Zararlı yazılım analizi ve bu alandaki araştırma çalışmaları, Stuxnet, Duqu, Carberp, Zeus ve daha birçok gelişmiş zararlı yazılımın sistemleri etkisi altına aldığı günümüzde, özellikle de zararlı yazılımlara karşı bilindik yöntem ve araçların ne kadar etkisiz kaldığı göz önüne alındığında, bilgi güvenliği açısından büyük bir önem arz etmektedir.
Günümüz zararlılarının gelişmişlik seviyeleri göz önüne alındığında, gerçekçi bir analiz ancak davranışsal, statik ve dinamik analiz yöntemlerinin bir arada kullanımıyla gerçekleştirilebilmektedir.
Davranışsal ve dinamik analiz bölümünde, zararlının çalışmak için ihtiyaç duyduğu ortamın hazırlanması da en az analiz aşaması kadar önemli bir iştir. Bu yazıda, zararlı yazılım analizi için lab ortamının ihtiyaçları belirlenip, bu ihtiyaçlar doğrultusunda örnek bir lab ortamı hazırlanmıştır.
Lab Ortamının Gereklilikleri
-
İnternetten, analistin ağından ve bilgisayarından izole olmalı. Bu sayede analiz aşamasında zararlının uzaktan kontrol edilmesinin, dışarı bilgi sızdırmasının veya ağdaki diğer sistemlere bulaşmasının önüne geçilmiş olunur.
-
Çalışması için ihtiyaç duyduğu işletim sistemi bulunmalı. Kurulan yapıya gerektiğinde ihtiyaca göre linux, windows, android, 32-64 bit versiyonları gibi farklı sistemler dahil edilebilmeli.
-
Zararlının ihtiyaç duyduğu komuta merkezi veya başka amaçlarla kullanılan uzak servislere erişebilmesi için yapay bir ağa dahil olmalı ve bu ağ, internet erişimi olmayacağından dolayı gerekli servisleri veya simulasyonlarını içermeli.
-
Zararlının çalışacağı makinada gerekli davranışsal, statik ve dinamik analiz araçları bulunmalı. Network analizi için gerekli araçların ayrıca sahte servislerin bulunduğu makinalarda da olmasında yarar var.
-
Lab makinalarının durumlarının kaydedilebilir ve gerektiğinde bu kaydedilen noktalara geri döndürülebilir olması gerekmektedir. Böylece her analizden sonra lab makinaları ilk konumlarına geri döndürülebilir, ayrıca analiz aşamasında da bazı noktalarda kayıt yapıp geri dönmek gerekebilir.
Sanal Makinaların ve Ağın Yapılandırılması
Ayrıca mobile zararlı analizi için Santoku Linu(https://santoku-linux.com/) dağıtımı, sandbox olarak da Cuckoo(http://www.cuckoosandbox.org/download.html) kurulmuştur. Sanallaştırma uygulaması olarak VMware Workstation 9 kullanılmıştır. Tabii ki lab ortamı gereklilikleri bölümünde belirlenen özellikleri sağlayabilecek diğer sanallaştırma yazılımları da kullanılabilir.
-
Memory: 1 GB
-
Number of processors / processor cores: Ayırmak istediğiniz işlemci / çekirdek sayısı (örnekte 1 / 8)
-
Hard Disk: 20 gb’a kadar
-
Network Adapter: “Custom: Specific virtual network” -> vmnet2, connect at power on işaretli
-
USB Controller: Analiz sırasında host sisteme takılan USB’ye zararlı bulaşması ihtimaline karşın “Automatically connect new USB devices” seçeneğinin kaldırılması tavsiye edilir.
-
DVD, Ses kartı gibi diğer donanımlar ihtiyaca göre aktif edilebilir.
-
Memory: 2 GB
-
Number of processors / processor cores: ayırmak istediğiniz işlemci / çekirdek sayısı (örnekte 1 / 8)
-
Hard Disk: 30 gb’a kadar
-
Network Adapter: “Custom: Specific virtual network” -> vmnet2, connect at power on işaretli
-
USB Controller: Analiz sırasında host sisteme takılan usb’ye zararlı bulaşması ihtimaline karşın Automatically connect new USB devices seçeneğinin kaldırılması tavsiye edilir.
-
DVD, Ses kartı gibi diğer donanımlar ihtiyaca göre aktif edilebilir.
-
Network Adapter: “Custom: Specific virtual network” -> vmnet2, connect at power on işaretli
-
Diğer ayarlar REMnux sanal makina imajının varsayılan ayarlarında bırakılmıştır.
-
Memory: 1 GB
-
Number of processors / processor cores: ayırmak istediğiniz işlemci / çekirdek sayısı (örnekte 1 / 8)
-
Hard Disk: 20 gb’a kadar
-
Network Adapter: “Custom: Specific virtual network” -> vmnet2, connect at power on işaretli
-
USB Controller: Analiz sırasında host sisteme takılan usb’ye zararlı bulaşması ihtimaline karşın Automatically connect new USB devices seçeneğinin kaldırılması tavsiye edilir.
-
DVD, Ses kartı gibi diğer donanımlar ihtiyaca göre aktif edilebilir.
Zararlının Çalışacağı Makinanın Hazırlanması
-
Process Explorer: http://technet.microsoft.com/tr-tr/sysinternals/bb896653.aspx
-
Process Monitor: http://technet.microsoft.com/tr-tr/sysinternals/bb896645.aspx
-
Wireshark: http://www.wireshark.org/download.html
-
Dependency Walker: http://www.dependencywalker.com/
-
PEview: http://wjradburn.com/software/
-
Resource Hacker: http://www.angusj.com/resourcehacker/
-
Immunity Debugger:
-
Ollydbg (Immunity yerine kullanılabilir): http://www.ollydbg.de/
-
Volatility:
-
Windd:
Ağ Servislerinin Ayarlanması
Sandboxes
Cuckoo Sandbox, verileri analiz eden bir host (genelde linux) ve zararlının çalışacağı, sanal makinada kurulu sistemlerden(windows xp gibi) oluşan iki katmalı bir yapıya sahiptir. Host üzerinde çalışan cuckoo, zararlıyı sanal makinalarda çalıştırıp zararlının eriştiği dosyalar, ağ aktivitleri, registery girdileri gibi birçok davranışını raporlayabilir. Ayrıca virustotal ve benzeri online servisler kullanarak zararlının daha önce tespit edilip edilmediğini imza tabanlı yöntemlerle belirlemeye çalışır. Bu sayede hedef zaralı yazılım hakkında genel bir fikir sahibi olunabilir.
Onur ALANBEL <onur.alanbel@bga.com.tr>