Malware Analiz Etiketli Yazılar

BGA Blog yazıları

2015

Zararlı Yazılım Analiz ve Tespit Çalışmalarında YARA Kullanımı

YARA zararlı yazılımları belirlemek ve sınıflandırmak için kullanılan bir araçtır. Yara ile zararlı yazılımları yazısal veya binary ikili değer(binary) olarak istenildiği gibi tanımlanmaktadır. Her tanımlama bir dizi string ve mantıksal ifadelerden (boolean expressions) oluşur. Örnek vermek gerekirse; rule silent_banker : banker{    meta:        description = "This is just an example"        thread_level = 3        in_the_wild = true    strings:        $a = {6A 40 68 00 30 00 00 6A 14 8D 91}        $b = {8D…
Devamı
Linux Sistemlerde Zararlı Yazılım Analizi – Temel Seviye Dinamik Analiz
2014

Linux Sistemlerde Zararlı Yazılım Analizi – Temel Seviye Dinamik Analiz

Temel seviye dinamik analizde zararlı çalıştırılarak ağ, dosya sistemi, süreçler ve diğer işletim sistemi bileşenleri üzerindeki etkileri gözlemlenir. Zararlının çalıştığı sistemde ve ağda kalıcı etkileri olabileceğinden dolayı dinamik analizin izole bir ortamda yapılması önerilir. Örneklere “Temel Seviye Statik Analiz” (http://blog.bga.com.tr/2014/12/linux-sistemlerde-zararl-yazlm-analizi.html) yazısında kullanılan zararlı ile devam edilmiştir. Zararlı çalıştırıldığında “ps” komutu ile sistem süreçleri listelenir, “-ef” parametreleri verilerek süreçlerin PPID (parent process id) gibi detayları da listelenir. Bu sayede grep komutunun da yardımı…
Devamı
Linux Sistemlerde Bellek Analizi – II (Ağ Hareketleri)
2014

Linux Sistemlerde Bellek Analizi – II (Ağ Hareketleri)

Olay müdahale süreçlerinde bellek analizine başlanması gereken nokta saldırının türüne göre değişse de, çoğu durumda zararlının bir C&C ile haberleşmeye çalıştığı göz önünde bulundurularak analize ağ hareketlerinden başlanabilir. Hedef sistem için oluşturulan profili (bkz: http://blog.bga.com.tr/2014/09/modern-linux-sistemlerde-bellek-dokumu.html) Volatility’e “export VOLATILITY_PLUGINS=../capture/remnux-2014-09-26_07.57.52/“ komutuyla VOLATILITY_PLUGINS çevre değişkeni atanarak tanıtılır. İlk olarak “./vol.py -f /media/usb/capture/remnux-2014-09-26_07.57.52/remnux-2014-09-26_07.57.52-memory.lime --profile=Linuxremnux-2014-09-26_07_57_52-profilex86 linux_ifconfig” ile sistemdeki ağ arayüzleri listelenir. Pratiklik adına bellek dökümünün yolunu gösteren -f parametresi ve kullanılan profili belirten —profile parametresi yine çevre…
Devamı
Zararlı Yazılım Trafiğinin Sahte Servislerle Yönetimi
2014

Zararlı Yazılım Trafiğinin Sahte Servislerle Yönetimi

Analiz aşamasında lab ortamında çalıştırılan zararlı yazılımların ihtiyaç duydukları servislere bağlantı kurmaları, gerek program akışında başarılı bağlantıdan sonra çalışan bölümlerin dinamik olarak analiz edilebilmesi gerekse analiz edilecek ağ trafiğinin oluşturulması için gereklidir. Bu gibi durumlarda zararlıyı analistin kontrolündeki sahte servislere yönlendirmek sıklıkla kullanılan etkili bir yöntemdir. Yazı boyunca bu yöntem anlatılırken sanal bir ağda çalışan iki adet sanal makine kullanılmıştır. Bunlardan birinde Windows XP, diğerinde ise REMnux kuruludur. WinXP’nin IP adresi 10.10.10.130,…
Devamı
Zararlı Yazılım(Malware) Analizinde Bellek Dökümü(Memory Dump) İnceleme
2013

Zararlı Yazılım(Malware) Analizinde Bellek Dökümü(Memory Dump) İnceleme

Bellek dökümü analizi, gerek zararlı yazılımın sistemde gerçekleştirdiği aktivitelerin sistemden bağımsız çalışan araçlarla incelenmesine imkan vermesinden dolayı, gerekse olay incelemelerinde karşılaşıldığı gibi elde zararlının kendisinin değil de bulaştığı sistemin bulunması durumunda analiz imkanı tanımasından dolayı önemli bir zararlı yazılım analiz yöntemi olarak değerlendirilmektedir. Yazıda, örnek sisteme bulaşmış zararlının bellek analizi ile tespit edilmesi senaryosu ele alınmıştır. Belleğin Önemi Bilgisayar sistemlerinde normal şartlar altında süreçler(process) çalışmak için işletim sistemi tarafından belleğe yüklenmeye gereksinim…
Devamı
2013

Kurumsal Ağlarda Malware(Zararlı Yazılım) Analizi Eğitimi

Eğitim Açıklaması Son yıllarda yaşanan karmaşık ve farkedilmesi zor siber  saldırılar APT kavramı ortaya çıkmıştır. Gelişmiş, hedef odaklı siber tehditler olarak tanımlayabileceğimiz APT kavramının en önemli bileşenini Zararlı Yazılımlar oluşturmaktadır. Siber dünyanın en etkili sihahları olarak da bilinen zararlı yazılımlar, alınan tüm klasik güvenlik önlemlerini atlatarak sistemler/kişiler veya mobil cihazlar üzerinden bilgi kaçırma, zarar verme ve istihbarat toplama amaçlı kullanılmaktadır. Malware Analiz eğitimin temel amacı kurumsal ağ ortamlarında sık rastlanılan ve klasik…
Devamı
Antivirus Bypass Teknikleri ve Tanınmaz Meterpreter Ajanı Oluşturma
2012

Antivirus Bypass Teknikleri ve Tanınmaz Meterpreter Ajanı Oluşturma

Pentest çalışmalarında, hedef sistemi ele geçirdikden sonra yetkisiz işlevleri yerine getirecek bir payload'a ihtiyaç duyulur. Bu bir casus yazılım olabilir (trojan), uzakdan yönetim aracı olabilir (rat) veya hedef sistemde kod/komut çalıştırmanıza olanak sağlayan bir araç   (shellcode exec) olabilir.BGA pentest ekibi, pentest çalışmalarında ve eğitimlerde multi platform çalışan ve gelişmiş özellikleri olan meterpreter payloadını sıklıkla tercih etmektedir.Antivirus veya sezgisel antilogger'lar bu tür durumlarda işinizi zorlaştırabilir. Bu yazıda, antiviruslerin çalışma prensiblerine kısaca değinilmiş…
Devamı
Adobe Shockwave Player Güvenlik Bildirisi
2011

Adobe Shockwave Player Güvenlik Bildirisi

Bilgi Güvenliği AKADEMİSİ'nin yayımladığı "Adobe Shockwave Player" sürümlerini etkileyen güvenlik bildirimi;    Üretici: AdobeEtkilenen Sistemler: Adobe Shockwave PlayerRisk Seviyesi: YüksekCVE ID: CVE-2011-2122Zaafiyet Türü: Memory Corruption (Bellek Bozulması)Etki: Uzaktan Kod ÇalıştırmaZaafiyet Detayları:Bu açıklık art niyetli kişilere uzaktan kod çalıştırma olanağı vermektedir. Açığı tetiklemek için kullanıcı etkileşimi gerekmektedir. Kullancıya istismar kodunun bulunduğu bir web sayfasının tıklatılması veya istismar kodunu barındıran bir dosyanın açtırılmasıyla açık tetiklenebilir.RIFF-Based Director dosya formatında rcsL etiketlerinde spesifik oynamalar yapılarak bellek bozulması sağlanabilir…
Devamı
BGA'dan Malware Analiz Eğitimi
2010

BGA'dan Malware Analiz Eğitimi

Bilgi Güvenliği AKADEMİSİ (BGA) olarak gelen talepleri değerlendirerek gittikçe önemi artan bir konuda daha eğitim açmış bulunmaktayız. Eğitimin konusu: Malware Analizi.İçeriği ve eğitmenleri Türkiye'de bu konuda uzun yıllardır çalışmış tanıdık bir ekip.Eğitim detaylarına http://www.bga.com.tr/?page_id=1637 adresinden erişilebilir. Malware Analiz konulu ilk eğitim Aralık 2010 tarihinde açılacaktır.
Devamı