Zararlı Yazılım Analizi

Benzer belgeler
Malware Analizi Yöntem ve Araçları. Huzeyfe ÖNAL Bilgi Güvenliği

Bilgisayar Üzerinde Zararlı Yazılım Analizi

İŞLETİM SİSTEMLERİ. (Operating Systems)

Linux Temelli Zararlı Yazılımların Bulaşma Teknikleri, Engellenmesi ve Temizlenmesi

Sanallaştırmada Özgür Yazılım Çözümleri. Alper YALÇINER

İŞLETİM SİSTEMİ KATMANLARI (Çekirdek, Kabuk ve diğer temel kavramlar) Öğr.Gör. Dr. Dr. Şirin KARADENİZ

EKLER EK 12UY0106-5/A4-1:

01 Şirket Profili

Windows'da çalışırken pek çok durumda bir işe başlamadan önce işletim sisteminin o işe ilişkin bilgileri depolayacağı bir alan yaratması gerekir.


Trickbot Zararlı Yazılımı İnceleme Raporu

.. YILI BİLGİSAYAR SİSTEM KURULUM BAKIM ONARIM VE ARIZA GİDERME KURS PLANI MODÜL SÜRESİ

.. YILI BİLGİSAYAR SİSTEM KURULUM BAKIM ONARIM VE ARIZA GİDERME KURS PLANI MODÜL SÜRESİ

Sistem Programlama. (*)Dersimizin amaçları Kullanılan programlama dili: C. Giriş/Cıkış( I/O) Sürücülerinin programlaması

İŞLETİM SİSTEMİ KATMANLARI (Çekirdek, kabuk ve diğer temel kavramlar) Bir işletim sisteminin yazılım tasarımında ele alınması gereken iki önemli konu

İşletim Sistemi. BTEP205 - İşletim Sistemleri

2. dönem itibariyle ben de Zararlı Yazılım Analizi 101 dersi vererek bu programa katkıda bulunacağım.

Çekirdek Nedir? Ne yapar?

YRD. DOÇ. DR. AGÂH TUĞRUL KORUCU Kernel çeşitleri

Bilgi ve İletişim Teknolojileri (JFM 102) Ders 7. LINUX OS (Sistem Yapısı) BİLGİ & İLETİŞİM TEKNOLOJİLERİ. LINUX Yapısı

DONANIM. 1-Sitem birimi (kasa ) ve iç donanım bileşenleri 2-Çevre birimleri ve tanımlamaları 3-Giriş ve çıkış donanım birimleri

ORDU ÜNİVERSİTESİ BİLGİ İŞLEM DAİRESİ BAŞKANLIĞI HİZMET ENVANTERİ TABLOSU

BULUT BİLİŞİM VE BÜYÜK VERİ ARAŞTIRMA LABORATUVARI. Ekim 2017

İçindekiler Önsöz ix Giriş xi 1) Adli Bilimler ve Adli Bilişim 1 2) Adli Bilişimin Aşamaları 17

HIKIT ZARARLISI ANALİZİ. APT İncelemesi. Yasin SÜRER BOA Bilgi Teknolojileri ve Güvenliği

INFORMATION & SECURITY TECHNOLOGIES. BOA - Trend Micro. Zararlı Yazılım Analizi ve APT. Yasin SÜRER yasin.surer@boateknoloji.com


Bilgi ve İletişim Teknolojileri (JFM 102) Ders 10. LINUX OS (Programlama) BİLGİ & İLETİŞİM TEKNOLOJİLERİ GENEL BAKIŞ

Yerel Okul Sunucusu Uygulama Yazılımları Prototipi

Temel Bilgi Teknolojileri I

Bilişim Teknolojilerine Giriş

Başlık: Windows Sistem Yöneticisi Yardımcısı

Bil101 Bilgisayar Yazılımı I. M. Erdem ÇORAPÇIOĞLU Bilgisayar Yüksek Mühendisi

Mobil Uygulamalarda Güvenlik Denetimi

İşletim Sistemleri (Operating Systems)

Ağ Trafik ve Forensik Analizi

ŞEHİT FEHMİ BEY ORTAOKULU

EFe Event Management System

IDA Pro ile Remote Linux Debugging

Linux Dosya ve Dizin Yapısı

BİT in Temel Bileşenleri (Yazılım-1)

İşletim Sistemlerine Giriş

Erişim Noktası Ayarları

Akıllı telefonlar, avuçiçi bilgisayarlar ile taşınabilir (cep) telefonların özelliklerini birleştiren cihazlardır. Akıllı telefonlar kullanıcıların

SİBER SUÇLARA KARŞI SİBER ZEKA

Yönlendiriciler ve Yönlendirme Temelleri

-Floating, Wan ve Lan arayüzleri için ayrı kural yazma alanı vardır.

Bilgisayar Yazılımları

Android e Giriş. Öğr.Gör. Utku SOBUTAY

ANET YAZILIM LOG YÖNETİMİ. Karşılaştırma Tablosu ANET YAZILIM

Düşünelim? Günlük hayatta bilgisayar hangi alanlarda kullanılmaktadır? Bilgisayarın farklı tip ve özellikte olmasının sebepleri neler olabilir?

BİLİŞİM İLE TANIŞIYORUM BİLİŞİM TEKNOLOJİLERİNİN KULLANILDIĞI ALANLAR

AirTies Kablosuz Erişim Noktası (Access Point) olarak kullanacağınız cihazı bilgisayarınıza bağlayarak ayarlarını yapabilirsiniz.

Reverse Engineering Bootcamp Eğitim İçeriği

Java 2 Micro Edition (J2ME)

AirTies Kablosuz Erişim Noktası (Access Point) olarak kullanacağınız cihazı bilgisayarınıza bağlayarak ayarlarını yapabilirsiniz.

Metasploit Framework ile Güvenlik Denetimi. Fatih Özavcı Bilgi Güvenliği Danışmanı fatih.ozavci at gamasec.net

SOSAM: SANAL ORTAM SAVUNMA MERKEZİ

SÜRE BAŞLAMA TARİHİ : 19/12/2018 BİTİŞ TARİHİ : 20/02/2019 KURS SÜRESİ : 144 Saat KURS NO :

ADIM ADIM METASPLOIT METERPRETER SHELL DAVRANIŞ ANALİZİ

Değerlerinizi Koruyun!

Yazılım Mühendisliğine Giriş 2018 GÜZ

Yrd. Doç. Dr. A. Burak İNNER

İşletim Sistemlerine Giriş

Bilgisayar Mühendisliğine Giriş

Linux Dosya Yapısı. Eren BAŞTÜRK.

WINDOWS SERVER 2008 R2-SERVER 2012 DE IP SANALLAŞTIRMA

Bilgisayarların Gelişimi

Bilgi İşlemde Yeni Bir Çağ IBM Corporation

Web Application Penetration Test Report

Güvenli Doküman Senkronizasyonu

ÖNDER BİLGİSAYAR KURSU. Sistem ve Ağ Uzmanlığı Eğitimi İçeriği

Sanal Makineler ve Linux Konteynerlerin Performans Karşılaştırması

Linux İşletim Sistemleri. Eren BAŞTÜRK.

İŞLETİM SİSTEMLERİNE GİRİŞ - 2. Sistem, sistem kaynaklarını belli bir hiyerarşi içinde kullanıcının hizmetine

İşletim Sistemleri. B L M Mesleki Te r minoloji I I Ö ğ r e n c i S unumu

İşletme ve Devreye Alma Planı Yerel Okul Sunucusu Uygulama Yazılımları Prototipi TRscaler Technology Solutions

emon: Gerçek Zamanlı Gömülü Sistemlerin Çalışma Zamanı Görselleştirilmesi İçin Monitör Yazılımı

Bilgisayar İşletim Sistemleri BLG 312

ANET YAZILIM LOG YÖNETİMİ. Karşılaştırma Tablosu ANET YAZILIM

Bilgi ve iletişim teknolojileri

Doğu Akdeniz Üniversitesi Bilgisayar ve Teknoloji Yüksek Okulu Bilgi teknolojileri ve Programcılığı Bölümü DERS 1 - BİLGİSAYAR VE ÇEVRE ÜNİTELERİ

Acarix CD-DVD/Ağ üzerinden çalışan GNU/Linux Dağıtımı

Windows XP: Virtual Memory / Sanal Bellek Perşembe, 07 Eylül :51 - Son Güncelleme Salı, 12 Eylül :07

Sanal Santral A.Ş. Çözümleri

NA VNC SERVER KULLANIMI. Genel Bilgi NA VNC Server Ayarları

Program Nedir? Program, bir problemin çözümü için herhangi bir programlama dilinin kuralları ile oluşturulmuş komut kümesidir.

Kablosuz Algılayıcı Ağları İçin TinyOS İle Uygulama Geliştirme

İstemci Tabanlı Saldırı Türleri. Ozan UÇAR

Ünite-3 Bilgisayar Yazılımı.

Kullanıcı Kitabı (2011)

BİLGİ GÜVENLİĞİ. Ahmet SOYARSLAN biltek.info. Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar Alınacak Tedbirler Güvenlik Yazılımları

AKINSOFT. Eofis NetworkAdmin. AKINSOFT EOfis NetworkAdmin Kurulumu Bilgi Notu. Doküman Versiyon : Tarih : Copyright 2008 AKINSOFT

Bilgisayar Donanımı Dersi BİLGİSAYARIN MİMARI YAPISI VE ÇALIŞMA MANTIĞI

Pandora'nın Kutusu Nasıl Açılır?

BİLGİSAYAR VİRÜSLERİ

API(Application Programming Interface) Fonksiyonları:

Dosya Yönetim Sistemi Hazırlayan : mustafa kaygısız Kaynak: megep.meb.gov.tr

Proses. Prosesler 2. İşletim Sistemleri

Windows Sürüm 5.0 Standart Raporlarının NDER ile Bütünleşik Çalıştırılması

Transkript:

Zararlı Yazılım Ha@za Analizi TÜBİTAK BİLGEM Siber Güvenlik EnsAtüsü Zararlı Yazılım Analiz Laboratuvarı mag@tubitak.gov.tr TÜBİTAK BİLGEM Siber Güvenlik Ens7tüsü January 13, 2016

Eği7m İçeriği Zararlı Yazılım Analiz Yöntemleri StaAk Analiz Yöntemleri StaAk Analiz Kısıtları Dinamik Analiz Yöntemleri Dinamik Analiz Kısıtları Cpu Ram İlişkisi 2

Eği7m İçeriği HaSza Analizi Nedir? HaSza İmajının Alınması HaSza Analizi İle Neler Elde Edilebilir? HaSza Analizinin Avantajları Nelerdir? HaSza Analizinin Kısıtları Nelerdir? VolaAlity 3

Zararlı Yazılım Analiz Yöntemleri Statik Analiz Basit Statik Analiz Gelişmis Statik Analiz Dinamik Analiz Basit Dinamik Analiz Gelişmis Dinamik Analiz 4

Sta7k Analiz Yöntemleri Zararlı yazılımı çalıştırmadan gerçekleştirilen analiz yöntemleri Antivirüs taramasından geçirmek Metin ifadelerin kontrol edilmesi Kullanılan API çağrılarının kontrol edilmesi Başlık bilgilerinin araştırılması Özet değerinin (MD5) kontrol edilmesi Debugger ve Disassembly araçları ile zararlı yazılım işleyişinin sembolik makine seviyesi dilinde araştırılması 5

Sta7k Analiz Kısıtları - 1 Karıştırıcılar (Obfuscator), Şifreleyiciler (Cryptors) ve Packetleyiciler (Packers) Statik analiz yöntemlerini atlatmak Kod (Code) bölümünü olduğundan farklı bir görüntüde gösteriyor. Giriş (entry point) noktasını değiştiriyor. 6

Sta7k Analiz Kısıtları - 2 Anti Debug Teknikleri Zararlı yazılımın zorlaştırmak debug edilmesini Anti Reverse Teknikleri Zararlı yazılım sembolik makine kodu seviyesinde incelenmesini zorlaştırmak. 7

Dinamik Analiz Yöntemleri Zararlı yazılımın kontrollü bir ortamda çalıştırılarak davranışlarının incelenmesi yöntemi. Sandbox ortamı içerisinde çalıştırılması Ağ trafiğinin incelenmesi Dosya sistemi üzerindeki izlerin (dosya,dizin,register kaydı vb) incelenmesi 8

Dinamik Analiz Kısıtları - 1 Sleep cağrısı ile zararlı kodun akışının istenilen zaman diliminde çalıştırılmasının sağlanması Sanallaştırma sistemlerinin tespit edilmesi Gerçek kullanıcı interaktivitesinin aranması (mouse,klavye hareketleri) 9

Dinamik Analiz Kısıtları - 2 What you see is what you get! Kısaca zararlı yazılım aradığı ortamı, konforu bulması halinde zararlı akavitelerini göstermekte, aksi halde farklı davranışlar sergileyebilmektedir. 10

Dinamik Analiz Kısıtları - 3 Bir çok dinamik analiz sistemi daha önceden tanımlanmış olan API çağrılarının listesine dayanmaktadır. Her bir çağrım bir davranışı tanımlamaktadır. WriteProcessMemory, CreateRemoteThread, LoadLibrary API çağrılarının tespit edildiği varsayımı ile Bu API çağrımları Processe DLL enjeksiyon gerçekleştirildiğini göstermektedir. Bu yöntem ile zararlı yazılımlar sistem üzerinde kalıcı olmaya çalışmaktadırlar. Ancak bu durum her zaman için bunu işaret etmemektedir. 11

Dinamik Analiz Kısıtları - 4 Kullanıcı (User) ve Çekirdek modda çalışan rootkitler WinAPI çağrılarını araya girerek bozabilirler. Bu durumda API çağrımı tamamen değişmiş olacağı için zararlı davranış dinamik analiz tabanlı sistemler tarafından tespit edilemeyecektir. Dokümante edilmemiş fonksiyonların kullanımı aynı zararlı işlevi gerçekleştirilebilir ve daha önceden tanımlanmış API çağrılarında olmadığı için zararlı dinamik analiz tabanlı sistemler tarafından tespit edilemeyecektir. Özelleştirilmiş WinAPI fonksiyonlarının kullanımı 12

Cpu Ram İlişkisi CPU çalıştıracağı kodları ön belleğinden kullanır. İlgili alan ön bellekte değilse bellekten yüklenir. İşletim sistemi içerisindeki herşey RAM içerisine (Random Access Memory) dönüşür. Process ve threadlar Network soketleri, URL ve Ip adres bilgileri Açık Dosyalar Kullanıcı tarafindan oluşturulan içerikler Şifreler, Klipboard Donanım ve yazılım yapılandırması Windows register anahtarları ve Olay logları 13

Ha@za Analizi Nedir? Hafıza analizi çalışan sistemin anlık olarak hafıza imajının alınarak incelenmesi sürecidir. 14

Ha@za İmajının Alınması Windows Canlı Sistemlerden Hafıza İmajının Alınması DumpIt.exe http://www.moonsols.com/2011/07/18/moonsolsdumpit-goes-mainstream/ win32dd.exe / win64dd.exe http://www.moonsols.com/ products/ Mandiant Redline http://www.mandiant.com/products/free_software/redline/ HibernaAon File Contains a compressed RAM Image %SystemDrive%/hiberfil.sys 15

Ha@za İmajının Alınması Windows Sanal Makine 16

Ha@za Analizi İle Neler Elde Edilebilir? Süreçler ve Threadler Süreçlerin Bellek Alanlarına Enjekte Edilmiş DLL Dosyaları ve Kodları Bir Sürecin Bellek Alanındaki Metin Bilgileri Dosya objeleri (File Handles) Network Objeleri (Açık TCP/UDP Bağlantıları) Modüller/Sürücüler Windows Register Bilgileri Açık Kullanıcı Oturumları 17

Ha@za Analizi Avantajları İşletim sistemi API çağrıları ile elde edilemeyecek olan kullanıcı parola, cookie bilgileri gibi verilerin elde edilmesi. Rootkit tespit edilmesi Sistem aktivitelerinin tespit edilerek genel olarak sistem özetinin çıkartılabilmesi. Sadece hafızada çalışan zararlı yazılımların yerlerinin kesin olarak belirlenebilmesi. 18

Ha@za Analizi Kısıtları Hafıza imajının alınması doğru zamanlama istemektedir. Eğer zararlı yazılımın çalışmasına ait doğru zamanda imaj alınmaz ise istenilen sonuçlar elde edileyemecektir. Verimli bir analizin gerçekleştirilmesi için işletim sistemi iç yapısı ve özellikle çekirdek yapılarına (kernel structure) oldukça iyi bir şekilde hakim olmak gerekmektedir. 19

Vola7lity Açık Kaynak Kodlu Python Yazılım Dili İle Geliştirme Plugin Tabanlı, 30 dan Fazla Plugin Desteği Windows, Linux (bazı hafiza dokum formatlari için), MacOsX desteği bulunmakta 20

Vola7lity https://github.com/volatilityfoundation/volatility Tüm pluginler kullanılabilir olsalarda bazı pluginler zararlı kod ve rootkitlerin bulunması için özel olarak tasarlanmışlardır. malfind, yarascan, svcscan, ldrmodules, impscan, apihooks, idt, gdt, threads, callbacks, driverirp, devicetree, psxview, timers Daha fazla bilgi için belirtilen adrese göz atılabilir. https://code.google.com/p/volatility/wiki/ CommandReferenceMal22 21

Vola7lity - Zeus Botnet Analizi Ağ bağlantılarını görüntüleme python vol.py -f zeus.vmem connscan 22

Vola7lity - Zeus Botnet Analizi İlgili ağ bağlantısının hangi prosese ait olduğunu tespit etme python vol.py -f zeus.vmem pstree 23

Vola7lity - Zeus Botnet Analizi Register Kaydının Görüntülenmesi python vol.py -f zeus.vmem printkey -K "Microso`\Windows NT\CurrentVersion\Winlogon" 24

Vola7lity - Zeus Botnet Analizi Mutexlerin Görüntülenmesi python vol.py -f zeus.vmem mutantscan grep AVIRA 25

Vola7lity - Zeus Botnet Analizi 26

Sorular Teşekkürler 27

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim