Bilgisayar Üzerinde Zararlı Yazılım Analizi Zararlı Yazılım Analiz ve Mücadele Merkezi TÜBİTAK BİLGEM Siber Güvenlik Enstitüsü 12 Ocak 2016
Bilgisayar Analizleri Bilgisayar Forensik Analizleri Zararlı Yazılım Analizleri 2
Bilgisayar Analizleri Analiz Aşamaları ~ 300.000 Dosya Otomatik Yarı- Otomatik Manuel Veri toplama Anti-Virus Taramaları Ele Geçirme Göstergeleri (IOC) Otomatik Hafıza Analizi Sistemde Kalıcılık Tespiti Entropy Analizi Log Analizi Zaman Çizelgesi ile Analiz Manuel Hazıfa Analizi Beyaz Liste - Hash Sorgulama MFT Anomalileri Dosya Zamanı Anomalileri ~ 1-4 Dosya *https://blogs.sans.org/computer-forensics/files/2012/06/sans-digital-forensics-and-incident-response-poster-2012.pdf 3
Bilgisayar Analizleri Verileri İndeksleme 4
Bilgisayar Analizleri Hafıza Analizi Hafıza Analizi Aşamaları Sahte proseslerin tespiti Proses DLL lerinin ve handle ların analizi Şüpheli ağ bağlantılarının analizi Kod enjeksiyonu tespiti Rootkit tespiti Şüpheli proses ve driverların çekilmesi 5
Bilgisayar Analizleri Hafıza Analizi Volatility Framework / Evolve 6
Bilgisayar Analizleri Veri Toplama ve Analiz Araçları GRR Google Rapid Response (Açık kaynaklı) Büyük ölçekli analizler için merkezi sistem Registry, dosya sistemi, hafıza ve proses analizleri yapılabilir Linux, Mac OS X, Windows istemci desteği Geliştirilebilir kurallar Mandiant Redline (Ücretsiz) OpenIOC veri formatı desteği Registry, dosya sistemi, hafıza ve proses analizleri yapılabilir Malware Risk Index skorlaması Windows istemci desteği 7
Bilgisayar Analizleri Ele Geçirilme Göstergesi (IoC) Ele Geçirilme Göstergesi (IoC) nedir? Ağda veya işletim sisteminde görülen ve izinsiz girişe işaret eden izler Dosya sistemi, hafıza, çalışan proseslerle ilgili izler Örnekler IP Adresi / Alan Adı URL / URI HTTP User Agent Dosya Özeti, vs.. Statik ve dinamiksel analizler sonucu oluşturulur 8
Bilgisayar Analizleri Ele Geçirilme Göstergesi (IoC) IoC neden var? Tehdit karakteristiğinin standartlaşması Saldırganın metodolojisi Kurumsal yapılarda tehditin tespiti / analizi IoC Kaynak Havuzu IoC standartları OpenIOC Mandiant, ücretsiz IETF Standartları - IODEF & RID SOMEler tarafından, SOMEler için CyboX, STIX, and TAXII MITRE - ABD MACCSA Hala erken bir aşamada NATO MISP IOCbucket APT analiz raporları 9
Bilgisayar Analizleri Ele Geçirilme Göstergesi (IoC) * http://openioc.org/resources/an_introduction_to_openioc.pdf 10
Bilgisayar Analizleri Ele Geçirilme Göstergesi (IoC) IOCEditor 11
Bilgisayar Analizleri Ele Geçirilme Göstergesi (IoC) IOCFinder 12
Bilgisayar Analizleri YARA Kuralları Zararlı yazılımların davranışlarının tanımlanması ve sınıflandırılması Pattern/string/imza tabanlı tanımlama Dosya sistemi taranması için yazılım desteği Volatility ile hafıza imajı içerisinde tarama Moloch ile ağ trafiğinde tarama Kurumsal ürünlerle entegrasyon Windows, Linux and Mac OS X platform desteği 13
Bilgisayar Analizleri YARA Kuralları *http://plusvic.github.io/yara/ 14
Bilgisayar Analizleri Ağ Bağlantıları İnternet bağlantıları kontrolü (Ports, DNSCache, Route) Belirli ülkelerle kurulan bağlantılar Rusya, Çin, Hollanda vs Rastgele alan adına sahip adreslere kurulan bağlantılar Doğrudan IP adresine kurulan bağlantılar Fazla uzun adreslere kurulan bağlantılar Şüpheli port ve protokoller 80 ve 443 tcp portları dışındaki bağlantılar Kara listede olan IP adresi/alan adı ile kurulan bağlantılar 15
Bilgisayar Analizleri Ağ Bağlantıları İnternet bağlantıları kontrolü (Threatscore) 16
Sandbox Analizi 17
Dosya Beyaz Listeleri Dosya/uygulama beyaz liste denetimi Bit9 File Advisor, Kaspersky Application Advisor vb. 18
Windows Olay Kaydı
Windows Olay Kaydı Neden Analist yorumu Ne Olay ID numarası Olay kategorisi Detay Nerede IP adresi Bilgisayar adı Kim Kullanıcı hesabı Detay Nasıl Erişilen dosya Erişilen dizin Erişilen yazıcı Servisler Ne zaman Zaman damgası 20
Windows Olay Kaydı Önemli Kayıt Numaraları Kullanıcı Takibi Windows 200/XP Vista sonrası Detay 528 4624 Başarılı giriş Type 2 - İnteraktif Type 3 Network (Pass the Hash) Type 4 - Batch (Zamanlanmış görev) Type 5 - Servis Type 10 Terminal, RDP 529 4625 - Bilinmeyen kullanıcı adı ya da yanlış parola denemesi. Type 3 kaba-kuvvet saldırının göstergesi 538 4634 Kullanıcı çıkış 21
Windows Olay Kaydı Önemli Kayıt Numaraları Kullanıcı değişiklikleri Windows 200/XP Vista sonrası Detay 627 4723 Parola değiştirme girişimi 628 4724 Parola ayarlama 624 4720 Kullanıcı hesabı oluşturuldu 626 4722 Kullanıcı aktif edildi 642 4738 Kullanıcı hesabı değişti 629 4725 Kullanıcı hesabı devre dışı bırakıldı 630 4726 Kullanıcı hesabı silindi 22
Windows Olay Kaydı Önemli Kayıt Numaraları Şüpheli Servisler Windows 200/XP Vista sonrası Detay 7034 7034 Servisin crash olması 7035 7035 Servisi başlatma veya durdurma isteği yollama 7036 7036 Servis başladı yada durduruldu 7040 7040 Servisin tipi değişti (Boot On Request Disabled) Proses Windows 200/XP Vista sonrası Detay 592 4688 Proses Oluştu 23
Windows Olay Kaydı Önemli Kayıt Numaraları Uygulama Kurulumu Windows 200/XP Vista sonrası Detay 1033 1033 Uygulama kurulumu tamamlandı 1034 1034 Uygulama kaldırma tamamlandı 11707 11707 Uygulama kurulumu başarıyla tamamlandı 11708 11708 Uygulama kurulumu tamamlanamadı 11724 11724 Uygulama kaldırma başarıyla tamamlandı Windows Hata Raporlama (WER) Windows 200/XP Vista sonrası Detay 1001 Windows hata rapolama kaydı 24
Windows Olay Kaydı Önemli Kayıt Numaraları Olay Kaydının Silinmesi Windows 200/XP Vista sonrası Detay 517 1102 Olay kayıtları silindi Sistemde Kalıcılığın İncelenmesi Windows 200/XP Vista sonrası Detay 601 4697 Yeni servis oluştu 602 4698 Yeni zamanlanmış görev oluştu 567 4657 Kayıt defteri değeri değişti - Başlangıçta otomatik çalışan programların girildiği kayıt defteri alanlarındaki değişiklikler bu ID altından bakılabilir. 25
Windows Olay Kaydı Sysmon Yetenekleri Çalışan proseslerin alt prosesleriyle birlikte komut satırı aktivitelerinin izlenmesi Proses imaj dosyasının hash inin loglanması Sürücülere yüklenen dll dosyalarının imza ve hash bilgilerinin loglanması Çalışan proses in kaynak IP adresi, hedef IP adresi, port numarası gibi ağ aktivitilerinin loglanması Dosya oluşturma zamanlarının izlenmesi Kernel-mode aktivitelerinin izlenmesi 26
Windows Olay Kaydı Sysmon Olay Kayıt Türleri Event ID 1: Process creation Event ID 2: A process changed a file creation time Event ID 3: Network connection Event ID 4: Sysmon service state changed Event ID 5: Process terminated Event ID 6: Driver loaded Event ID 7: Image loaded Event ID 8: CreateRemoteThread Event ID 255: Error 27
Çalışma Kayıtları
Çalışma Kayıtları Kayıt çeşitleri Prefetch UserAssistCache MUICache Execution LegacyCache ShimCache 29
Çalışma Kayıtları Windows Registry Hive Dosyaları Registry Hive Dizini %Windir%\System32\Config SAM SECURITY SYSTEM SOFTWARE DEFAULT Registry Hive Yedek Dizini %Windir%\System32\Config\RegBack SAM SECURITY SYSTEM SOFTWARE DEFAULT 30
Çalışma Kayıtları AppCompatCache Microsoft işletim sistemlerinde uygulama uyumluluklarının tanımlanması için oluşturulur. AppCompatCache dosya yolu, boyutu, son değiştirilme zamanı ve son çalışma zamanı bilgilerini tutar. ShimCache olarak da adlandırılır. Sadece belli uzantılı dosyalar kaydedilir (exe, bat, dll) Sistem kapanışında kayıt defteri kaydı güncellenir. Konumu XP işletim sistemlerinde; HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatibility\AppCompatCache Vista ve sonrası işletim sistemlerinde; HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache\AppCompatCache 31
Çalışma Kayıtları AppCompatCache ShimCacheParser.py AppCompatCache ile ilişkili dosya ve kayıt defteri anahtarlarından veri çıkarır. İndirme bağlantısı: https://github.com/mandiant/shimcacheparser CSV formatında çıktı ShimCacheParser.py i c:\test\system o c:\test\shimcache.txt 32
Çalışma Kayıtları AppCompatCache Regripper rip.exe -r c:\test\win7\system -p appcompatcache 33
Çalışma Kayıtları MuiCache Windows işletim sistemlerinde kabuk tarafından ayarlanan ve çalışan programın özelliklerini tanımlamak için oluşturulan bir kayıttır. Kullanıcı yeni bir uygulama kurduğunda, Windows işletim sistemi tarafından uygulama çalıştırıldığında kullanılmak üzere çalıştırılır.exe dosyasının kaynakları MUICache log kaydında tutulur. Uygulamanın ne zaman çalıştığı bilgisini de explorer.exe prosesi MUICache kaydına eklemektedir. 34
Çalışma Kayıtları MuiCache Konumu Windows XP, 2000, 2003 işletim sistemlerinde; HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache NTUSER.DAT Windows Vista, 7, 2008 işletim sistemlerinde; HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache UserClass.dat 35
Çalışma Kayıtları MuiCache Rip.exe r c:\<>\userclass.dat p muicache 36
Çalışma Kayıtları UserAssist UserAssist kaydı Windows Explorer yoluyla açılan bağlantıları ve programları izlemektedir. Çift tıklanan kısa yollar Başlat menüsü aracılıyla çalıştırılan programlar UserAssist kaydında son çalıştırılma zamanı, dosyanın kaç kez çalıştırıldığı bilgileri tutulmaktadır. ROT-13 formatında kodlanmış (encoded) olarak saklanmaktadır. Program çalıştırılma sayısı 6 dan başlamaktadır. 37
Çalışma Kayıtları UserAssist Konumu HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count NTUSER.dat 38
Çalışma Kayıtları Prefetch Prefetch dosyasında işletim sistemi tarafından kullanılmak üzere uygulamanın sonraki çalışmasında diskten belleğe yüklenme süresini optimize etmek için kullanılacak bilgiler bulunmaktadır. Prefetch dizini 128 dosya ile sınırlıdır ve dosyalar.pf uzantılıdır. 39
Çalışma Kayıtları Prefetch Sağlanan bilgiler.pf dosyası oluşturulma zamanı genellikle programın ilk çalışma zamanını gösterir.pf dosyası son değiştirilme zamanı programın son çalışma zamanı Proses in çalıştığı dosya yolu Proses in son çalıştığı zaman Proses in çalışma sayısı Çalışmaya başladığında erişilen dosyalar Dosya yolu %SystemRoot%\Prefetch Dosya formatı <Uygulama Adı>-<8 karakter hash>.pf 40
Çalışma Kayıtları Genel Denetimler Şüpheli program kontrolü Şüpheli program yolları Geçici ve önbellek dizinleri Kullanıcı profil dizinleri Tüm kullanıcı profili program dizinleri Recycle Bin Program Files Normal Olmayan Program Kontrolü Rastgele (random) ve olağandışı dosya adına sahip dosyalar Normalin dışında farklı dosya yolunda bulunan Windows programları (C:\Windows\svchost.exe, vs. gibi) Sertifika Kontrolü Sertifikası doğrulanmayan veya olmayan programların tespiti Çalışma Geçmişinin Kümelenmesi Kendini gerçek program gibi göstermeye çalışan programların tespit edilebilmesi Aşağıdaki bilgilere göre programlar gruplanır Çalışma sayısı, program yolu vb. 41
Çalışma Kayıtları Genel Denetimler Şüpheli programlar Pwdump.exe Mimikatz.exe Wce At.exe Psexec.exe / psexesvc.exe ProcDump net.exe SC.EXE XCOPY.EXE WMIC.EXE ROUTE.EXE TASKKILL.EXE FTP.EXE BITSADMIN.EXE Ntdsutil Vssadmin VSSOwn 42
Teşekkürler