Bilgisayar Üzerinde Zararlı Yazılım Analizi

Transkript

1 Bilgisayar Üzerinde Zararlı Yazılım Analizi Zararlı Yazılım Analiz ve Mücadele Merkezi TÜBİTAK BİLGEM Siber Güvenlik Enstitüsü 12 Ocak 2016

2 Bilgisayar Analizleri Bilgisayar Forensik Analizleri Zararlı Yazılım Analizleri 2

3 Bilgisayar Analizleri Analiz Aşamaları ~ Dosya Otomatik Yarı- Otomatik Manuel Veri toplama Anti-Virus Taramaları Ele Geçirme Göstergeleri (IOC) Otomatik Hafıza Analizi Sistemde Kalıcılık Tespiti Entropy Analizi Log Analizi Zaman Çizelgesi ile Analiz Manuel Hazıfa Analizi Beyaz Liste - Hash Sorgulama MFT Anomalileri Dosya Zamanı Anomalileri ~ 1-4 Dosya * 3

4 Bilgisayar Analizleri Verileri İndeksleme 4

5 Bilgisayar Analizleri Hafıza Analizi Hafıza Analizi Aşamaları Sahte proseslerin tespiti Proses DLL lerinin ve handle ların analizi Şüpheli ağ bağlantılarının analizi Kod enjeksiyonu tespiti Rootkit tespiti Şüpheli proses ve driverların çekilmesi 5

6 Bilgisayar Analizleri Hafıza Analizi Volatility Framework / Evolve 6

7 Bilgisayar Analizleri Veri Toplama ve Analiz Araçları GRR Google Rapid Response (Açık kaynaklı) Büyük ölçekli analizler için merkezi sistem Registry, dosya sistemi, hafıza ve proses analizleri yapılabilir Linux, Mac OS X, Windows istemci desteği Geliştirilebilir kurallar Mandiant Redline (Ücretsiz) OpenIOC veri formatı desteği Registry, dosya sistemi, hafıza ve proses analizleri yapılabilir Malware Risk Index skorlaması Windows istemci desteği 7

8 Bilgisayar Analizleri Ele Geçirilme Göstergesi (IoC) Ele Geçirilme Göstergesi (IoC) nedir? Ağda veya işletim sisteminde görülen ve izinsiz girişe işaret eden izler Dosya sistemi, hafıza, çalışan proseslerle ilgili izler Örnekler IP Adresi / Alan Adı URL / URI HTTP User Agent Dosya Özeti, vs.. Statik ve dinamiksel analizler sonucu oluşturulur 8

9 Bilgisayar Analizleri Ele Geçirilme Göstergesi (IoC) IoC neden var? Tehdit karakteristiğinin standartlaşması Saldırganın metodolojisi Kurumsal yapılarda tehditin tespiti / analizi IoC Kaynak Havuzu IoC standartları OpenIOC Mandiant, ücretsiz IETF Standartları - IODEF & RID SOMEler tarafından, SOMEler için CyboX, STIX, and TAXII MITRE - ABD MACCSA Hala erken bir aşamada NATO MISP IOCbucket APT analiz raporları 9

10 Bilgisayar Analizleri Ele Geçirilme Göstergesi (IoC) * 10

11 Bilgisayar Analizleri Ele Geçirilme Göstergesi (IoC) IOCEditor 11

12 Bilgisayar Analizleri Ele Geçirilme Göstergesi (IoC) IOCFinder 12

13 Bilgisayar Analizleri YARA Kuralları Zararlı yazılımların davranışlarının tanımlanması ve sınıflandırılması Pattern/string/imza tabanlı tanımlama Dosya sistemi taranması için yazılım desteği Volatility ile hafıza imajı içerisinde tarama Moloch ile ağ trafiğinde tarama Kurumsal ürünlerle entegrasyon Windows, Linux and Mac OS X platform desteği 13

14 Bilgisayar Analizleri YARA Kuralları * 14

15 Bilgisayar Analizleri Ağ Bağlantıları İnternet bağlantıları kontrolü (Ports, DNSCache, Route) Belirli ülkelerle kurulan bağlantılar Rusya, Çin, Hollanda vs Rastgele alan adına sahip adreslere kurulan bağlantılar Doğrudan IP adresine kurulan bağlantılar Fazla uzun adreslere kurulan bağlantılar Şüpheli port ve protokoller 80 ve 443 tcp portları dışındaki bağlantılar Kara listede olan IP adresi/alan adı ile kurulan bağlantılar 15

16 Bilgisayar Analizleri Ağ Bağlantıları İnternet bağlantıları kontrolü (Threatscore) 16

17 Sandbox Analizi 17

18 Dosya Beyaz Listeleri Dosya/uygulama beyaz liste denetimi Bit9 File Advisor, Kaspersky Application Advisor vb. 18

19 Windows Olay Kaydı

20 Windows Olay Kaydı Neden Analist yorumu Ne Olay ID numarası Olay kategorisi Detay Nerede IP adresi Bilgisayar adı Kim Kullanıcı hesabı Detay Nasıl Erişilen dosya Erişilen dizin Erişilen yazıcı Servisler Ne zaman Zaman damgası 20

21 Windows Olay Kaydı Önemli Kayıt Numaraları Kullanıcı Takibi Windows 200/XP Vista sonrası Detay Başarılı giriş Type 2 - İnteraktif Type 3 Network (Pass the Hash) Type 4 - Batch (Zamanlanmış görev) Type 5 - Servis Type 10 Terminal, RDP Bilinmeyen kullanıcı adı ya da yanlış parola denemesi. Type 3 kaba-kuvvet saldırının göstergesi Kullanıcı çıkış 21

22 Windows Olay Kaydı Önemli Kayıt Numaraları Kullanıcı değişiklikleri Windows 200/XP Vista sonrası Detay Parola değiştirme girişimi Parola ayarlama Kullanıcı hesabı oluşturuldu Kullanıcı aktif edildi Kullanıcı hesabı değişti Kullanıcı hesabı devre dışı bırakıldı Kullanıcı hesabı silindi 22

23 Windows Olay Kaydı Önemli Kayıt Numaraları Şüpheli Servisler Windows 200/XP Vista sonrası Detay Servisin crash olması Servisi başlatma veya durdurma isteği yollama Servis başladı yada durduruldu Servisin tipi değişti (Boot On Request Disabled) Proses Windows 200/XP Vista sonrası Detay Proses Oluştu 23

24 Windows Olay Kaydı Önemli Kayıt Numaraları Uygulama Kurulumu Windows 200/XP Vista sonrası Detay Uygulama kurulumu tamamlandı Uygulama kaldırma tamamlandı Uygulama kurulumu başarıyla tamamlandı Uygulama kurulumu tamamlanamadı Uygulama kaldırma başarıyla tamamlandı Windows Hata Raporlama (WER) Windows 200/XP Vista sonrası Detay 1001 Windows hata rapolama kaydı 24

25 Windows Olay Kaydı Önemli Kayıt Numaraları Olay Kaydının Silinmesi Windows 200/XP Vista sonrası Detay Olay kayıtları silindi Sistemde Kalıcılığın İncelenmesi Windows 200/XP Vista sonrası Detay Yeni servis oluştu Yeni zamanlanmış görev oluştu Kayıt defteri değeri değişti - Başlangıçta otomatik çalışan programların girildiği kayıt defteri alanlarındaki değişiklikler bu ID altından bakılabilir. 25

26 Windows Olay Kaydı Sysmon Yetenekleri Çalışan proseslerin alt prosesleriyle birlikte komut satırı aktivitelerinin izlenmesi Proses imaj dosyasının hash inin loglanması Sürücülere yüklenen dll dosyalarının imza ve hash bilgilerinin loglanması Çalışan proses in kaynak IP adresi, hedef IP adresi, port numarası gibi ağ aktivitilerinin loglanması Dosya oluşturma zamanlarının izlenmesi Kernel-mode aktivitelerinin izlenmesi 26

27 Windows Olay Kaydı Sysmon Olay Kayıt Türleri Event ID 1: Process creation Event ID 2: A process changed a file creation time Event ID 3: Network connection Event ID 4: Sysmon service state changed Event ID 5: Process terminated Event ID 6: Driver loaded Event ID 7: Image loaded Event ID 8: CreateRemoteThread Event ID 255: Error 27

28 Çalışma Kayıtları

29 Çalışma Kayıtları Kayıt çeşitleri Prefetch UserAssistCache MUICache Execution LegacyCache ShimCache 29

30 Çalışma Kayıtları Windows Registry Hive Dosyaları Registry Hive Dizini %Windir%\System32\Config SAM SECURITY SYSTEM SOFTWARE DEFAULT Registry Hive Yedek Dizini %Windir%\System32\Config\RegBack SAM SECURITY SYSTEM SOFTWARE DEFAULT 30

31 Çalışma Kayıtları AppCompatCache Microsoft işletim sistemlerinde uygulama uyumluluklarının tanımlanması için oluşturulur. AppCompatCache dosya yolu, boyutu, son değiştirilme zamanı ve son çalışma zamanı bilgilerini tutar. ShimCache olarak da adlandırılır. Sadece belli uzantılı dosyalar kaydedilir (exe, bat, dll) Sistem kapanışında kayıt defteri kaydı güncellenir. Konumu XP işletim sistemlerinde; HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatibility\AppCompatCache Vista ve sonrası işletim sistemlerinde; HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache\AppCompatCache 31

32 Çalışma Kayıtları AppCompatCache ShimCacheParser.py AppCompatCache ile ilişkili dosya ve kayıt defteri anahtarlarından veri çıkarır. İndirme bağlantısı: CSV formatında çıktı ShimCacheParser.py i c:\test\system o c:\test\shimcache.txt 32

33 Çalışma Kayıtları AppCompatCache Regripper rip.exe -r c:\test\win7\system -p appcompatcache 33

34 Çalışma Kayıtları MuiCache Windows işletim sistemlerinde kabuk tarafından ayarlanan ve çalışan programın özelliklerini tanımlamak için oluşturulan bir kayıttır. Kullanıcı yeni bir uygulama kurduğunda, Windows işletim sistemi tarafından uygulama çalıştırıldığında kullanılmak üzere çalıştırılır.exe dosyasının kaynakları MUICache log kaydında tutulur. Uygulamanın ne zaman çalıştığı bilgisini de explorer.exe prosesi MUICache kaydına eklemektedir. 34

35 Çalışma Kayıtları MuiCache Konumu Windows XP, 2000, 2003 işletim sistemlerinde; HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache NTUSER.DAT Windows Vista, 7, 2008 işletim sistemlerinde; HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache UserClass.dat 35

36 Çalışma Kayıtları MuiCache Rip.exe r c:\<>\userclass.dat p muicache 36

37 Çalışma Kayıtları UserAssist UserAssist kaydı Windows Explorer yoluyla açılan bağlantıları ve programları izlemektedir. Çift tıklanan kısa yollar Başlat menüsü aracılıyla çalıştırılan programlar UserAssist kaydında son çalıştırılma zamanı, dosyanın kaç kez çalıştırıldığı bilgileri tutulmaktadır. ROT-13 formatında kodlanmış (encoded) olarak saklanmaktadır. Program çalıştırılma sayısı 6 dan başlamaktadır. 37

38 Çalışma Kayıtları UserAssist Konumu HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count NTUSER.dat 38

39 Çalışma Kayıtları Prefetch Prefetch dosyasında işletim sistemi tarafından kullanılmak üzere uygulamanın sonraki çalışmasında diskten belleğe yüklenme süresini optimize etmek için kullanılacak bilgiler bulunmaktadır. Prefetch dizini 128 dosya ile sınırlıdır ve dosyalar.pf uzantılıdır. 39

40 Çalışma Kayıtları Prefetch Sağlanan bilgiler.pf dosyası oluşturulma zamanı genellikle programın ilk çalışma zamanını gösterir.pf dosyası son değiştirilme zamanı programın son çalışma zamanı Proses in çalıştığı dosya yolu Proses in son çalıştığı zaman Proses in çalışma sayısı Çalışmaya başladığında erişilen dosyalar Dosya yolu %SystemRoot%\Prefetch Dosya formatı <Uygulama Adı>-<8 karakter hash>.pf 40

41 Çalışma Kayıtları Genel Denetimler Şüpheli program kontrolü Şüpheli program yolları Geçici ve önbellek dizinleri Kullanıcı profil dizinleri Tüm kullanıcı profili program dizinleri Recycle Bin Program Files Normal Olmayan Program Kontrolü Rastgele (random) ve olağandışı dosya adına sahip dosyalar Normalin dışında farklı dosya yolunda bulunan Windows programları (C:\Windows\svchost.exe, vs. gibi) Sertifika Kontrolü Sertifikası doğrulanmayan veya olmayan programların tespiti Çalışma Geçmişinin Kümelenmesi Kendini gerçek program gibi göstermeye çalışan programların tespit edilebilmesi Aşağıdaki bilgilere göre programlar gruplanır Çalışma sayısı, program yolu vb. 41

42 Çalışma Kayıtları Genel Denetimler Şüpheli programlar Pwdump.exe Mimikatz.exe Wce At.exe Psexec.exe / psexesvc.exe ProcDump net.exe SC.EXE XCOPY.EXE WMIC.EXE ROUTE.EXE TASKKILL.EXE FTP.EXE BITSADMIN.EXE Ntdsutil Vssadmin VSSOwn 42

43 Teşekkürler