Malicious ve Software kelimelerinden türetilmiş bir terimdir. Scumware olarakta adlandırılabilir. Kötü amaçlı yazılım olarak Türkçeleştirilebilir. Ransomware, backdoor , rat, worms, truva atı gibi yazılımlar malware olarak tanımlanır.
1990 yılında Yisrael Radia tarafından malware ismi konulmadan önce, bu tür yazılımlara virüs adı veriliyordu.
Kullanım amacı; sistemlere bulaşarak sistemdeki verileri, bilgileri çalmak, ifşalamak ve zarar vermek olabilir. Bilgisayarımıza bulaşan bir malware; bilgisayarımızın ayarlarını değiştirebilir, yazılımları kaldırarak sistem hatalarına neden olabilir bilgisayarımızın ayar bilgisayarımızın kamerasını açabilir bizi izleyebilir. Malwareın kullanım amacını genel olarak;
1. Para kazanmak,
2. Sistemden bilgileri çalmak veya zarar vermek
3. Sistemler üzerinde hata meydana getirmek
Malware türleri:
AdwareAdware’e maruz kalan bilgisayar durduk yere reklam çıkarmaktadır
Spyware Spyware’e maruz kalan sistemde internet aktivitelerini gizlice takip etmektedir
Worm (solucan): Kendini kopyalayarak eriştikleri bilgileri ve verileri yok eder.
Trojan (Truva atı): Yararlı yazılımı gibi görünen kötücül bir yazılımdır
Rootkit: Bilgisayarın işletim sistemi çekirdeğine sızarak saldırgan sistemi uzaktan kontrol etme ve tam yetki sağlayan malwaredır.
Backdoors: Sistemde arka kapı açan bir malware türü. Arka kapı sayesinde saldırgana erişim imkanı verir.
Keyloggers: Sistemde yaptığımız her klavyeye basışı kaydeder
Rogue security software: Sahte güvenlik yazılımı olan bu malware bize sanki bir antivirüs yazılımıymış gibi görünür
Ransomware: Fidye yazılım olarakta adlandırılır. Sistemizi veya içerisindeki dosyalarıbir ödeme yapılıncaya kadar şifreler.
Logıc Bombs (matık bombası): Herrhangi bir program içerisine yerleştirilen malware yazılımıdır.
Malware’e maruz kalmış sistemlerde;
– Dosyalar durduk yere silinebilir.
– Bilinmeyen süreçler çalışabilir.
– Cpu kullanımında bir artış olur.
– Bilgisayar yavaşlayabilir durduk yere donabilir.
– Programlar kendiliğinden kapanabilir ya da yeniden yapılandırılabilir.
Malware nasıl bulaşır
E-mail ekleri indirilirse.
USB,CD, DVD den yayılabilir
Crackli programın içerisinde gömülü olabilir.
İnternet tarayıcımızdan girmiş olduğumuz web sitesi üzerinden de malware bulabilir
Malware Analizi
Malware analizi; malware’in işlevselliğini, kökenini ve potansiyel etkisini belirlemek için kullanılan yöntem ve becerilerin tümüdür. Malware analizi kötü niyetli yazılımların çeşitli araçlar ve yöntemler kullanılarak incelenmesine denir.
Malwarın analizinin amacı genellikle, ağ saldırısına veya zararlı yazılım bulaşmasına yanıt vermemiz gerekir bu sebepten zararlı yazılım nasıl çalıştığını, ne olarak tanımlandığını ve nasıl sisteme bulaştığı konusunda incelemeler yapmak. Eğer malware’ın analizi yapılmaz ise o malware’e karşı ne gibi önlemler alınacağı bilinemez ve böylece malware sürekli olarak sisteme zarar vermeye devam eder.
Analiz sırasında izlenecek yöntemler temel olarak statik analiz, dinamik analiz ve memory analizi olmak üzere üçe kısma ayırabiliriz.
Statik analiz
Malwareları çalıştırmadan yapılan analiz yöntemlerini kapsar. Dosya formatının tespiti, içerisinden geçen kelimelerin derinlemesine kod analizi yapmadan incelenmesi, analiz edilecek malwareın antivirüsler karşısındaki tepkisinin ölçülmesi, hash değeri alınmış halinin daha önceki zararlı hashler ile kıyaslanması ve uygulamanın packed ya da obfuscated edilmiş olup olmadığının programlar yardımıyla tespit edildiğinde basit statik analiz denilebilir.
İleri statik analiz diyebilmemiz için; IDA pro, radare2 gibi programlar kullanılarak low level seviyede geçen kelimeler, bağlantı kütüphaneler, fonksiyonlar gibi özelliklerin incelenerek zararlı yazılımın işleyişinin analiz edildiğinde diyebiliriz.
Statik analiz de kullanılan araçları;
Strings (http://split-code.com/strings2.html)
Mastiff (https://git.korelogic.com/mastiff.git/)
Dependency Walker (https://www.dependencywalker.com/)
PEİD (https://www.aldeid.com/wiki/PEiD)
JAD (https://github.com/rshipp/awesome-malware-analysis)
Reflector (https://www.hybridanalysis.com/sample/6ba348c3b260ac324afc8673dcb1f79bee70fc877491a2223c84bcafa43b db93?environmentId=100)
dnSpy (https://www.hybridanalysis.com/sample/e1f647e5ad09dc0d651af5bd0bd6d0b8de1f6ebec0e52fcaef33c0d3cd6a e460?environmentId=100)
CFF Explorer Suite (https://ntcore.com/?page_id=388)
Pestudio (https://www.winitor.com/) PEframe (https://github.com/guelfoweb/peframe)
Dinamik Analiz:
Oluşturulan lab ortamında zararlı yazılım çalıştırılarak, sistem üzerinde yaptığı değişiklikleri incelme üzerine yapılan analiz çeşididir.
Malwareın ağ üzerindeki davranışların, dosya ve kayıt defteri üzerinde yaptığı değişiklikleri, oluşturulan processler incelenmesi basit dinamik analiz olarak adlandırılabilir.
Zararlı yazılımın çalıştırıl durumdayken incelendiği, debug edildiği kısmı , İşlemci komutları, cpu, register üzerindeki değişimi inceler. Fonksiyon çağırımları izleme, fonksiyon parametrelerini izleme gibi tekniklerin kullanılması ileri dinamik olarak sınıflandırabiliriz.
Analiz sırasında kullanılan dinamik programlar;
IDA PRO (https://www.hex-rays.com/products/ida/)
Ollydbg (http://www.ollydbg.de/)
Immunity Debugger (https://www.immunityinc.com/products/debugger/)
Windbg (http://www.windbg.org/)
gdb/edb (https://www.gnu.org/software/gdb/)
redare2 (https://github.com/radareorg/radare2)
HxD (https://mh-nexus.de/en/hxd/)
wxHexEditor (http://www.wxhexeditor.org/)
Nagios (https://www.nagios.org/)
Wireshark (https://www.wireshark.org)
Process Monitor (https://docs.microsoft.com/tr-tr/sysinternals/downloads/procmon)
Process Explorer (https://docs.microsoft.com/tr-tr/sysinternals/downloads/process-explorer)
Autoruns (https://docs.microsoft.com/tr-tr/sysinternals/downloads/autoruns)
RegShot (https://sourceforge.net/projects/regshot/)
NetworkMinner (https://www.netresec.com/?page=NetworkMiner)
Fiddler (https://www.telerik.com/download/fiddler)
Memory (bellek dökümü) analizi:
Zararlı yazılımın çalıştırıldıktan sonra hafızada kapşayan yerinin kopyalanarak diske kaydedilmesi ve diske kaydedilmiş bu hafıza alanın yardımıyla incelenmesini oluşturan ksımdır.
Bellek analizinde kullanılan araçlar;
Volatility (https://www.volatilityfoundation.org/)
Memoryze (https://www.fireeye.com/services/freeware/memoryze.html)
Redline (https://www.fireeye.com/services/freeware/redline.html)
Onilen Malware Analiz siteleri
Malwarelerı onilen olarak analiz etmek mümkündür.
Bazı onilen analiz etemeye yardımcı siteler;
http://zar.sge.gov.tr/UploadSample/ZararliYazilimYukle
https://www.hybrid-analysis.com/
https://www.joesandbox.com/
https://www.virustotal.com/gui/home/upload
Malware analiz etmek için hazır sanal ortamlar;
SIFT Workstation (https://digital-forensics.sans.org/community/download-sift-kit/3.0)
REMnux (https://app.box.com/s/aag3olb4ilajqazsb7d0acbibb6sxhe4)
Fireeye (https://www.fireeye.com/blog/threat-research/2017/07/flare-vm-the-windows-malware.html)
Kaynak :
https://tr.wikipedia.org/wiki/Malware
https://www.webtekno.com/yazilim/malware-h16294.html
https://en.wikipedia.org/wiki/Malware_analysis
https://www.hackingtutorials.org/malware-analysis-tutorials/basic-malware-analysis-tools/
https://www.slideshare.net/bgasecurity/zararl-yazlm-analizi-in-lab-ortam-hazrlamak
https://canyoupwn.me/tr-awesome-learn-malware-analysis/
Muhammed AYGUN