XOR anahtarını koddan veya bellekten çıkararak kötü amaçlı yazılımın davranışını anlamak için verileri şifresini çözebilirler. Zayıf güvenliklerine rağmen, XOR şifreleri kötü amaçlı yazılım analizinde temel tespit mekanizmalarından kaçınmak için faydalıdır.
XOR (exclusive OR) işlemi birçok akış şifresinde kullanılan basit bir ikili işlemdir. İki bit alır ve bitlerden tam olarak biri 1 ise 1, aksi halde 0 döndürür.
XOR şifresi, basitliği nedeniyle modern kötü amaçlı yazılımlarda yaygın olarak kullanılır. Düz metnin her biti veya baytı, anahtardan karşılık gelen bir bit veya baytla XOR’lanır ve bu da onu geri döndürülebilir hale getirir.
XOR şifresi, basitliğine rağmen yeterince karmaşık bir anahtarla kullanıldığında şaşırtıcı derecede etkili olabilir.
XOR şifresi, XOR (özel VEYA) mantıksal işlemine dayanan basit bir şifreleme algoritmasıdır. Bir tür simetrik anahtar algoritmasıdır, yani şifreleme ve şifre çözme için aynı anahtar kullanılır. XOR şifresinin basitliği, anlaşılmasını ve uygulanmasını kolaylaştırır, ancak anahtar mesaj kadar uzun ve tek seferlik şifrede olduğu gibi gerçekten rastgele olmadığı sürece çoğu pratik amaç için güvenli değildir.
ANY.RUN Sandbox’ta hiçbir sınırlama olmaksızın kötü amaçlı yazılımları analiz edin – Ücretsiz bir hesap oluştur
XOR Şifresi Nasıl Çalışır?
XOR İşlemi
XOR işlemi iki ikili girdi alır ve girdiler farklıysa doğru (1) ve aynıysa yanlış (0) döndürür. İşte XOR için doğruluk tablosu:
Şifreleme ve Şifre Çözme İşlemi
XOR şifresi, düz metin ile anahtar arasında XOR işlemini uygulayarak verileri şifreler ve şifresini çözer. XOR simetrik bir işlem olduğundan (yani, A XOR B XOR B = A), hem şifreleme hem de şifre çözme için aynı işlem kullanılır.
- Şifreleme:
Ciphertext = Plaintext XOR Key
- Şifre çözme:
Plaintext = Ciphertext XOR Key
Blok Şifreleri
Blok şifreleri, kötü amaçlı yazılımlarda yükleri şifrelemek, verileri sızdırmak, yapılandırma dosyalarını korumak ve C2 sunucularıyla iletişimi güvenli hale getirmek için kullanılır; güçlü güvenliği nedeniyle sıklıkla AES kullanılır.
WannaCry ve Petya gibi fidye yazılımları, kurbanların dosyalarını şifrelemek için bu şifreleri kullanıyor ve fidye ödenene kadar bunlara erişilemiyor.
Analistler şu araçları kullanır: HERHANGİ BİR KOŞUŞifreleme rutinlerini belirlemek ve anahtarları çıkarmak için statik ve dinamik analizler için etkileşimli bir sanal alan olan , kötü amaçlı yazılımın işlemlerini çözmeye ve anlamaya yardımcı olur.
Bunlara örnek olarak WannaCry’ın AES-128’i, Petya’nın ise şifreleme için Salsa20’yi kullanması gösterilebilir.
Blok şifreleri, verileri genellikle bir seferde 64, 128, 192 veya 256 bitlik sabit boyutlu bloklarda şifreler. Bu yöntem, şifre çözme sırasında anahtarın blok boyutuyla tam olarak eşleşmesini gerektirir, aksi takdirde hatalar meydana gelir.
- Operasyon modları: Blok şifreleri, düz metin bloklarının nasıl işlenip birleştirileceğini belirleyen farklı modlarda (örneğin, CBC, ECB, CTR) çalışabilir. Doğru modu seçmek, başarılı şifre çözme için çok önemlidir. Örneğin, CBC (Şifre Blok Zincirleme) modu, aynı düz metin bloklarının farklı şifreli metin blokları üretmesini sağlamak için bir başlatma vektörü (IV) kullanır.
- Başlatma Vektörü (IV): IV, şifrelemeyi başlatmak için kullanılan rastgele bir değerdir ve aynı düz metin aynı anahtarla birden fazla kez şifrelense bile her seferinde sonucun farklı olmasını sağlar. IV, desen analizini önleyerek ek bir güvenlik katmanı ekler.
Kötü amaçlı yazılımdaki bir blok şifresini çözmek için, kullanılan şifreleme algoritmasını bilmenin yanı sıra anahtarı, modu ve IV’ü çıkarmanız gerekir.
Özellikleri:
- Sabit Blok Boyutu: Veri blokları üzerinde işlem yapın, örneğin AES için 128 bit.
- Simetrik Anahtar: Şifreleme ve şifre çözme için aynı anahtar.
- Operasyon modları: ECB, CBC ve CTR gibi modları kullanarak blok boyutundan daha büyük verileri işleyin.
- Güvenlik Yapısı: Güvenli dönüşüm için ikame ve permütasyon işlemlerini kullanın.
Kötü Amaçlı Yazılımlardaki Yaygın Blok Şifrelemeleri
AES (Gelişmiş Şifreleme Standardı)
AES, simetrik bir blok şifresidir ve hassas verileri şifrelemek için fiili standarttır. 128 bitlik sabit boyutlu bloklarda çalışır ve 128, 192 veya 256 bitlik anahtar boyutlarını destekler. AES birkaç adım içerir:
- Altbaytlar:Bloktaki her bir bayt, şifrede doğrusal olmayanlığı sağlayan bir ikame tablosuna (S-box) göre değiştirilir.
- ShiftSatırlar:Bloğun her satırındaki baytlar, satır indeksine bağlı olarak belirli sayıda konum sola kaydırılır.
- Karma Sütunlar:Her bir sütuna doğrusal dönüşüm uygulanarak, şifrede yayılımı sağlayacak şekilde baytlar birleştirilir.
- YuvarlakAnahtarEkle: Değiştirilmiş bir anahtar (yuvarlama anahtarı) blok ile XORlanır. Her bir yuvarlama anahtarı, bir anahtar zamanlama algoritması kullanılarak orijinal anahtardan türetilir.
Yineleme sayısı (tur) anahtar boyutuna bağlıdır: 128 bit anahtarlar için 10 tur, 192 bit anahtarlar için 12 tur ve 256 bit anahtarlar için 14 tur. AES son derece güvenli ve verimlidir ve bu da onu zararlı yazılım yazarları arasında yükleri ve C2 iletişimlerini şifrelemek için popüler bir seçim haline getirir.
DES (Veri Şifreleme Standardı)
DES, bir zamanlar Amerika Birleşik Devletleri’ndeki birincil şifreleme standardı olan simetrik anahtar blok şifresidir. Büyük ölçüde AES ile değiştirilmiş olsa da, DES hala bazı eski veya daha az gelişmiş kötü amaçlı yazılım örneklerinde bulunur.
56 bitlik bir anahtar kullanır ve 16 turluk transpozisyon ve ikameden geçerek 64 bitlik bloklar üzerinde çalışır. DES’in küçük anahtar boyutu artık güvensiz olarak kabul edilir ve bu da onu kaba kuvvet saldırılarına karşı savunmasız hale getirir. Ancak, eski sistemlerde veya daha az gelişmiş kötü amaçlı yazılımlarda hala karşılaşılabilir.
RSA (Rivest-Şamir-Adleman)
RSA, bir anahtar çifti kullanan asimetrik bir şifreleme algoritmasıdır: şifreleme için bir genel anahtar ve şifre çözme için bir özel anahtar. Bu yönteme genel anahtar şifrelemesi denir.
RSA, güvenlik için büyük asal sayıları çarpanlarına ayırmanın zorluğuna güvenir ve bu da onu sağlam ama yavaş yapar. Kötü amaçlı yazılım yazarları, hesaplama karmaşıklığı nedeniyle genellikle C2 adresleri veya anahtarları gibi yüksek değerli verilerin küçük parçalarını şifrelemek için RSA kullanır.
RSA, genellikle gerçek veri şifrelemesi için kullanılan simetrik anahtarı şifreleyen simetrik şifreleme algoritmalarıyla birlikte kullanılır.
SOC/DFIR Takımlarından mısınız? ANY.RUN ile tanışın
Eğer kötü amaçlı yazılım analiziyle ilgileniyorsanız ve kötü amaçlı yazılım dosyalarını ve bunların işleyişini derinlemesine incelemek istiyorsanız, ANY RUN tam size göre bir yer.
HERHANGİ BİR KOŞU dünya çapında 400.000’den fazla siber güvenlik uzmanının hem Windows hem de Linux sistemlerini hedef alan kötü amaçlı yazılım tehditlerini analiz etmesine yardımcı olan etkileşimli bir sanal alandır. Platform, Tehlike Göstergelerini (IOC’ler) belirlemeye ve olaylara daha hızlı yanıt vermeye yardımcı olmak için TI Lookup, Yara Search ve Feeds gibi tehdit istihbarat ürünleri sunar.
ANY.RUN’ın Avantajları
- Hızlı Tespit: 40 saniyeden kısa sürede kötü amaçlı yazılımları tespit edin, hızlı tanımlama ve yanıt verin.
- Etkileşimli Analiz: Örneklerle gerçek zamanlı etkileşim kurunkötü amaçlı yazılım analizine yönelik uygulamalı bir yaklaşım sağlıyor.
- Maliyet Etkinliği: ANY.RUN kullanıma hazır bir ortam sağladığı için, sandbox kurulumu ve bakımında zamandan ve paradan tasarruf edin.
- Kapsamlı Kayıt: Ağ etkinliğinden dosya sistemi değişikliklerine kadar kötü amaçlı yazılım davranışının tüm yönlerini kaydedin ve inceleyin.
- Takım İşbirliği: Ekibinizle sorunsuz bir şekilde işbirliği yapın, içgörüleri ve bulguları gerçek zamanlı olarak paylaşın.
- Ölçeklenebilirlik: Performanstan ödün vermeden, ihtiyaç duyulduğu şekilde ölçeklendirin ve artan analiz taleplerini karşılayın.
ANY.RUN, siber güvenlik profesyonellerinin kötü amaçlı yazılım tehditlerini etkili bir şekilde anlamaları ve azaltmaları için sağlam bir platform sunar. ANY.RUN’ın tüm gücünü ücretsiz deneyin ve kötü amaçlı yazılım analiz yeteneklerinizi geliştirin.
Bu şifreleme algoritmalarını anlayarak ve ANY.RUN gibi araçlardan yararlanarak, siber güvenlik uzmanları sistemleri ve verileri kötü amaçlı saldırılara karşı daha iyi koruyabilir.
ANY.RUN sanal alanında, iş istasyonunuzda yaptığınız gibi kötü amaçlı yazılımlarla etkileşime geçin. – Ücretsiz Deneme Rezervasyonu Yapın