Dynamic Malware Analyse : Hedef yazılımı çalıştırarak, zararlı olduğunu anlamak.
Kısaca (malicious software) Malware nedir : Bilgisayar sistemlerine zarar vermek, kayıtlı bilgileri çalmak ya da bilgisayar kullanıcılarını rahatsız etmek amacıyla hazırlanmış olan kötü amaçlı yazılımlar.
Malware çeşitlerini sıralıyalım : Adware, Spyware, Ransomware, Worm, Trojan, Rootkit, Backdoors, Keyloggers ;
Malware analizi hakkında bilginiz yoksa bu konu'yu inceleyebilirsiniz :
Malware Analizi Nedir ? / SeNZeRo
Başlamadan önce arkadaşlar, dikkat etmeniz gereken şunlardır ; Zararlı yazılımı çalıştırarak analiz ediceğimiz için, bilgisayarınıza geçici veya kalıcı zarar verebilir, bu yüzden lütfen sanal bilgisayar dediğimiz VirtualBox veya Vmware kullanınız.
not : OLUŞABİLECEK BÜTÜN SORUNLAR KULLANICIYA AİTTİR, TURKHACKTEAM.ORG SORUMLU TUTULAMAZ.
Öncelikle analiz ediceğimiz .exe'nin saf halini görelim :
Şimdi'de açmadan önce StartUP + Regedit ve %temp% dosyalarını canlı izliyelim, bunu yapma sebebimiz real-time exe'nin oluşturduğu yolları ve dosya'lari görmek(tabiki bu işlemi yapmadan önce dosya ayarlarından gizli dosyaları görme seçeneğimizi aktif ediyoruz belki .exe gizli işlem yapabilir.
Gördüğünüz gibi .exe'yi çalıştırmadım ve bu dosyalar ve yollar boş :
Şimdi'de çalıştıralım .exe'mizi ve olucak işlemleri takip edelim ve zarar vermicek bir uygulama neden bunları yapsın hep beraber düşünelim :
Yukarıdaki resimi hep beraber yorumlıyalım, .EXE'yi çalıştırmadan önce startup dosyası + regedit startup + sağda gördüğünüz bayrak temizdi ama .EXE'yi çalıştırdıktan sonra microsoft startup + regedit startup "mscvin.exe" adındaki uygulamayı başlangıca ekledi ve sağdaki bayrak kırmızılaştı sebebi .EXE UAC yani kullanıcı yönetim kurallarını değiştirdi ve güvenlik duvarı dediğimiz firewall'ı devre dışı bıraktı.
ZARARSIZ BİR .EXE neden bunları yapsın ?
Başlangıca eklenme amacı bilgisayar her çalıştığında uygulamanın bilgisayarla birlikte açılması ve zarar vermek istiyen kişiye bilgi yollaması.
UAC ve Firewall'ı devre dışı bırakma amacı, bilgisayar her açıldığında rahatlıkla bağlantı gitmesi eğer program UAC devre dışı bırakılmasaydı bilgisayar çalıştığında mscvin.exe çalışsınmı uyarısı verirdi ve her kullanıcının yapacağı gibi hayır seçeneğini seçmek olurdu amaç bunu sorgusuz çalıştırmak.
----------------------------------------------------------------------------------------------------------
Şimdide CPORTS uygulaması sayesinde .EXE'miz herhangi bir IP adress ve PORT açıyormu, bağlantı kuruyormu diye bakalım.
Görebildiğiz gibi .exe'nin bir ip addresi mevcut ve port açıyor + bağlantı kuruyor, bunun zarar vermeye niyetli olan kişinin bilgileri olabilir.
Portları iyi tanımalısınız arkadaşlar, 1604 bilindiği gibi DARKCOMET, 81 felan yani portları tanırsanız hertürlü anlıyabilirsiniz zararlı .exe'yi.
----------------------------------------------------------------------------------------------------------
Arkadaşlar, tabiki yeni arkadaşlar için malware analizi basit olmasa gerek ama yıllardır sanal ortam'da virüs işinde uğraştığımız için artık az çok hiç açmadan bile virüs'leri tanıyabiliyoruz yılların verdiği gözlem.
Hiç açmadan anlıyabilmek için statik analiz yapmak lazım, statik analiz için Phemis arkadaşımın statik analiz konusunu okuyabilirsiniz.
STATİK ANALİZ : PHEMIS
SON OLARAK EMİN OLMAK İÇİN HİTMAN-PRO real-time taramasından geçirelim ve bakalım.
Gördüğünüz gibi TROJAN imzası verildi, bazen antivirüsler yanılabilir, en zararsız programı bile zararlı gösterebilir ama bu bazen.
Analiz yaparken kendinize güvenin, birşeyden şüphelenirseniz daha detaylı araştırın ve gerekli bütün analizleri(dinamik & startik) yapın arkadaşlar, .exe'yi çok iyi takip ediniz.
ANALİZ ETTİĞİNİZ .EXE ÇOK AÇIK VERDİĞİ İÇİN FAZLA İŞLEM YAPMAYA GEREK DUYMADIM AMA BAZEN ÇOK GÜZEL VE İNANDIRICI SENARYO'LARLA TROJAN'A MARUZ KALABİLİRSİNİZ, VE İŞTE O ZAMAN İŞLER DAHA ZORLAŞIR.
SON OLARAK EXE'nin VirusTotal taramasi :
Kısaca (malicious software) Malware nedir : Bilgisayar sistemlerine zarar vermek, kayıtlı bilgileri çalmak ya da bilgisayar kullanıcılarını rahatsız etmek amacıyla hazırlanmış olan kötü amaçlı yazılımlar.
Malware çeşitlerini sıralıyalım : Adware, Spyware, Ransomware, Worm, Trojan, Rootkit, Backdoors, Keyloggers ;
Malware analizi hakkında bilginiz yoksa bu konu'yu inceleyebilirsiniz :
Malware Analizi Nedir ? / SeNZeRo
Başlamadan önce arkadaşlar, dikkat etmeniz gereken şunlardır ; Zararlı yazılımı çalıştırarak analiz ediceğimiz için, bilgisayarınıza geçici veya kalıcı zarar verebilir, bu yüzden lütfen sanal bilgisayar dediğimiz VirtualBox veya Vmware kullanınız.
not : OLUŞABİLECEK BÜTÜN SORUNLAR KULLANICIYA AİTTİR, TURKHACKTEAM.ORG SORUMLU TUTULAMAZ.
Öncelikle analiz ediceğimiz .exe'nin saf halini görelim :
Şimdi'de açmadan önce StartUP + Regedit ve %temp% dosyalarını canlı izliyelim, bunu yapma sebebimiz real-time exe'nin oluşturduğu yolları ve dosya'lari görmek(tabiki bu işlemi yapmadan önce dosya ayarlarından gizli dosyaları görme seçeneğimizi aktif ediyoruz belki .exe gizli işlem yapabilir.
Gördüğünüz gibi .exe'yi çalıştırmadım ve bu dosyalar ve yollar boş :
Şimdi'de çalıştıralım .exe'mizi ve olucak işlemleri takip edelim ve zarar vermicek bir uygulama neden bunları yapsın hep beraber düşünelim :
Yukarıdaki resimi hep beraber yorumlıyalım, .EXE'yi çalıştırmadan önce startup dosyası + regedit startup + sağda gördüğünüz bayrak temizdi ama .EXE'yi çalıştırdıktan sonra microsoft startup + regedit startup "mscvin.exe" adındaki uygulamayı başlangıca ekledi ve sağdaki bayrak kırmızılaştı sebebi .EXE UAC yani kullanıcı yönetim kurallarını değiştirdi ve güvenlik duvarı dediğimiz firewall'ı devre dışı bıraktı.
ZARARSIZ BİR .EXE neden bunları yapsın ?
Başlangıca eklenme amacı bilgisayar her çalıştığında uygulamanın bilgisayarla birlikte açılması ve zarar vermek istiyen kişiye bilgi yollaması.
UAC ve Firewall'ı devre dışı bırakma amacı, bilgisayar her açıldığında rahatlıkla bağlantı gitmesi eğer program UAC devre dışı bırakılmasaydı bilgisayar çalıştığında mscvin.exe çalışsınmı uyarısı verirdi ve her kullanıcının yapacağı gibi hayır seçeneğini seçmek olurdu amaç bunu sorgusuz çalıştırmak.
----------------------------------------------------------------------------------------------------------
Şimdide CPORTS uygulaması sayesinde .EXE'miz herhangi bir IP adress ve PORT açıyormu, bağlantı kuruyormu diye bakalım.
Görebildiğiz gibi .exe'nin bir ip addresi mevcut ve port açıyor + bağlantı kuruyor, bunun zarar vermeye niyetli olan kişinin bilgileri olabilir.
Portları iyi tanımalısınız arkadaşlar, 1604 bilindiği gibi DARKCOMET, 81 felan yani portları tanırsanız hertürlü anlıyabilirsiniz zararlı .exe'yi.
----------------------------------------------------------------------------------------------------------
Arkadaşlar, tabiki yeni arkadaşlar için malware analizi basit olmasa gerek ama yıllardır sanal ortam'da virüs işinde uğraştığımız için artık az çok hiç açmadan bile virüs'leri tanıyabiliyoruz yılların verdiği gözlem.
Hiç açmadan anlıyabilmek için statik analiz yapmak lazım, statik analiz için Phemis arkadaşımın statik analiz konusunu okuyabilirsiniz.
STATİK ANALİZ : PHEMIS
SON OLARAK EMİN OLMAK İÇİN HİTMAN-PRO real-time taramasından geçirelim ve bakalım.
Gördüğünüz gibi TROJAN imzası verildi, bazen antivirüsler yanılabilir, en zararsız programı bile zararlı gösterebilir ama bu bazen.
Analiz yaparken kendinize güvenin, birşeyden şüphelenirseniz daha detaylı araştırın ve gerekli bütün analizleri(dinamik & startik) yapın arkadaşlar, .exe'yi çok iyi takip ediniz.
ANALİZ ETTİĞİNİZ .EXE ÇOK AÇIK VERDİĞİ İÇİN FAZLA İŞLEM YAPMAYA GEREK DUYMADIM AMA BAZEN ÇOK GÜZEL VE İNANDIRICI SENARYO'LARLA TROJAN'A MARUZ KALABİLİRSİNİZ, VE İŞTE O ZAMAN İŞLER DAHA ZORLAŞIR.
SON OLARAK EXE'nin VirusTotal taramasi :
Son düzenleme: