Malware Analizi Yöntem ve Araçları Huzeyfe ÖNAL Huzeyfe.onal@bga.com.tr Bilgi Güvenliği AKADEMİSİ Twitter: @bgakademisi @huzeyfeonal
Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ Eğitmen, Pentester, Danışman, Okçu, yüzücü, koşucu http://blog.lifeoverip.net/hakkimda/ What I hear, I forget. What I see, I remember. What I do, I understand. Kung Fu Tzu (Confucius)
Amaç Siber tehdit sıralamasında önem sırasını hiç kaybetmemiş ve kaybetmeyecek olan- zararlı yazılımlar dünyasına temel bir bakış. Bu sunum detay teknik bilgiler içermemektedir!
Sunum Ajandası Siber silah, sber savaş kavramları ve günümüzdeki önemi Malware tanımı Malware kullanım amaç ve araçları Malware belirleme ve analiz yöntemleri Malware analizi zorlaştırma yöntemleri
Siber Savaş Bilişim sistemleri kullanılarak gerçekleştirilen ve amacı bir şirkete, bir ülkeye veya bir gruba yönelik maddi, manevi zararlar verme olan faaliyetler. 2007 Estonya örneği: DDoS saldırılarıyla ülkenin internet sisteminin işlemez hale getirilmesi 2010 Türkiye örneği: Yotube yasağını protesto eden bir grup Hacker Çeşitli bakanlık sitelerine yönelik DDoS saldırıları gerçekleştirdi. 2011 Türkiye örneği: Anonymous grubunun 22 Ağustos u protesto eden saldırıları Etkilenen kurumlar?
Siber Silah Tanımı Klasik dünyadaki silah kavramından farklı olarak siber silah sadece yoketme amacı taşımamaktadır. Yeri geldiğinde yoketme, yeri geldiğinde iz silme ve yeri geldiğinde hedef sistemlerden bilgi kaçırma amaçlı kullanılacak yöntem ve araçlardır. Stuxnet en güncel ve ideal siber silah örneğidir.
Medyada Malware Anlayışı
Genel Kavramlar Virüs Worm Trojan Spyware Bot/BotNet Rootkit Malware Packer Binder Crypter
Malware Bilişim sistemlerine bulaşarak bu sistemleri geliştiricisinin amacı doğrultusunda işler için kullanan kötücül yazılımlar. Zararlı yazılımlara verilen genel ad. Virüs, worm, trojan, backdoor, adware, spyware, bot, rootkit
Neler yapabilir? Malware Kullanım Amaçları Dinleme, izleme, loglama vs, takip herşey. Bilgisayar, mobil cihazınızdaki hassas bilgileri başkalarına ulaştırabilir. Telefon konuşmalarını, smsleri başkaları tarafından izlenmesini sağlayabilir Bilgisayarınızı DDoS saldırılarında, spam gönderiminde ve benzeri amaçlarla kullanabilir.
Malware Geliştirme İki tip malware geliştiricisi vardır: Hazır yazılımları kullananlar Herhangi bir programlama dili bilgisine sahip olup, kendine özel malware geliştirenler Internet üzerinde herhangi bir yazılım bilgisine ihtiyaç duymadan antivirüslere yakalanmayan malware geliştirmek(yapmak) mümkün.
Malware Bulaş(tır)ma Yöntemleri Web üzerinden bulaştırma (Genellikle Browserlardaki güvenlik açıkları kullanılır -Drive By Download) USB - İşletim sistemlerinin Autorun vs gibi özelliklerinin kullanımınetwork üzerinden güvenlik zafiyetlerini kullanarak (Exploit) Sosyal mühendislik kullanarak e-posta ve benzeri sistemler üzerinden bulaştırma. Mobil sistemlere bulaştırma.
Malware Uygulamaları Sadece.exe uzantılı dosyalar değildir. https://www.virustotal.com/statistics/
Malware Belirleme/Tanımlama Kesin bir belirleme yöntemi yoktur! Malware tanımayı zorlaştırmak için çeşitli yollar denenmektedir Internet üzerinde satışı yapılan malware ler genellikle AV ler tarafından tanınmaz (FUD) Her malware farklı davranışlar sergileyebilir Malware analiz yöntemleri ortaya çıkmıştır. Bazı yazılımlar ticari malware dir.
Zararlı Yazılım Belirleme Yöntemleri Çeşitli yöntemler vardır Temel olarak dinamik ve statik olarak ikiye ayrılabilir. En basit yöntem statik bazı değerleri kontrol etmektir. İmza tabanlı yakalama yöntemş Statik kontrolleri atlatmak kolay olmaktadır. Örnek okumalar: http://www.security.iitk.ac.in/contents/events/workshops/iitkhack09/papers/vinod.pdf http://www.emis.de/journals/ijopcm/files/ijopcm(vol.1.2.3.s.08).pdf
Malware den Korunma! Antivirüs, anti malware sistemleri Malware lerden korunmak için yeterli midir? Hayır. Internet üzerinde tüm güvenlik sistemlerini atlatabilen, ya da atlatmak için kullanılan binlerce yazılım bulunmaktadır ve genellikle bu yazılımlar ücretsiz ya da düşük ücretler 5$- edinilebilmektedir.
Malware Tarama Virustotal.com gibi siteler üzerinden elinizdeki malware/normal dosyanın hangi AV ler tarafından tanındığını belirlenebilir.
Malware Analizi Nedir, ne amaçla yapılır? Gerekli midir? Zor mudur? Ne seviye bilgi gerektirir? Meslek olarak yapılır mı?
Neden Malware Analizi Antivirüs yazılımlarının yetersiz kalması, Adli bilişim analizi amaçlı Güncel davalar Zevk için! Ne amaçla geliştirildiğinin belirlenmesi için Hangi güvenlik zafiyetlerini kullandığının belirlenmesi için Neleri etkileyeceğinin ve hedefinin belirlenmesi için Dns changer Stuxnet
Malware Analiz Çeşitleri Malware Analizi Statik Analiz Dinamik Analiz
Statik Analiz/Binary Analiz İlgili zararlı yazılımı çalıştırmadan analiz etme yöntemi Kaynak kodu varsa analiz yöntemi kolaylaşacaktır. Kaynak kodu yoksa ikili dosyanın tersine mühendislik (reverse engineering) ile incelenebilir. Uzman seviyesi bilgi gerektirir. Malware içerisindeki statik değerlerin -stringlerin, dosyaların (resim, vs)- belirlenmesi.
Dinamik Analiz/Runtime Analysis Yalıtılmıiş bir ortamda(sandbox) zararlı yazılımın çalıştırılarak çalıştırıldığı sistem üzerindeki etkilerinin incelenmesi Network, memory, registry, file system Statik analizden farklı olarak risklidir. Çalıştırıldığında sistemi bozabilir, diski silebilir, başka yerlere sıçramak isteyebilir, internette bir sisteme saldırı düzenleyebilir
Malware Analiz Lab. Oluşturma Statik ve dinamik analiz için farklı ihtiyaçlar ve bilgi birikimine ihtiyaç duyulmaktadır. En temel bileşen :merak, sabır Sanal sistemler Vmware, Virtualbox Analiz yazılımları (ticari, açık kaynak kod) Başlangıç için temel kitaplar
Örnek Malware Dosyaları Gerçek malware ler üzerinde analiz yapmak için arşiv siteleri Gerçek sistemler üzerinde değil sanal ya da lab ortamlarında çalıştırılması önemlidir. OffensiveComputing Malc0de
Malware Analiz İçin Yardımcı Araçlar Dinamik ve statik analiz için farklı araçlar kullanılmaktadır. Regshot, process monitor, peid, lsof, netstat, OllyDbg, Google :)
Regshot
Process Monitor
Wireshark
Malware Analizi Zorlaştırma Amaç? Gerçekten bu yöntemler tercih ediliyor mu? % Kaç oranda? Zorlaştırma yöntemleri Anti VM, Anti Sandbox, Anti Debugging, Anti-Disassembly, Packing Zorlaştırma yöntemlerini belirlemek ve üstesinden gelmek konusunda uzman bir analizci için zor olmayacaktır. Daha çok otomatize analiz sistemlerini yanıltmak ve atlatmak için tercih edilir.
Güvenlik Korumalarını Aşma
Ticari Crypt Servisleri
Sorular
İletişim Bilgileri Blog www.lifeoverip.net Blog.bga.com.tr Twitter @bgakademisi @huzeyfeonal İletişim huzeyfe@lifeoverip.net Huzeyfe.onal@bga.com.tr