- 23 Nis 2020
- 297
- 1
Malware analizi yani kötü amaçlı yazılım analizi, şüpheli bir dosyanın davranışını ve amacını anlama işlemidir. Analizin çıktısı potansiyel tehdidin saptanmasına ve azaltılmasına yardımcı olur. Kötü amaclı yazılım analizinin ana amacı güvenlik analistlerinin işlerini kolaylaştırmaktır. Analizler statik dinamik ve hibrit olarak 3'e ayrılır
1-Statik Analiz : Temel statik analizde dosyanın veya kodun açılıp incelenmesine gerek yoktur. Yani dosya kötü niyet göstergesi için sadece izlenir. Dosya adları, hashler, IP adresleri, etki alanları ve dosya başlığı verileri gibi teknik göstergeler, dosyanın kötü amaçlı olup olmadığını belirlemek için kullanılabilir. Ayrıca, disassembler ve ağ analizörleri gibi araçlar, kötü amaçlı yazılımın nasıl çalıştığı hakkında bilgi toplamak için kötü amaçlı yazılımı çalıştırmadan gözlemlemek için kullanılabilir.
Ancak, statik analiz, kodu gerçekten çalıştırmadığından, karmaşık kötü amaçlı yazılımlar, algılanamayacak çalışma zamanı davranışları içerebilir. Örneğin, bir dosya dinamik dizeye dayalı olarak kötü amaçlı bir dosya indiren bir dize oluşturursa, temel bir statik analiz tarafından algılanmayabilir. İşletmelerin, dosyanın davranışının daha iyi anlaşılması için dinamik analize yönlenmesi daha mantıklıdır.
2-Dinamik Analiz :
Dinamik kötü amaçlı yazılım analizi, korumalı ve güvenli bir ortamda yürütülür. Bu kapalı sistem, güvenlik profesyonellerinin sistemlerine bulaşmasına veya kurumsal ağa girmesine izin vermeden kötü amaçlı yazılımları eylem halinde izlemelerini sağlar.
Dinamik analiz, güvenlik analistlerine ve olay müdahale ekiplerine daha derin bir görünürlük sağlar ve bir tehdidin gerçek doğasını ortaya çıkarmalarını sağlar. İkincil bir fayda olarak ki, bence bu çok önemli, otomatik korumalı alan, kötü amaçlı kodu bulmak için bir dosyayı tersine mühendislik işleminin yapılması gereken zamanı ortadan kaldırır.
Dinamik analizle ilgili zorluk, zararlı yazılımın akıllıca hazırlanarak yazılımın içinde belirli koşullar sağlanana kadar kodu gizler. Ancak bundan sonra kod çalışır.
3-Hibrit Analiz : Daha önce de bahsettiğim gibi statik analiz karmaşık kötü amaçlı kodları saptamanın güvenilir bir yolu değildir ve karmaşık kötü amaçlı yazılımlar bazen sanal alan teknolojisinin varlığından gizlenebilir. Temel ve dinamik analiz tekniklerini birleştirerek, karma analiz yani hibrit analiz güvenlik ekibine her iki yaklaşımın da en iyisini sağlar - çünkü öncelikle statik analiz yöntemiyle gizlenmeye çalışan kötü amaçlı kodu tespit edebilir ve daha sonra daha önce görünmeyen kodla daha fazla bilgi sahibi olmasını sağlayabilir . Hibrit analiz, en karmaşık kötü amaçlı yazılımlardan bile bilinmeyen tehditlerin algılanmasına yardımcı olur.
Örneğin, hibrit analizinin yaptığı şeylerden biri, statik analiz tarafından üretilen verilere dinamik analiz uygulamasıdır. Örneğin bir kötü amaçlı kod parçası çalışıyor be bellekte bazı değişiklikler yapıyor. Dinamik analiz bunu algılar ve analistler geri dönüp o bellek dökümünde temel statik analiz gerçekleştirmeleri konusunda uyarılırlar. Sonuç olarak, zararlı koda 2 taraflı yaklaşım gösterililir.
++ eksiğim varsa belirtmeniz yeterli
1-Statik Analiz : Temel statik analizde dosyanın veya kodun açılıp incelenmesine gerek yoktur. Yani dosya kötü niyet göstergesi için sadece izlenir. Dosya adları, hashler, IP adresleri, etki alanları ve dosya başlığı verileri gibi teknik göstergeler, dosyanın kötü amaçlı olup olmadığını belirlemek için kullanılabilir. Ayrıca, disassembler ve ağ analizörleri gibi araçlar, kötü amaçlı yazılımın nasıl çalıştığı hakkında bilgi toplamak için kötü amaçlı yazılımı çalıştırmadan gözlemlemek için kullanılabilir.
Ancak, statik analiz, kodu gerçekten çalıştırmadığından, karmaşık kötü amaçlı yazılımlar, algılanamayacak çalışma zamanı davranışları içerebilir. Örneğin, bir dosya dinamik dizeye dayalı olarak kötü amaçlı bir dosya indiren bir dize oluşturursa, temel bir statik analiz tarafından algılanmayabilir. İşletmelerin, dosyanın davranışının daha iyi anlaşılması için dinamik analize yönlenmesi daha mantıklıdır.
2-Dinamik Analiz :
Dinamik kötü amaçlı yazılım analizi, korumalı ve güvenli bir ortamda yürütülür. Bu kapalı sistem, güvenlik profesyonellerinin sistemlerine bulaşmasına veya kurumsal ağa girmesine izin vermeden kötü amaçlı yazılımları eylem halinde izlemelerini sağlar.
Dinamik analiz, güvenlik analistlerine ve olay müdahale ekiplerine daha derin bir görünürlük sağlar ve bir tehdidin gerçek doğasını ortaya çıkarmalarını sağlar. İkincil bir fayda olarak ki, bence bu çok önemli, otomatik korumalı alan, kötü amaçlı kodu bulmak için bir dosyayı tersine mühendislik işleminin yapılması gereken zamanı ortadan kaldırır.
Dinamik analizle ilgili zorluk, zararlı yazılımın akıllıca hazırlanarak yazılımın içinde belirli koşullar sağlanana kadar kodu gizler. Ancak bundan sonra kod çalışır.
3-Hibrit Analiz : Daha önce de bahsettiğim gibi statik analiz karmaşık kötü amaçlı kodları saptamanın güvenilir bir yolu değildir ve karmaşık kötü amaçlı yazılımlar bazen sanal alan teknolojisinin varlığından gizlenebilir. Temel ve dinamik analiz tekniklerini birleştirerek, karma analiz yani hibrit analiz güvenlik ekibine her iki yaklaşımın da en iyisini sağlar - çünkü öncelikle statik analiz yöntemiyle gizlenmeye çalışan kötü amaçlı kodu tespit edebilir ve daha sonra daha önce görünmeyen kodla daha fazla bilgi sahibi olmasını sağlayabilir . Hibrit analiz, en karmaşık kötü amaçlı yazılımlardan bile bilinmeyen tehditlerin algılanmasına yardımcı olur.
Örneğin, hibrit analizinin yaptığı şeylerden biri, statik analiz tarafından üretilen verilere dinamik analiz uygulamasıdır. Örneğin bir kötü amaçlı kod parçası çalışıyor be bellekte bazı değişiklikler yapıyor. Dinamik analiz bunu algılar ve analistler geri dönüp o bellek dökümünde temel statik analiz gerçekleştirmeleri konusunda uyarılırlar. Sonuç olarak, zararlı koda 2 taraflı yaklaşım gösterililir.
Alıntı yapılan bazı yerler için :
https://www.crowdstrike.com/epp-101/malware-analysis/
++ eksiğim varsa belirtmeniz yeterli
Moderatör tarafında düzenlendi: