Yeni Nesil Zararlı Yazılımlarla Savaşta Dinamik Analiz Cephesi Yakup Krkmaz 2012
Ajanda Yeni Nesil Zararlı Yazılımlar TDSS (TDL4, Olmarik) Duqu-Stuxnet SpyEye Dinamik Analiz Hizmetleri/Araçları Dinamik Analiz Snuçları Dinamik Analiz Snuçlarının Yrumlanması Snuç 2
Yeni Nesil Zararlı Yazılımlar Zararlı yazılım = para İstismar (explit) kit fiyatları: Elenre $2000, Phnix $2200, Blackhle $1500 Uzun ömürlü zararlı yazılım daha pahalı... 0. gün açıklığı? Tespit zrluğu? Hızlı yayılma? 3
Yeni Nesil Zararlı Yazılımlar Yeni nesil zararlı yazılımların özellikleri Plymrphism / metamrphism / self-mdificatin Gizleme (bfuscatin) Şifreleme / Çklu şifreleme (ligmrphism) Kendini denetim (self-checking) Gizleme (stealth) teknikleri Yetkili ve yetkisiz çalışma 4
Yeni Nesil Zararlı Yazılımlar Nasıl tespit ve analiz edilebilir? Geleneksel teknikler? İmza tabanlı tanıma Çk fazla imza (ply/metamrphic, self-mdifying) Statik analiz Çk yrucu (self-mdifying) veya mümkün değil (selfchecking, bfuscatin) Dinamik ve davranış tabanlı zararlı yazılım analizi gerekli! 5
TDSS (TDL4, Olmarik) Btkit = Rtkit + Bt Özelliği TDL4, ilk geniş ölçüde yayılan 64bit Windws u hedefleyen zararlı yazılım 6
TDSS (TDL4, Olmarik) Ne yapıyr? HIPS atlatma Yetki yükseltme, gerekli ise MS10-092 kullanarak Rtkit sürücü yükleme MBR ı değiştirir Gizli ve şifreli bir dsya sistemi luşturma Int 13h göndererek sistemi yeniden başlatma Kernel sürücüsü yükleme BCD yi (x64) değiştirerek, Patch Guard ve kernel-mde kd imzalamayı atlatma 7
TDSS (TDL4, Olmarik) Bt işlemi snrası enfeksiyn 8
Duqu - Stuxnet Sme Duqu: interesting Uzak Erişim charachteristics: Truva Atı Cnnects t C&C server via the previusly infected system SCADA Has sistemleri rutines t ile bypass ilgili prxies kritik bilgi Des tplamak nt cpy için itself dizayn unless instructed t d s by the C&C edildiği Deletes düşünülmektedir itself after 30 days nt t be detected Wrd de MS11-087 0. gün açıklığını istismar eder Gerçek bir sertifika ile imzalanmış sürücü kullanır 9
Duqu - Stuxnet Duqu nun ilginç özellikleri C&C sunucusuna önceden bulaştığı sistem üzerinden bağlanır Prxy atlatmak üzere işlemler kullanır C&C tarafından emredilmedikçe kendisini kpyalamaz 30 gün snra kendisini siler User-mde rtkit kabiliyeti 10
Duqu - Stuxnet Stuxnet in bazı özellikleri Özel larak SCADA sistemlerine saldırmak üzere tasarlanmıştır (genelde Siemens) 4 adet 0. gün Windws açıklığı kullanır MS10-092 açıklığını istismar ederek yetki yükseltme Yayılmak için MS10-046, MS10-061 ve MS08-067 açıklıklarını istismar eder Cihaz sürücüsü iki gerçek sertifika tarafından imzalanmıştır User-mde and kernel-mde rtkit kabiliyeti 11
SpyEye SpyEye: Truva atı btneti Online bankacılık ve kredi kartı bilgilerini çalar Çaldığı bilgileri C&C sunucusuna gönderir Oluşturma kiti kullanarak klayca luşturulabilir Ana rakibi Zeus zararlı yazılımı Bulaştığı sistemlerde Zeus u silme özelliği («Kill Zeus») 12
SpyEye SpyEye ın bazı özellikleri Özet (hash) kullanarak karmaşık sözcük gizleme tekniği Karmaşık kd gizleme tekniği Windws Defender ı kapatma Otmatik çalıştırma kütük anahtarı luşturma Bir çk kd enjeksiynu Parla krumalı PKZip arşivinde knfigürasyn dsyası 13
Dinamik Analiz Hizmetleri/Araçları Dinamik analiz yöntemleri ve rtamları Kernel tabanlı yaklaşım Kutu-dışı (ut-f-the-bx) yaklaşımı Sanallaştırma Emülatr Fiziksel Analiz rtamının yeniden başlatılması Ağ simülasynu 14
Dinamik Analiz Hizmetleri/Araçları Nrman Sandbx Anubis GFI (CW) Sandbx Cmd Camas ThreatExpert Xandra Cuck Minibis Malbx 15
Dinamik Analiz Snuçları Anubis GFI/CW Sandbx Nrman Cmd Camas T D L 4 D U Q U 33 0 42 2 15 0/30 19 18 0 0 0 0 13 0 0 25 S T U X N E T S P Y E Y E 16
Dinamik Analiz Snuçlarının Yrumlanması Sadece sınırlı sayıda işlem tespit edilebilmektedir Dsya yazma/kuma işlemleri Kütük anahtar/değer luşturma/değiştirme işlemleri Prcess luşturma ve enjeksiyn işlemleri Mdül yükleme/kaldırma işlemleri Ağ hareketleri (sınırlı) 17
Dinamik Analiz Snuçlarının Yrumlanması Hak yükseltme işlemleri tespit edilememektedir Stuxnet: MS10-073 (Win32k.sys), MS10-092 (Task Scheduler) Duqu: MS10-087 (MS Wrd) TDL4: MS10-092 (Task Scheduler) 18
Dinamik Analiz Snuçlarının Yrumlanması Kernel-mde işlemler tespit edilememektedir Kernel sürücüleri Stuxnet, DUQU, TDL4 (printprvider) 19
Dinamik Analiz Snuçlarının Yrumlanması 64 bit and btkit tespit desteği bulunmamaktadır Windws 7 and 64 bit destek eksikliği TDL4, disk sürücüsüne IOCTL_SCSI_PASS_THROUGH_DIRECT kullanarak dğrudan erişim TDL4, yeniden başlatme desteği eksikliği 20
Snuç Dinamik analiz hizmetleri/araçları yararlıdır Sınırlarının farkında lun Yalnız bir hizmet/araç kullanarak analiz etmek mantıklı/yeterli değildir 21
Srular Teşekkürler Epsta: yakup.krkmaz@tubitak.gv.tr Tel: (312) 427 73 66-202 22