Kurumsal Ağlarda Malware(Zararlı Yazılım) Analizi Eğitimi


Eğitim Açıklaması
Son yıllarda yaşanan karmaşık ve farkedilmesi zor siber  saldırılar APT
kavramı ortaya çıkmıştır. Gelişmiş, hedef odaklı siber tehditler olarak
tanımlayabileceğimiz APT kavramının en önemli bileşenini Zararlı
Yazılımlar oluşturmaktadır. Siber dünyanın en etkili sihahları olarak da
bilinen zararlı yazılımlar, alınan tüm klasik güvenlik önlemlerini
atlatarak sistemler/kişiler veya mobil cihazlar üzerinden bilgi kaçırma,
zarar verme ve istihbarat toplama amaçlı kullanılmaktadır.

Malware Analiz
eğitimin temel amacı kurumsal ağ ortamlarında sık rastlanılan ve klasik
güvenlik yazılımları(Antivirüs, HIPS vb) tarafından farkedilemeyen
zararlı yazılımların analiz edilmesi, etki ve aktivitelerinin
belirlenmesi ve sistemden kaldırılması için gerekli çalışmaların
yapılmasıdır.
Eğitim süresince katılımcılar gerçek hayattan
alınmış zararlı yazılımların analizlerini yaparak konu hakkında pratik
bilgiye sahip olacaklardır.

Eğitim Seviyesi

Kimler Katılmalı
Sistem ve ağ yöneticileri, IT denetçileri, SOC(Security Operation Center) çalışanları, bilgi güvenliği ekipleri

Ön Gereksinimler
Orta seviye Windows bilgisi, temel seviye ağ ve Linux bilgisi.

Eğitim Süresi
3 Gün

Sertifika
Eğitime katılanlara, BGA tarafından katılım sertifikası verilecektir.

Eğitim İçeriği
Zararlı Yazılım(Malware) Dünyası
Temel kavramlar
Malware, Virus, Worm, Trojan, Spyware, Ransomware
Yeni Nesil Suçlar vs Siber Suç Kavramı
Yeraltı Ekonomisi ve Dinamikleri
Siber Casusluk Amaçlı Kullanılan Zararlı Yazılımlar
Zararlı Yazılım(Malware) Analizi
Türkiye ve Dünyadan Zararlı Yazılım Haberleri
APT(Advanced Persistent Threat) Kavramı
Örnek Bir APT(Advanced Persistent Threat) Senaryosu

Zararlı Yazılım (Malware) Analiz Yöntemleri
Dinamik Analiz Yöntemleri
Statik Analiz Yöntemleri
Gelişmiş Analiz Yöntemleri
Etkilediği Sisteme Göre Zararlı Yazılım Çeşitleri
Windows Sistemleri Etkileyen Zararlı Yazılımlar
Linux Sistemleri Etkileyen Zararlı Yazılımlar
Mobil (Android/iOS) Sistemleri Etkileyen Zararlı Yazılımlar

Malware Analiz Araçları ve Temel Kullanımı
Debugger(Ayıklama) ve Disassembler Kavramları
Temel Seviyede Debugger ve Disassembler Kullanımı
Online Malware Analiz Siteleri ve Temel Çalışma Yöntemleri
Malware Yayılma Mekanizmaları
Malware Keşfinde Microsoft SysInternals Araçları

Botnet Konusuna Giriş
Botnet Kullanılarak Gerçekleştirilen Saldırı Tipleri
Botnet Takip ve Tespiti Amaçlı Trafik Analizi
Snort Saldırı Tespit Sistemi Botnet Kuralları
C&C Koruma Amaçlı Fastflux Kullanımı
DNS Sinkhole Kullanarak Malware ve BotNet Keşfi
Örnek Botnet Analizi (Zeus)

Malware Analiz Amaçlı Lab. Ortamının Hazırlanması
Sanal Makinelerin Malware Analizinde Kullanım Avantaj/Dezavantajları
Malware Analizi için Vmware Kurulum/Yapılandırması
Inetsim Kullanarak Sahte Ağ Servisleri Hazırlama
Malware Analiz Amaçlı  Hazır Linux Dağıtımı:Remnux
Sandbox Kurulumu
Cuckoo Sandbox Kurulum ve Örnek Kullanımı
Sandboxie Kullanımı

Basit Araçlar Kullanarak Tanınmaz Malware Geliştirme/Üretimi
Hazır Malware Üretim Araçları ve Online Servisler
FUD(Fully Undetectable) Zararlı Yazılım Geliştirme
Crypter, Packer, Joiner, Wrapper, Binder Kavramları ve Kullanım Amaçları
İnceleme Amaçlı Malware Örneklerine Ulaşım
Windows/UNIX/Linux Sistemlerde Zararlı Yazılım Analizi
Linux/UNIX Sistemlerde Malware Analizi  Araçları

Zararlı Yazılım Tespitinde  Statik Analiz Yöntemleri
Temel Antivirüs ve AntiMalware Yazılımlarının Çalışma Mantığı
Paketleme Yapılmamış Malware İçinden Anlamlı Kelime Yakalama
Paketlenmiş ve Karıştırılmış(obfuscate)  malware Kullanımı
Paketleme ve Çözme Araçları
Peid ile Paketleme Tipini Belirleme
Paketleme için UPX Kullanımı
Paketlenmiş Dosyayı OllyDbg Kullanarak Açma
Bilinmeyen Paketleme Yöntemleri için Analiz Araçları
Windows PE Dosya Tipi ve Bölümleri

Dinamik Analiz Yöntemi ile Malware Tespiti
Dinamik Analiz Yöntemi Avantaj ve Dezavantajları
Sandbox Kavramı
Dinamik Analiz için Kullanılan Araçlar
Windows SysInternals Araçları
Malware Tarafından Başlatılan Süreç(proses) Takibi
Procman, Process Explorer Kullanımı
Malware Tarafından Diske Yazılan/Silinen Dosyaların Belirlenmesi
Capturebat Kullanımı
Firemon Kullanımı
Malware Tarafından Değiştirilen Registry Ayarları
Regshot Kullanımı
Pdf ve Microsoft Ofis Döküman Analizi
Javascript Analizi

Malware Tarafından Üretilen Trafiğin İncelenmesi
SSL Trafiğinde Araya Girme
Wireshark,Ngrep, Tshark Kullanarak Trafik Analizi
Snort Kullanarak Zararlı Yazılım için IDS İmzası Yazma
Zararlı Yazılım Analizinde Ağ Trafiği Analizi
Malware Engelleme ve Tespitinde DNS Sinkhole Kullanımı

Malware Analizi Amaçlı Memory Dump(Bellek Dökümü) İnceleme
İşletim Sistemi Çalışmasına Belleğin Yeri ve Önemi
Bellek Analizi için Gerekli Temel Bilgiler
Memory Dump Alma Yöntem ve Araçları
Sanal Makinelerde Bellek Dökümü Alma
Bellek Dökümü Alma Amaçlı Kullanılan Ticari/Ücretsiz Araçlar
Volality Yazılımı Kullanarak Bellek Analizi
Çalıştırılan Dosyaya Ait Ağ Bağlantılarını Bulma
Bellekte Parola Bulma
Bellekten Zararlı Yazılıma Ait Çalıştırılabilir Dosyanın Ayıklanması
Bellekte Zararlı Yazılım Avı

Örneklerle Malware Analizi Çalışmaları
Basit Araçlarla StuxNet Analizi (Temel Seviye)
Basit Araçlarla Duqu Analiz (Temel Seviye)
Karmaşık Zararlı Yazılımların Analizinde Standart Araçların Yetersizliği
İleri Seviye Malware Analizi için Gerekli Araçlar ve Yöntemler

Final Çalışması:
Gruplara bölünerek eğitmenler tarafından önceden hazırlanmış ve
internette örneği olmayan, çalıştırıldığında değişik aktiviteler
gerçekleştiren zararlı yazılım örneğinin sistem üzerinde belirlenmesi,
aktivitelerinin ortaya çıkarılması ve sistemden silinmesi için gerekli
olan işlemlerin formal raporunun hazırlanması.