Yeni Nesil Zararlı Yazılımlarla Savaşta Dinamik Analiz Cephesi. Yakup Korkmaz

Ebat: px

Şu sayfadan göstermeyi başlat:

Download "Yeni Nesil Zararlı Yazılımlarla Savaşta Dinamik Analiz Cephesi. Yakup Korkmaz"

Aysu Hikmet
7 yıl önce
İzleme sayısı:

1 Yeni Nesil Zararlı Yazılımlarla Savaşta Dinamik Analiz Cephesi Yakup Krkmaz 2012

2 Ajanda Yeni Nesil Zararlı Yazılımlar TDSS (TDL4, Olmarik) Duqu-Stuxnet SpyEye Dinamik Analiz Hizmetleri/Araçları Dinamik Analiz Snuçları Dinamik Analiz Snuçlarının Yrumlanması Snuç 2

$2200, Blackhle $1500 Uzun ömürlü zararlı yazılım daha

3 Yeni Nesil Zararlı Yazılımlar Zararlı yazılım = para İstismar (explit) kit fiyatları: Elenre $2000, Phnix $2200, Blackhle $1500 Uzun ömürlü zararlı yazılım daha pahalı gün açıklığı? Tespit zrluğu? Hızlı yayılma? 3

4 Yeni Nesil Zararlı Yazılımlar Yeni nesil zararlı yazılımların özellikleri Plymrphism / metamrphism / self-mdificatin Gizleme (bfuscatin) Şifreleme / Çklu şifreleme (ligmrphism) Kendini denetim (self-checking) Gizleme (stealth) teknikleri Yetkili ve yetkisiz çalışma 4

5 Yeni Nesil Zararlı Yazılımlar Nasıl tespit ve analiz edilebilir? Geleneksel teknikler? İmza tabanlı tanıma Çk fazla imza (ply/metamrphic, self-mdifying) Statik analiz Çk yrucu (self-mdifying) veya mümkün değil (selfchecking, bfuscatin) Dinamik ve davranış tabanlı zararlı yazılım analizi gerekli! 5

6 TDSS (TDL4, Olmarik) Btkit = Rtkit + Bt Özelliği TDL4, ilk geniş ölçüde yayılan 64bit Windws u hedefleyen zararlı yazılım 6

7 TDSS (TDL4, Olmarik) Ne yapıyr? HIPS atlatma Yetki yükseltme, gerekli ise MS kullanarak Rtkit sürücü yükleme MBR ı değiştirir Gizli ve şifreli bir dsya sistemi luşturma Int 13h göndererek sistemi yeniden başlatma Kernel sürücüsü yükleme BCD yi (x64) değiştirerek, Patch Guard ve kernel-mde kd imzalamayı atlatma 7

8 TDSS (TDL4, Olmarik) Bt işlemi snrası enfeksiyn 8

cpy için itself dizayn unless instructed t d s by the C&C edildiği Deletes düşünülmektedir itself after 30 days

9 Duqu - Stuxnet Sme Duqu: interesting Uzak Erişim charachteristics: Truva Atı Cnnects t C&C server via the previusly infected system SCADA Has sistemleri rutines t ile bypass ilgili prxies kritik bilgi Des tplamak nt cpy için itself dizayn unless instructed t d s by the C&C edildiği Deletes düşünülmektedir itself after 30 days nt t be detected Wrd de MS gün açıklığını istismar eder Gerçek bir sertifika ile imzalanmış sürücü kullanır 9

10 Duqu - Stuxnet Duqu nun ilginç özellikleri C&C sunucusuna önceden bulaştığı sistem üzerinden bağlanır Prxy atlatmak üzere işlemler kullanır C&C tarafından emredilmedikçe kendisini kpyalamaz 30 gün snra kendisini siler User-mde rtkit kabiliyeti 10

11 Duqu - Stuxnet Stuxnet in bazı özellikleri Özel larak SCADA sistemlerine saldırmak üzere tasarlanmıştır (genelde Siemens) 4 adet 0. gün Windws açıklığı kullanır MS açıklığını istismar ederek yetki yükseltme Yayılmak için MS10-046, MS ve MS açıklıklarını istismar eder Cihaz sürücüsü iki gerçek sertifika tarafından imzalanmıştır User-mde and kernel-mde rtkit kabiliyeti 11

12 SpyEye SpyEye: Truva atı btneti Online bankacılık ve kredi kartı bilgilerini çalar Çaldığı bilgileri C&C sunucusuna gönderir Oluşturma kiti kullanarak klayca luşturulabilir Ana rakibi Zeus zararlı yazılımı Bulaştığı sistemlerde Zeus u silme özelliği («Kill Zeus») 12

13 SpyEye SpyEye ın bazı özellikleri Özet (hash) kullanarak karmaşık sözcük gizleme tekniği Karmaşık kd gizleme tekniği Windws Defender ı kapatma Otmatik çalıştırma kütük anahtarı luşturma Bir çk kd enjeksiynu Parla krumalı PKZip arşivinde knfigürasyn dsyası 13

14 Dinamik Analiz Hizmetleri/Araçları Dinamik analiz yöntemleri ve rtamları Kernel tabanlı yaklaşım Kutu-dışı (ut-f-the-bx) yaklaşımı Sanallaştırma Emülatr Fiziksel Analiz rtamının yeniden başlatılması Ağ simülasynu 14

15 Dinamik Analiz Hizmetleri/Araçları Nrman Sandbx Anubis GFI (CW) Sandbx Cmd Camas ThreatExpert Xandra Cuck Minibis Malbx 15

16 Dinamik Analiz Snuçları Anubis GFI/CW Sandbx Nrman Cmd Camas T D L 4 D U Q U / S T U X N E T S P Y E Y E 16

17 Dinamik Analiz Snuçlarının Yrumlanması Sadece sınırlı sayıda işlem tespit edilebilmektedir Dsya yazma/kuma işlemleri Kütük anahtar/değer luşturma/değiştirme işlemleri Prcess luşturma ve enjeksiyn işlemleri Mdül yükleme/kaldırma işlemleri Ağ hareketleri (sınırlı) 17

18 Dinamik Analiz Snuçlarının Yrumlanması Hak yükseltme işlemleri tespit edilememektedir Stuxnet: MS (Win32k.sys), MS (Task Scheduler) Duqu: MS (MS Wrd) TDL4: MS (Task Scheduler) 18

19 Dinamik Analiz Snuçlarının Yrumlanması Kernel-mde işlemler tespit edilememektedir Kernel sürücüleri Stuxnet, DUQU, TDL4 (printprvider) 19

20 Dinamik Analiz Snuçlarının Yrumlanması 64 bit and btkit tespit desteği bulunmamaktadır Windws 7 and 64 bit destek eksikliği TDL4, disk sürücüsüne IOCTL_SCSI_PASS_THROUGH_DIRECT kullanarak dğrudan erişim TDL4, yeniden başlatme desteği eksikliği 20

21 Snuç Dinamik analiz hizmetleri/araçları yararlıdır Sınırlarının farkında lun Yalnız bir hizmet/araç kullanarak analiz etmek mantıklı/yeterli değildir 21

22 Srular Teşekkürler Epsta: Tel: (312)

Benzer belgeler

Sunum İçeriği. 1. Siber Savaş (Siber Terör) 2. Siber Savunma 3. USOM

Sunum İçeriği. 1. Siber Savaş (Siber Terör) 2. Siber Savunma 3. USOM Sunum İçeriği 1. Siber Savaş (Siber Terör) 2. Siber Savunma 3. USOM Siber Savaş Siber Savaş Siber Saldırı Casusluk Sabotaj Servis Dışı Bırakma (DDOS) Siber Savaş Estonya 2007: DDOS saldırılarıyla ülkenin