Sanal Makinelerin Malware Analizinde Kullanım Avantaj & Dezavantajları

Nsicha

𐱅𐰇𐰼𐰰


Merhaba arkadaşlar bugün sizlere Sanal Makinelerin Malware Analizinde Kullanım Avantajları & Dezavantajlarından bahsedeceğim. Öncelikle tek sanal makinenin ne dezavantajı olabilir ki diye düşündüğümde bu sanal makinelerin tam anlamıyla virüsleri analiz edememesi, yavaş çalışması ve sanal makineden ana makineye virüs sızması gibi şeyler VM araçları için bir dezavantaj olduğunu gördüm ve araştırmaya başladım. Hadi konumuza geçelim.


Başta Sanal Makine Nedir ve Nasıl Çalışır ve Nerelerde Tercih Edilir kısa bir şekilde tanımlayalım.



Sanal makine, programları gerçek makinedeki gibi çalıştırabilen yazılım uyarlamasıdır. Sanallaştırma sayesinde kullanılabilirlerdir. Ana makinede olduğu gibi sanal makinenin de bir işletim sistemi ve ayarları vardır,ana makine içerisinde ne yapılıyorsa sanal makinede içerisinde de aynısını yapabilirsiniz. Sanal makineyi ve ana makineyi bir arada tutan hipervezördür. Hipervizörün amacına gelirsek bu sanal makinelerin ana makine de çalışmasını sağlamak için gerekli ihtiyaçları makineye dağıtır(işlemci, bellek vs.).Fakat yine de sanal makinemize çok fazla yük verirsek bu sefer ana makineye zarar vermiş olacağız, dikkatli olmakta fayda var. Gelelim bu sanal makinelerin nerelerde ve ne amaçla kullanıldığı kısmına gelirsek;

1-İşletim Sistemi denemek amacıyla kurulurlar.

2-Zararlı yazılımları analiz etmek, test etmek amacıyla kullanılırlar.


3-Yapılan güncelleştirmeleri test etmek amacı vb. gibi amaçlarda kullanılmaktadır.


Sanal Makinelerin Malware Analizinde Kullanım Avantajları ve Dezavantajları
Evet gelelim asıl konu başlığımıza, sanal makinelerin malware analizinde dezavantajlarından çok avantajları vardır. Başta bu avantajlar hakkında konuşalım.


Avantajları:

1-Ana makineye girmesini engeller.

2-Ana makineye zarar vermemesi istendiği için sanal makine kullanılır.

3-Sanal makine üzerinde çeşitli tool ve uygulamalara erişilip bu uygulamalardan yararlanılabilir




Dezavantajları:

1- Virüs analizi veyahut virüs denemesi yaparken ana makineye virüsün sızması - ana makineye zarar vermesi imkansız değildir.

2- Anti VM içeriği

1. Maddenin açıklamasını yaparsak:


Yaptığım araştırmalara göre bazı virüsler sanal makineden ana makineye girebiliyormuş. Basit düzeydeki bir virüsü engellemenin yolu ise sanal makinenin network'le bağını kesip anti-virüs kurmanızdır.Şunu unutmamanızı isterim, sanal makinelerin gerçek makinelerden bir farkı yoktur ve herhangi bir virüs koruması da yoktur çünkü asıl amaçları sanallaştırmadır. Peki çalıştırmadığınız halde ve daha önce konuştuklarımızı dikkate aldığında ana makineye geçebilir mi? Çalıştırılmadığı zaman makinenize - sanal makinenize bir şey olmaz.

2.Maddenin açıklamasını yaparsak:

malware analizlerinin, testlerinin sıklıkla VM'lerde yapıldığını biliyoruz. Fakat bazı malwareler sanal makine içerisinde etkisini göstermiyor, bunun yüzünden tespit edilemiyor.Dinamik analizi zorlaştırıp geçirmek için kendisini çalıştırmayan malwareler mevcuttur. Bu gayet olası bir durumdur, bunun sebebine gelirsek bugünlerde herkes malware analizi vs şeylere merak sarıyor ve araştırıp kendince deniyor. Malware kodlayan kişiler ise bunları zorlaştırıyor ve masum bir şey gibi gösteriyor. Sanal makinelerin tespit edilmesi için kullanılan bazı yöntemler şunlardır;


-MMX:
Sanal makineler MMX özelliğini desteklemediği için teyidi yapılarak sanal makine olup olmadığı tespit edilebilir.


-VMWare MN

-Mac Adresleri
:
Sanal makinelerin özel mac adresleri mevcuttur. Malwareler bu sayılara göre sanal makinenin tespidini yapabilir.MAC adresi WMIC (wmic -> nic listesi) kullanımı da dahil olmak üzere çeşitli şekillerde alınabilir.

00:05:69 (Vmware)
00:0C:29 (Vmware)
00:1C:14 (Vmware)
00:50:56 (Vmware)
08:00:27 (VirtualBox)


-Registry Keys:
Aşağıdaki girdiler, sanal makinenin varlığını gösterir.

HKLM\SOFTWARE\Vmware Inc.\\\Vmware Tools
HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\Scsi\Scsi Port 2\Scsi Bus 0\Target Id 0\Logical Unit Id 0\Identifier
SYSTEM\CurrentControlSet\Control\CriticalDeviceDatabase\root#vmwvmcihostdev
SYSTEM\CurrentControlSet\Enum\SCSI\Disk&Ven_VMware_&Prod_VMware_Virtual_S
SYSTEM\CurrentControlSet\Control\VirtualDeviceDrivers




VM'yi Gösteren İşlemler:
Malwareler bu bilgileri WMIC, WınAPI ve CMD gibi çeşitli şekillerde alabilir WMIC(wmic > process list) Win API(Process32First,Process32Next)

VM'nin Varlığını Denetleme:Bu dosyalar sistemde bulunduğu zaman VM'nin varlığı belirlenir.Bunlar WMIC, WinAPI ve CMD gibi bir çok yolla bulunur.
VMware

C:\windows\System32\Drivers\Vmmouse.sys

C:\windows\System32\Drivers\vm3dgl.dll

C:\windows\System32\Drivers\vmdum.dll

VirtualBox
C:\windows\System32\Drivers\VBoxMouse.sys

C:\windows\System32\Drivers\VBoxGuest.sys

C:\windows\System32\Drivers\VBoxSF.sys

- Sistem dosyalarını kısıtlı tuttum, konuya hepsini koymadım. -


Çalışan Servisleri Denetleme:

VMTools
Vmhgfs
VMMEMCTL
Vmmouse
Vmrawdsk
Vmusbmouse
Vmvss
Vmscsi
Vmxnet
vmx_svga
Vmware Tools
Vmware Physical Disk Helper Service
Bu servislerden birisinin - birden fazlasının çalışıp çalışmadığını yine WMIC, WinAPI ve CMD ile bulunur.
(wmic > service list, sc.exe/query)



VM Tespiti için forumumuzda ve diğer kaynaklarda daha çok araştırma yapabilirsiniz. Konunun asıl amacı Sanal Makinelerin Malware Analizinde Kullanım Avantaj/Dezavantajları olduğu için yeteri kadar bilgi toplayıp sizlere sundum.Konumuzun sonuna gelmiş bulunmaktayız, değerli vaktinizi ayırıp okuduğunuz için teşekkürlerimi sunarım.

- Eksiklerim, yanlışlarım olabilir düzeltilmesi gereken yerleri yorumlarda belirtirseniz düzeltirim.
 

'Chan

Moderatör
1 Nis 2020
1,419
470
Shibuya
Ellerine sağlık. Bence çok bir düzenleme gereken yer görünmüyor. Sadece bazı resimler bulanık ve daha küçük duruyor. Onlar yerin görsellik açısından PNG, GİF veya daha Hd resimler olsaymış daha göze hitap edebilirmiş. ☺️
 

Nsicha

𐱅𐰇𐰼𐰰
Ellerine sağlık. Bence çok bir düzenleme gereken yer görünmüyor. Sadece bazı resimler bulanık ve daha küçük duruyor. Onlar yerin görsellik açısından PNG, GİF veya daha Hd resimler olsaymış daha göze hitap edebilirmiş. ☺️
Güzel yorumunuz için teşekkür ederim hocam, bir sonraki konularımı yorumunuzu göz önünde bulundurarak yazacağım :) 😊
 

NOTUS

Katılımcı Üye


Merhaba arkadaşlar bugün sizlere Sanal Makinelerin Malware Analizinde Kullanım Avantajları & Dezavantajlarından bahsedeceğim. Öncelikle tek sanal makinenin ne dezavantajı olabilir ki diye düşündüğümde bu sanal makinelerin tam anlamıyla virüsleri analiz edememesi, yavaş çalışması ve sanal makineden ana makineye virüs sızması gibi şeyler VM araçları için bir dezavantaj olduğunu gördüm ve araştırmaya başladım. Hadi konumuza geçelim.


Başta Sanal Makine Nedir ve Nasıl Çalışır ve Nerelerde Tercih Edilir kısa bir şekilde tanımlayalım.



Sanal makine, programları gerçek makinedeki gibi çalıştırabilen yazılım uyarlamasıdır. Sanallaştırma sayesinde kullanılabilirlerdir. Ana makinede olduğu gibi sanal makinenin de bir işletim sistemi ve ayarları vardır,ana makine içerisinde ne yapılıyorsa sanal makinede içerisinde de aynısını yapabilirsiniz. Sanal makineyi ve ana makineyi bir arada tutan hipervezördür. Hipervizörün amacına gelirsek bu sanal makinelerin ana makine de çalışmasını sağlamak için gerekli ihtiyaçları makineye dağıtır(işlemci, bellek vs.).Fakat yine de sanal makinemize çok fazla yük verirsek bu sefer ana makineye zarar vermiş olacağız, dikkatli olmakta fayda var. Gelelim bu sanal makinelerin nerelerde ve ne amaçla kullanıldığı kısmına gelirsek;

1-İşletim Sistemi denemek amacıyla kurulurlar.

2-Zararlı yazılımları analiz etmek, test etmek amacıyla kullanılırlar.


3-Yapılan güncelleştirmeleri test etmek amacı vb. gibi amaçlarda kullanılmaktadır.


Sanal Makinelerin Malware Analizinde Kullanım Avantajları ve Dezavantajları
Evet gelelim asıl konu başlığımıza, sanal makinelerin malware analizinde dezavantajlarından çok avantajları vardır. Başta bu avantajlar hakkında konuşalım.


Avantajları:

1-Ana makineye girmesini engeller.

2-Ana makineye zarar vermemesi istendiği için sanal makine kullanılır.

3-Sanal makine üzerinde çeşitli tool ve uygulamalara erişilip bu uygulamalardan yararlanılabilir




Dezavantajları:

1- Virüs analizi veyahut virüs denemesi yaparken ana makineye virüsün sızması - ana makineye zarar vermesi imkansız değildir.

2- Anti VM içeriği

1. Maddenin açıklamasını yaparsak:


Yaptığım araştırmalara göre bazı virüsler sanal makineden ana makineye girebiliyormuş. Basit düzeydeki bir virüsü engellemenin yolu ise sanal makinenin network'le bağını kesip anti-virüs kurmanızdır.Şunu unutmamanızı isterim, sanal makinelerin gerçek makinelerden bir farkı yoktur ve herhangi bir virüs koruması da yoktur çünkü asıl amaçları sanallaştırmadır. Peki çalıştırmadığınız halde ve daha önce konuştuklarımızı dikkate aldığında ana makineye geçebilir mi? Çalıştırılmadığı zaman makinenize - sanal makinenize bir şey olmaz.

2.Maddenin açıklamasını yaparsak:

malware analizlerinin, testlerinin sıklıkla VM'lerde yapıldığını biliyoruz. Fakat bazı malwareler sanal makine içerisinde etkisini göstermiyor, bunun yüzünden tespit edilemiyor.Dinamik analizi zorlaştırıp geçirmek için kendisini çalıştırmayan malwareler mevcuttur. Bu gayet olası bir durumdur, bunun sebebine gelirsek bugünlerde herkes malware analizi vs şeylere merak sarıyor ve araştırıp kendince deniyor. Malware kodlayan kişiler ise bunları zorlaştırıyor ve masum bir şey gibi gösteriyor. Sanal makinelerin tespit edilmesi için kullanılan bazı yöntemler şunlardır;


-MMX:
Sanal makineler MMX özelliğini desteklemediği için teyidi yapılarak sanal makine olup olmadığı tespit edilebilir.


-VMWare MN

-Mac Adresleri
:
Sanal makinelerin özel mac adresleri mevcuttur. Malwareler bu sayılara göre sanal makinenin tespidini yapabilir.MAC adresi WMIC (wmic -> nic listesi) kullanımı da dahil olmak üzere çeşitli şekillerde alınabilir.

00:05:69 (Vmware)
00:0C:29 (Vmware)
00:1C:14 (Vmware)
00:50:56 (Vmware)
08:00:27 (VirtualBox)


-Registry Keys:
Aşağıdaki girdiler, sanal makinenin varlığını gösterir.

HKLM\SOFTWARE\Vmware Inc.\\\Vmware Tools
HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\Scsi\Scsi Port 2\Scsi Bus 0\Target Id 0\Logical Unit Id 0\Identifier
SYSTEM\CurrentControlSet\Control\CriticalDeviceDatabase\root#vmwvmcihostdev
SYSTEM\CurrentControlSet\Enum\SCSI\Disk&Ven_VMware_&Prod_VMware_Virtual_S
SYSTEM\CurrentControlSet\Control\VirtualDeviceDrivers




VM'yi Gösteren İşlemler:
Malwareler bu bilgileri WMIC, WınAPI ve CMD gibi çeşitli şekillerde alabilir WMIC(wmic > process list) Win API(Process32First,Process32Next)

VM'nin Varlığını Denetleme:Bu dosyalar sistemde bulunduğu zaman VM'nin varlığı belirlenir.Bunlar WMIC, WinAPI ve CMD gibi bir çok yolla bulunur.
VMware

C:\windows\System32\Drivers\Vmmouse.sys

C:\windows\System32\Drivers\vm3dgl.dll

C:\windows\System32\Drivers\vmdum.dll

VirtualBox
C:\windows\System32\Drivers\VBoxMouse.sys

C:\windows\System32\Drivers\VBoxGuest.sys

C:\windows\System32\Drivers\VBoxSF.sys

- Sistem dosyalarını kısıtlı tuttum, konuya hepsini koymadım. -


Çalışan Servisleri Denetleme:

VMTools
Vmhgfs
VMMEMCTL
Vmmouse
Vmrawdsk
Vmusbmouse
Vmvss
Vmscsi
Vmxnet
vmx_svga
Vmware Tools
Vmware Physical Disk Helper Service
Bu servislerden birisinin - birden fazlasının çalışıp çalışmadığını yine WMIC, WinAPI ve CMD ile bulunur.
(wmic > service list, sc.exe/query)



VM Tespiti için forumumuzda ve diğer kaynaklarda daha çok araştırma yapabilirsiniz. Konunun asıl amacı Sanal Makinelerin Malware Analizinde Kullanım Avantaj/Dezavantajları olduğu için yeteri kadar bilgi toplayıp sizlere sundum.Konumuzun sonuna gelmiş bulunmaktayız, değerli vaktinizi ayırıp okuduğunuz için teşekkürlerimi sunarım.

- Eksiklerim, yanlışlarım olabilir düzeltilmesi gereken yerleri yorumlarda belirtirseniz düzeltirim.
Elinize sağlık hocam
 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.