Malware Analizine Giriş Ve Kullanılan Toollar

 

MALWARE

 
Malicious ve Software kelimelerinden türetilmiş bir terimdir. Scumware olarakta adlandırılabilir. Kötü amaçlı yazılım olarak Türkçeleştirilebilir. Ransomware, backdoor , rat, worms, truva atı gibi yazılımlar malware olarak tanımlanır. 
1990 yılında Yisrael Radia tarafından malware ismi konulmadan önce, bu tür yazılımlara virüs adı veriliyordu.
 
Kullanım amacı; sistemlere bulaşarak sistemdeki verileri, bilgileri çalmak, ifşalamak ve zarar vermek olabilir. Bilgisayarımıza bulaşan bir malware; bilgisayarımızın ayarlarını değiştirebilir, yazılımları kaldırarak sistem hatalarına neden olabilir bilgisayarımızın ayar bilgisayarımızın kamerasını açabilir bizi izleyebilir. Malwareın kullanım amacını genel olarak; 
1. Para kazanmak,  
2. Sistemden bilgileri çalmak veya zarar vermek  
3. Sistemler üzerinde hata meydana getirmek 
 

Malware türleri: 



 

 AdwareAdware’e maruz kalan bilgisayar durduk yere reklam çıkarmaktadır
 
 Spyware Spyware’e maruz kalan sistemde internet aktivitelerini gizlice takip etmektedir
 
 Worm (solucan): Kendini kopyalayarak eriştikleri bilgileri ve verileri yok eder. 
 
 Trojan (Truva atı)Yararlı yazılımı gibi görünen kötücül bir yazılımdır
 
 Rootkit:  Bilgisayarın işletim sistemi çekirdeğine sızarak saldırgan sistemi uzaktan kontrol etme ve tam yetki sağlayan malwaredır. 
 
 Backdoors: Sistemde arka kapı açan bir malware türü. Arka kapı sayesinde saldırgana erişim imkanı verir. 
  
 Keyloggers: Sistemde yaptığımız her klavyeye basışı kaydeder
 
 Rogue security software: Sahte güvenlik yazılımı olan bu malware bize sanki bir antivirüs yazılımıymış gibi görünür
 
 Ransomware: Fidye yazılım olarakta adlandırılır. Sistemizi veya içerisindeki dosyalarıbir ödeme yapılıncaya kadar şifreler.
 
 Logıc Bombs (matık bombası): Herrhangi bir program içerisine yerleştirilen malware yazılımıdır. 




 
 
Malware’e maruz kalmış sistemlerde; 
– Dosyalar durduk yere silinebilir. 
– Bilinmeyen süreçler çalışabilir. 
– Cpu kullanımında bir artış olur. 
– Bilgisayar yavaşlayabilir durduk yere donabilir. 
– Programlar kendiliğinden kapanabilir ya da yeniden yapılandırılabilir. 
 


Malware nasıl bulaşır

 E-mail ekleri indirilirse. 
 USB,CD, DVD den yayılabilir 
 Crackli programın içerisinde gömülü olabilir. 
 İnternet tarayıcımızdan girmiş olduğumuz web sitesi üzerinden de malware bulabilir 
 
 

 
 

Malware Analizi  

Malware analizi; malware’in işlevselliğini, kökenini ve potansiyel etkisini belirlemek için kullanılan yöntem ve becerilerin tümüdür. Malware analizi kötü niyetli yazılımların çeşitli araçlar ve yöntemler kullanılarak incelenmesine denir.   
Malwarın analizinin amacı genellikle, ağ saldırısına veya zararlı yazılım bulaşmasına yanıt vermemiz gerekir bu sebepten zararlı yazılım nasıl çalıştığını, ne olarak tanımlandığını ve nasıl sisteme bulaştığı konusunda incelemeler yapmak. Eğer malware’ın analizi yapılmaz ise o malware’e karşı ne gibi önlemler alınacağı bilinemez ve böylece malware sürekli olarak sisteme zarar vermeye devam eder. 
Analiz sırasında izlenecek yöntemler temel olarak statik analiz, dinamik analiz ve memory analizi olmak üzere üçe kısma ayırabiliriz.  

Statik analiz

Malwareları çalıştırmadan yapılan analiz yöntemlerini kapsar.  Dosya formatının tespiti, içerisinden geçen kelimelerin derinlemesine kod analizi yapmadan incelenmesi, analiz edilecek malwareın antivirüsler karşısındaki tepkisinin ölçülmesi, hash değeri alınmış halinin daha önceki zararlı hashler ile kıyaslanması ve uygulamanın packed ya da obfuscated edilmiş olup olmadığının programlar yardımıyla tespit edildiğinde basit statik analiz denilebilir.
İleri statik analiz diyebilmemiz için; IDA pro, radare2 gibi programlar kullanılarak low level seviyede geçen kelimeler, bağlantı kütüphaneler, fonksiyonlar gibi özelliklerin incelenerek zararlı yazılımın işleyişinin analiz edildiğinde diyebiliriz.  

 

Statik analiz de kullanılan araçları; 


 Strings  (http://split-code.com/strings2.html) 
 Mastiff  (https://git.korelogic.com/mastiff.git/) 
 Dependency Walker  (https://www.dependencywalker.com/) 
 PEİD (https://www.aldeid.com/wiki/PEiD) 
 JAD (https://github.com/rshipp/awesome-malware-analysis) 
 Reflector (https://www.hybridanalysis.com/sample/6ba348c3b260ac324afc8673dcb1f79bee70fc877491a2223c84bcafa43b db93?environmentId=100) 
 dnSpy (https://www.hybridanalysis.com/sample/e1f647e5ad09dc0d651af5bd0bd6d0b8de1f6ebec0e52fcaef33c0d3cd6a e460?environmentId=100) 
 CFF Explorer Suite (https://ntcore.com/?page_id=388) 
 Pestudio (https://www.winitor.com/)  PEframe (https://github.com/guelfoweb/peframe) 
 
 
 
 

Dinamik Analiz:

Oluşturulan lab ortamında zararlı yazılım çalıştırılarak, sistem üzerinde yaptığı değişiklikleri incelme üzerine yapılan analiz çeşididir.

Malwareın ağ üzerindeki davranışların, dosya ve kayıt defteri üzerinde yaptığı değişiklikleri, oluşturulan processler incelenmesi basit dinamik analiz olarak adlandırılabilir. 

Zararlı yazılımın çalıştırıl durumdayken incelendiği, debug edildiği kısmı , İşlemci komutları, cpu, register üzerindeki değişimi inceler. Fonksiyon çağırımları izleme, fonksiyon parametrelerini izleme gibi tekniklerin kullanılması ileri dinamik olarak sınıflandırabiliriz. 
 

Analiz sırasında kullanılan dinamik programlar;

 IDA PRO (https://www.hex-rays.com/products/ida/) 
 Ollydbg (http://www.ollydbg.de/) 
 Immunity Debugger (https://www.immunityinc.com/products/debugger/) 
 Windbg (http://www.windbg.org/) 
 gdb/edb (https://www.gnu.org/software/gdb/) 
 redare2  (https://github.com/radareorg/radare2) 
 HxD (https://mh-nexus.de/en/hxd/) 
 wxHexEditor (http://www.wxhexeditor.org/) 
 Nagios (https://www.nagios.org/) 
 Wireshark (https://www.wireshark.org) 
 Process Monitor (https://docs.microsoft.com/tr-tr/sysinternals/downloads/procmon) 
 Process Explorer (https://docs.microsoft.com/tr-tr/sysinternals/downloads/process-explorer) 
 Autoruns (https://docs.microsoft.com/tr-tr/sysinternals/downloads/autoruns) 
 RegShot (https://sourceforge.net/projects/regshot/) 
 NetworkMinner (https://www.netresec.com/?page=NetworkMiner) 
 Fiddler (https://www.telerik.com/download/fiddler) 
 

Memory (bellek dökümü) analizi:

Zararlı yazılımın çalıştırıldıktan sonra hafızada kapşayan yerinin kopyalanarak diske kaydedilmesi ve diske kaydedilmiş bu hafıza alanın yardımıyla incelenmesini oluşturan ksımdır. 

Bellek analizinde kullanılan araçlar; 
 Volatility (https://www.volatilityfoundation.org/) 
 Memoryze (https://www.fireeye.com/services/freeware/memoryze.html) 
 Redline (https://www.fireeye.com/services/freeware/redline.html) 
 
 
 

 Onilen  Malware Analiz siteleri 


Malwarelerı onilen olarak analiz etmek mümkündür.  
Bazı onilen analiz etemeye yardımcı siteler; 
http://zar.sge.gov.tr/UploadSample/ZararliYazilimYukle 
https://www.hybrid-analysis.com/ 
https://www.joesandbox.com/ 
https://www.virustotal.com/gui/home/upload 
 
 
 
 

Malware analiz etmek için hazır sanal ortamlar; 

 
SIFT Workstation (https://digital-forensics.sans.org/community/download-sift-kit/3.0) 
REMnux (https://app.box.com/s/aag3olb4ilajqazsb7d0acbibb6sxhe4) 
Fireeye (https://www.fireeye.com/blog/threat-research/2017/07/flare-vm-the-windows-malware.html) 
 
 
 

 
Kaynak : 
https://tr.wikipedia.org/wiki/Malware 
https://www.webtekno.com/yazilim/malware-h16294.html 
https://en.wikipedia.org/wiki/Malware_analysis 
https://www.hackingtutorials.org/malware-analysis-tutorials/basic-malware-analysis-tools/ 
https://www.slideshare.net/bgasecurity/zararl-yazlm-analizi-in-lab-ortam-hazrlamak 
https://canyoupwn.me/tr-awesome-learn-malware-analysis/ 
 
 

 

Muhammed AYGUN