zararlı yazılım analizi Etiketli Yazılar

BGA Blog yazıları

Linux Sistemlerde Zararlı Yazılım Analizi – Temel Seviye Dinamik Analiz
2014

Linux Sistemlerde Zararlı Yazılım Analizi – Temel Seviye Dinamik Analiz

Temel seviye dinamik analizde zararlı çalıştırılarak ağ, dosya sistemi, süreçler ve diğer işletim sistemi bileşenleri üzerindeki etkileri gözlemlenir. Zararlının çalıştığı sistemde ve ağda kalıcı etkileri olabileceğinden dolayı dinamik analizin izole bir ortamda yapılması önerilir. Örneklere “Temel Seviye Statik Analiz” (http://blog.bga.com.tr/2014/12/linux-sistemlerde-zararl-yazlm-analizi.html) yazısında kullanılan zararlı ile devam edilmiştir. Zararlı çalıştırıldığında “ps” komutu ile sistem süreçleri listelenir, “-ef” parametreleri verilerek süreçlerin PPID (parent process id) gibi detayları da listelenir. Bu sayede grep komutunun da yardımı…
Devamı
Zararlı Kod İçeren Office Dosyalarının Analizi
2014

Zararlı Kod İçeren Office Dosyalarının Analizi

“Zararlı Kod İçeren PDF Dosyalarının Analizi (http://blog.bga.com.tr/2014/07/zararl-kod-iceren-pdf-dosyalarnn-analizi.html)” yazısının devamı niteliğinde olan bu yazıda aynı derecede önemli zararlı kod içeren office dokümanlarının analizi konusu ele alınmıştır. Kullanılan Araçlar: OfficeMalScanner OfficeCat Örnek zararlının SHA256 özeti: 22fa701cac3aeab6d62d99ac9e9c8ee68ffd5b990ac66f35a489946bc823379a İlk olarak OfficeMalScanner aracı “info” parametresi ile çalıştırılarak dosya hakkında genel bilgi edinilir. OfficeMalScanner z.xls info [*] INFO mode selected [*] Opening file z.xls [*] Filesize is 112640 (0x1b800) Bytes [*] Ms Office OLE2 Compound Format document detected…
Devamı
Zararlı Kod İçeren PDF Dosyalarının Analizi
2014

Zararlı Kod İçeren PDF Dosyalarının Analizi

Zararlı kodların pdf, doc, xls gibi farklı doküman formatlarının içine gömülmesi sosyal mühendislik saldırılarında sıklıkla kullanılan bir yöntemdir. Dolayısıyla bu dosyaların da şüpheli durumlarda analiz edilmesi gerekmektedir. REMNux imajıyla gelen, doğrudan da elde edilebilecek çeşitli araçlarla PDF dosyalarının detaylı analizi yapılabilir. Kullanılan Araçlar: pdfid AnalyzePDF peepdf pdf-parser Origami pdfextract Örnek zararlının SHA256 özeti: f3b30f5ecd00e3b0b74db08146b4d65bd376114da9391eb8541aee9b39974664 pdfid.py betiği kullanılarak zararlı PDF dosyasının hangi türde ne kadar içeriği olduğu görülür. Örnekte PDF dosyasının Javascript kodları…
Devamı
DNS İsteklerini Analiz Ederek Zararlı Yazılım Tespiti
2014

DNS İsteklerini Analiz Ederek Zararlı Yazılım Tespiti

Zararlı yazılımlar komuta merkezleriyle haberleşmede alanadlarını sıklıkla kullanırlar. Alanladlarının kullanımı, internetin kalınına olduğu gibi zararlı yazılımlara da doğrudan IP adreslerinin kullanımıyla elde edemeyecekleri bir esneklik kazandırır. Bu esneklikten yararlanıp komuta merkezlerinin kapatılmasıyla zararlı yazılım ağının etkisizleştirilmesini zorlaştıracak yöntemler uygulayabilirler. 1. Alanadındaki Anormalliklerin İncelenmesi: Alanadı gözden kaçması amacıyla bilindik bir alanadına çok benzer şekilde seçilmiş olabilir. Örneğin: rnicrosoft.com, 1inkedin.com gibi adreslere şüpheyle yaklaşılması gerekir. Algoritmik olarak üretilmiş (bkz: DGA) f3122.com, a112331b.com gibi rasgele…
Devamı
Karmaşıklaştırılmış (Obfuscated) Javascript Analizi
2014

Karmaşıklaştırılmış (Obfuscated) Javascript Analizi

Sıklıkla karşılaşılan istismar senaryolarından biri olan HTML dokümanlarında veya PDF dosyalarındaki gömülü Javascipt kodlarını sadece JS bilgisi kullanarak analiz etmek genelde mümkün olmamaktadır. Genelde zararlı JS kodları amaçlarını gizlemek adına obfuscation denilen kodu okunamaz hale getirme yöntemleri uygulanmış olarak bulunur. Bu da kodu tekrar okunabilir hale getirme (deobfuscation) ihtiyacını doğurur.  Yazıda ünlü Blackhole istismar kitinin bir türevini okunabilir hale getirme senaryosu üzerinden JSDetox ve JS-beautify yazılımlarının JS deobfuscation amaçlı kullanımı anlatılmıştır. Kullanılan…
Devamı
DNS Sinkhole İle Zararlı Yazılım Tespiti ve Engelleme
2014

DNS Sinkhole İle Zararlı Yazılım Tespiti ve Engelleme

Zararlı yazılımların komuta merkezi ile haberleşmesini engellemek veya zararlı bulaşmış sistemleri tespit etmek amacıla DNS sinkhole yöntemi kullanılabilmektedir. Sinkhole yöntemi ayrıca botnet’lerin etkisinin tespiti veya etkisizleştirilmesi amacıyla da kullanılabilmektedir. Yazıda DNS sinkhole yönteminin kurumsal ağlarda zararlı yazılımları engelleme amaçlı kullanımı ele alınmıştır. Yöntemin mantığı, DNS isteklerine sahte cevaplar vererek zararlının erişmek istediği alanadının gerçek IP adresini çözmesini engellemektir. Bunun için örnek bir yapılandırma aşağıdaki adımlar takip edilerek elde edilebilir. Linux kurulu bir…
Devamı
SSL Kullanan Zararlı Yazılımın Trafiğini Yönlendirme ve İnceleme
2014

SSL Kullanan Zararlı Yazılımın Trafiğini Yönlendirme ve İnceleme

Ağ trafiği analizi, zararlı yazılım analizinin önemli bir bölümüdür. Günümüz zararlılarının komuta merkeziyle şifreli iletişim kurma eğilimi düşünüldüğünde bu trafiği şifresiz olarak elde edebilmenin gerekliliği de anlaşılmaktadır. Yazıda SSL kullanan bir zararlının trafiğinin nasıl analiz edilebileceği komuta merkeziyle HTTPS kullanarak iletişim kuran zararlı örneği üzerinden anlatılmıştır. Kullanılan Araçlar: Burp Suite iptables Wireshark msfpayload Zararlı analizinin diğer birçok adımında olduğu gibi ilk olarak güvenli ve kontrol edilebilir bir lab ortamı sağlamakla işe başlanılır.…
Devamı
Zararlı Yazılım Trafiğinin Sahte Servislerle Yönetimi
2014

Zararlı Yazılım Trafiğinin Sahte Servislerle Yönetimi

Analiz aşamasında lab ortamında çalıştırılan zararlı yazılımların ihtiyaç duydukları servislere bağlantı kurmaları, gerek program akışında başarılı bağlantıdan sonra çalışan bölümlerin dinamik olarak analiz edilebilmesi gerekse analiz edilecek ağ trafiğinin oluşturulması için gereklidir. Bu gibi durumlarda zararlıyı analistin kontrolündeki sahte servislere yönlendirmek sıklıkla kullanılan etkili bir yöntemdir. Yazı boyunca bu yöntem anlatılırken sanal bir ağda çalışan iki adet sanal makine kullanılmıştır. Bunlardan birinde Windows XP, diğerinde ise REMnux kuruludur. WinXP’nin IP adresi 10.10.10.130,…
Devamı