Malware Davranış Analizi
Malware davranış analizi kötü amaçlı yazılımların sisteme girdikten sonraki tüm eylemlerini derinlemesine gözlemlemek araştırmak ve ortaya çıkarmak için yapılan kapsamlı bir inceleme sürecidir burada amaç zararlının kimliğini değil nasıl hareket ettiğini anlamaktır çünkü davranış en güçlü tanımlayıcıdır statik analiz birçok ayrıntıyı göremeyebilir fakat davranış analizi çalıştığı anda zararlının gerçek yüzünü gösterir bu yüzden gelişmiş tehdit avlama süreçlerinde davranış analizi temel bileşenlerden biri olarak kabul edilir saldırganların kullandığı saklanma yöntemleri tetikleme koşulları komut kontrol mekanizmaları ve kalıcılık teknikleri davranış analizinde ortaya çıkar bu nedenle bu analiz türü kurumların savunma hattının gelecekteki saldırılara hazır hale gelmesini sağlar
Davranış Analizi Neden Gereklidir?
Davranış analizi gereklidir çünkü zararlıların büyük kısmı artık imza tabanlı yöntemlerden kaçabilmektedir imzası olmayan polimorfik veya metamorfik zararlılar günlük olarak binlerce yeni varyant üretir bu durum klasik antivirüslerin yakalama oranlarını düşürür fakat davranış analizi her varyantın ortak davranışlarını görür örneğin process injection bellek manipülasyonu ağ iletişimi ya da dosya oluşturma gibi hareketler varyant değişse bile çoğunlukla aynıdır bu yüzden davranış analizi modern güvenlik mimarisinin çekirdek katmanını oluşturur
Davranış Analizi Aşamaları
Aşama 1-Başlangıç Gözlemi
Çalışır çalışmaz yaptığı başlangıç eylemlerinin incelendiği aşamadır bazı zararlılar ilk saniyede sistem bilgilerini toplar bazıları kendini çoğaltır bazıları sessiz kalıp belirli bir koşul gerçekleşince harekete geçer davranış analizi bu ilk dakikadaki tüm olayları kaydeder çünkü en kritik izler bu anda çıkar
Aşama 2-Dinamik İzleme
Bellekteki iş parçacıkları
Açılan kapatılan process zinciri
Dosya sistemindeki tüm değişiklikler
Ağdaki paket akışı ve yönü
Kaynak kullanımındaki olağandışı artış
Bu blok davranış akışının canlı olarak izlendiği aşamayı temsil eder araştırmacı bu akışın her saniyesini kayıt altına alır çünkü zararlıların çoğu bu sırada gizli tekniklerini kullanır
Aşama 3-Gömülü Tekniklerin Çözülmesi
Pek çok zararlı anti analiz teknikleri kullanır örneğin sandbox ortamı kontrolü debugger tespiti zaman gecikmesi uygulama taklidi şifreli payload yükleme davranış analizi bu teknikleri kırmak ve zararlının gerçek eylemlerini görmek için ek araçlar kullanır çünkü büyük tehditler kendilerini gizlemekte uzmandır davranış analisti bu oyunları çözüp arka plandaki tüm hareketleri ortaya çıkarmalıdır
Aşama 4-Kalıcılık Arayışı
Winlogon chainsistem açılışında otomatik tetiklenen zincire sızma
Service hijackmevcut servise zararlı bir bileşen ekleme
Boot loader modaçılış yöneticisine zararlı mod ekleme
Environment trickdeğişken manipülasyonu ile tekrar çalışmayı sağlama
Bu aşamada zararlının sistemde sürekli kalmak için kullandığı tüm yollar bulunur çünkü kalıcılık tespit edilmediği sürece tehdit her açılışta yeniden doğar
Ağ Davranışı Analizi
Ağ davranışı zararlının dış dünya ile kurduğu ilişkiyi gösterdiği için en kritik bölümdür bazı zararlılar veri sızdırır bazıları komut bekler bazıları ağda yatay hareket etmeye çalışır davranış analizi bu hareketlerin tamamını ortaya çıkarır
Örnek Ağ Davranışı İnceleme
Dns üzerinden gizli veri taşıma
Şifreli http trafiği ile komut alma
Rastgele port taramaları yapma
Uzak makinelere kimlik bilgisi denemesi gönderme
Taklit edilmiş user agent değerleri ile bağlantı kurma
Ağ davranışı daha çok gizli saldırıların arka planını oluşturur bu yüzden gerçek tehdit avlama süreçlerinde ağ davranış analizi hayati rol oynar
Bellek Tabanlı Davranış İncelemesi
Bazı zararlılar dosya bile oluşturmaz tamamen bellek üzerinde çalışır bu nedenle davranış analizi bellekteki tüm iş parçacıklarını izler process injection hollowing unhooking gibi teknikler bu aşamada ortaya çıkar bellek hareketleri incelenmeden yapılan analiz hiçbir zaman tam değildir bu yüzden gelişmiş tehditlerin büyük kısmı ancak bellek analizi ile tespit edilir
Gelişmiş Tekniklerin Özel Açıklaması
Process hollowing hedef processi boşaltıp kendi kodunu yerleştirme
Thread hijack başka process içindeki iş parçacığını ele geçirme
Direct syscalls güvenlik yazılımlarını atlatmak için doğrudan sistem çağrısı kullanma
Code stubbing kod parçalarını gizlemek için geçici çalışma bölgesi oluşturma
Bu teknikler modern zararlıların temel yapı taşlarıdır ve davranış analizi bunları açık hale getirir
Raporlama ve Analiz Sonrası Süreç
Davranış analizi tamamlandıktan sonra elde edilen tüm veriler büyük bir rapora dönüştürülür bu raporda zararlının tüm eylemleri saldırı zinciri tehdit seviyesi kalıcılık girişimleri ağ davranışları ve bellek manipülasyonları detaylı biçimde açıklanır bu rapor sadece tespit için değil savunma politikalarının geliştirilmesi için de kritik önem taşır kurumlar bu raporlar sayesinde gelecekteki saldırılara karşı daha dirençli hale gelir
Malware davranış analizi tehditleri sadece görmek değil onların gerçek doğasını anlamaktır saldırganların yöntemleri geliştikçe davranış analizi daha da önemli bir yere oturur çünkü davranış hiçbir zaman tamamen saklanamaz güçlü savunma davranışı okumaktan geçer bu yüzden modern güvenlik mimarisinin kalbinde her zaman davranış analizi vardır
