AutoRun Analizi
AutoRuns; Windows ön yükleme sırasında başlamak için işlemleri aradığı konumları ifade etmek için kullanılan bir terimdir. Yani herhangi bir kullanıcı tarafından kasıtlı başlatılmadan otomatik olarak çalışan yazılıma denir. Bu yazılım türü, bilgisayar başlatıldığında başlayan sürücüleri ve hizmetleri içerir. Dosya sistemindeki ve registry de toplam 200 den fazla konum Windows’sun otomatik başlatmalarını yapılandırmasına izin verecek mekanizma bulunur. Bu konumlara genellikle Autostart Extensibility Points (ASEP) denir.
ASEP’lerin ilk oluşturma amacı kullanıcıya yardımcı olmaktır örneğin, anlık mesajlaşma uygulamasında çevrim içi olduğunu bilmesini istiyorsanız, oturum açtığınızda uygulamanın başlatılması kolaylık sağlar. Yani Windows işletim sistemi başlatıldığında kullanıcının herhangi bir müdahalesi veya etkileşimi olmaksızın birçok yazılımı otomatik olarak başlatmasıdır.
Malware’lar ASEP’leri kullanarak Windows sistem üzerinde kalmak için kullanmış olduğu kalıcılık mekanizması sağlamaktadır. Adli analiz gerçekleştiren bir makinede AutoRun analiz edilerek malware’ın sistem üzerinde kalmak için kullandığı mekanizma bulunabilir.
AutoRun analiz etmek için Windows Sysinternals araçlarında Autorunsve ve Autorunsc araçlarını kullanabiliriz. Autorunsve GUI tabanlı Autorunsc ise CLI tabanlı araçlardır.
autorunsc64.exe –help yazınca uygulama ve parametreleri hakkında bilgi edinebiliyoruz.
Bir sistem üzerinde Autorunsc çalıştırmak için;
autorunsc64.exe -accepteula -a * -s -h -c > .M_out.csv
komutunu yazıp enterlıyoruz.
komutunu yazıyoruz.
Autorunsc64.exe : aracın dosyası
-accepteula : kullanıcı lisansını kabul ediyorum
-a: tüm startup lokasyonlarını göster
-s: imza doğrulaması yap
-h: dosyaların hash bilgisini gösterir.
-c: elde edilen bulguları çıktı olarak dışaraya sunmasını sağlar.
.M_out.csv: elde edilen ASEP’leri yazmış olduğu csv dosyası
Komut çalıştıktan sonra belirlemiş olduğumuz dizin üzerinde csv dosyasını görebiliyoruz.
Burada baya verinin olduğunu görebiliriz. Çeşitli filtrelemeler kullanılarak daha az veri üzerindeki AutoRun kontrol etmemiz olanak sağlanabilir.
bazı örnek filtre kombinasyonlarını kullanarak sistem üzerinde şüpheli ASEP’leri tespit edebiliyoruz, başlıca uygulanması gereken filtreleri şöyle sıralıyabiliriz;
· Tüm veriler kimse tarafından imzalanmadı
· Bilinmeyen veya tanıdık olmayan bir kaynak tarafından imzalanmış tüm ASEPS’ler
· Etkinleştirilmiş ve güvenilir bir kaynak tarafından imzalanmamış tüm ASEPS’ler
· Etkinleştirilen tüm ASEP’ler ve ASEP ile ilişkili hiçbir şirket yok.
· powershellerin kullanmış olduğu komutlarların neler olduğu .
Dikkat etmeniz gereken birkaç yerlerdendir.