Herhangi bir dosyayı indireceğimiz zaman sürekli şüphe gözüyle bakarız. Acaba içinde virüs var mıdır? Bilgilerimiz çalınabilir mi? Çoğu zaman da emin olmadan indiririz ve pofff... Bilgisayarımız uçuşa geçti bile. Peki bilgisayarımızı malware yazılımlarından korumak için ne yapmamız gerekmekte? Bu konunun sonunda basit düzeyde de olsa sizler de kendiniz malware analizi yapabileceksiniz.
"Statik Analiz" ve "Dinamik Analiz" olmak üzere iki çeşit analiz yöntemi bulunmakta.
Statik Analiz: Malware kontrolü yapılacak olan dosyayı çalıştırmadan direkt olarak kodlarını analiz ederek yapılan işlemdir.
Dinamik Analiz: Malware kontrolü yapılacak olan dosya çalıştırıldıktan sonra sistemdeki değişiklikler gözlemlenerek yapılan analiz işlemidir.
İlk olarak analiz esnasında problem yaşamamak adına sanal makinemizi kullanacağız. Çoğunlukla windows işletim sistemi kullanıldığı için ben de vmware içerisine kurmuş olduğum Win7'yi kullanacağım. Buradan sonraki konu başlıkları sırasıyla uygulamamız gereken aşamalar.
VİRÜSTOTAL ANALİZİ
Çoğunlukla herhangi bir dosya indirme işleminden önce dosyanın virüstotal sonuçlarını isteriz. Baktığımızda da sadece "Detection" kısmına bakıp geçeriz. Peki bu zararlı yazılımımız tam olarak neler yapıyor? Hadi gelin beraber inceleyelim.
Öncelikle VT analizini yapabilmek için zararlı yazılım içeren bir dosya bulmalıyım. Bunun için sanal makinemde açmış olduğum Win7 sistemimde Opera'ya Zula Para Hilesi İndir yazıyorum. Umarım virüs bulaşmaz.
Aynı örneklerle başlamak istersiniz diye analiz ettiğim dosyayı buraya bırakıyorum. İndirmeyi sanal makineden yapmanız gerektiğini unutmayın.
İndirme Linki: https://cloud.mail.ru/public/2D6B/oKAx9fqqb
RAR Pass: 2020
Siteye Bırakılan VT Sonucu: https://www.virustotal.com/gui/file...90c2a114f1804b385ed5829ede99dcdf262/detection
Tekrardan söylüyorum. Kendi bilgisayarınıza kurmayın.
İlk olarak sitede verilmiş olan virüstotali inceleyelim.
Virüstotal kaydına baktığımızda dosyanın sütten çıkmış ak kaşık olduğunu görüyoruz. Acaba gerçekten de böyle mi yoksa başka bir dosyanın kaydını mı eklemişler? Bunu anlamak için dosyayı indirip kendimiz virüstotale ekliyoruz.
Görmüş olduğunuz gibi siteye farklı bir dosyanın virüstotal sonucunu bırakmışlar. Direkt gördüğü her VT sonucuna inanan kişilere trojan bulaştı bile. Virüstotal sonucunu tarayıp bırakmıyoruz. Birkaç noktaya daha değineceğim.
"BEHAVIOR" bölümüne girdiğimizde "Files Opened" kısmında dosya çalıştırıldığında nelerin açıldığını görüyoruz.
Görüldüğü üzere system32 de birçok dosya açmakta. Yazıların altındaki simgeye bastığımızda da devamını görebilmekteyiz
"Files Written" kısmında ise Administrator da bulunan \Temp\ bölümüne \$inst\2.tmp isminde dosya yazdırdığı görülmekte
"Registry Keys Opened" kısmında da dosyanın kendini nerelere anahtar olarak eklediği görülmekte.
Genel olarak Virüstotal ile işimiz bu kadardı. Sizin incelediğiniz herhangi bir dosyada göstermiş olduğum bölümlerde veya "DETAILS" kısmında daha farklı, daha belirleyici şeyler çıkabilir. Hızlı bir şekilde dosya hakkında bilgi toplama işlemine geçelim.
DETECT IT EASY
Kısaca "DIE" şeklinde adlandırdığımız Detect It Easy, bilgi toplama aşamasında kullanacağımız yazılım. Bu tarzda birçok yazılım mevcut fakat konumuza DIE ile devam edeceğiz.
İndirme Linki: http://ntinfo.biz/ [Bende 1.01 versiyonu var]
KULLANIMI
İlk olarak indirmiş olduğumuz DIE'yi çalıştırıyoruz. Ardından analiz edeceğimiz dosyayı programın üzerine sürükleyip bırakıyoruz. Aşağıda görmüş olduğunuz şekilde analizini yapıyor ve bize bilgiler veriyor.
Type bölümünde yazan "PE" (Portable Executable) dosyamızın hangi türünde olduğunu belirtiyor. Size bölümü ise dosyanın boyutunu belirtiyor. Bunların haricinde alt bölüme geçtiğimizde compiler bölümünün karşısında yazan "Borlan Delphi", dosyanın Delphi ile derlendiğini göstermekte.
"Statik Analiz" ve "Dinamik Analiz" olmak üzere iki çeşit analiz yöntemi bulunmakta.
Statik Analiz: Malware kontrolü yapılacak olan dosyayı çalıştırmadan direkt olarak kodlarını analiz ederek yapılan işlemdir.
Dinamik Analiz: Malware kontrolü yapılacak olan dosya çalıştırıldıktan sonra sistemdeki değişiklikler gözlemlenerek yapılan analiz işlemidir.
İlk olarak analiz esnasında problem yaşamamak adına sanal makinemizi kullanacağız. Çoğunlukla windows işletim sistemi kullanıldığı için ben de vmware içerisine kurmuş olduğum Win7'yi kullanacağım. Buradan sonraki konu başlıkları sırasıyla uygulamamız gereken aşamalar.
View hidden content is available for registered users!
VİRÜSTOTAL ANALİZİ
Çoğunlukla herhangi bir dosya indirme işleminden önce dosyanın virüstotal sonuçlarını isteriz. Baktığımızda da sadece "Detection" kısmına bakıp geçeriz. Peki bu zararlı yazılımımız tam olarak neler yapıyor? Hadi gelin beraber inceleyelim.
Öncelikle VT analizini yapabilmek için zararlı yazılım içeren bir dosya bulmalıyım. Bunun için sanal makinemde açmış olduğum Win7 sistemimde Opera'ya Zula Para Hilesi İndir yazıyorum. Umarım virüs bulaşmaz.
Aynı örneklerle başlamak istersiniz diye analiz ettiğim dosyayı buraya bırakıyorum. İndirmeyi sanal makineden yapmanız gerektiğini unutmayın.
İndirme Linki: https://cloud.mail.ru/public/2D6B/oKAx9fqqb
RAR Pass: 2020
Siteye Bırakılan VT Sonucu: https://www.virustotal.com/gui/file...90c2a114f1804b385ed5829ede99dcdf262/detection
Tekrardan söylüyorum. Kendi bilgisayarınıza kurmayın.
İlk olarak sitede verilmiş olan virüstotali inceleyelim.
Virüstotal kaydına baktığımızda dosyanın sütten çıkmış ak kaşık olduğunu görüyoruz. Acaba gerçekten de böyle mi yoksa başka bir dosyanın kaydını mı eklemişler? Bunu anlamak için dosyayı indirip kendimiz virüstotale ekliyoruz.
Görmüş olduğunuz gibi siteye farklı bir dosyanın virüstotal sonucunu bırakmışlar. Direkt gördüğü her VT sonucuna inanan kişilere trojan bulaştı bile. Virüstotal sonucunu tarayıp bırakmıyoruz. Birkaç noktaya daha değineceğim.
"BEHAVIOR" bölümüne girdiğimizde "Files Opened" kısmında dosya çalıştırıldığında nelerin açıldığını görüyoruz.
Görüldüğü üzere system32 de birçok dosya açmakta. Yazıların altındaki simgeye bastığımızda da devamını görebilmekteyiz
"Files Written" kısmında ise Administrator da bulunan \Temp\ bölümüne \$inst\2.tmp isminde dosya yazdırdığı görülmekte
"Registry Keys Opened" kısmında da dosyanın kendini nerelere anahtar olarak eklediği görülmekte.
Genel olarak Virüstotal ile işimiz bu kadardı. Sizin incelediğiniz herhangi bir dosyada göstermiş olduğum bölümlerde veya "DETAILS" kısmında daha farklı, daha belirleyici şeyler çıkabilir. Hızlı bir şekilde dosya hakkında bilgi toplama işlemine geçelim.
DETECT IT EASY
Kısaca "DIE" şeklinde adlandırdığımız Detect It Easy, bilgi toplama aşamasında kullanacağımız yazılım. Bu tarzda birçok yazılım mevcut fakat konumuza DIE ile devam edeceğiz.
İndirme Linki: http://ntinfo.biz/ [Bende 1.01 versiyonu var]
KULLANIMI
İlk olarak indirmiş olduğumuz DIE'yi çalıştırıyoruz. Ardından analiz edeceğimiz dosyayı programın üzerine sürükleyip bırakıyoruz. Aşağıda görmüş olduğunuz şekilde analizini yapıyor ve bize bilgiler veriyor.
Type bölümünde yazan "PE" (Portable Executable) dosyamızın hangi türünde olduğunu belirtiyor. Size bölümü ise dosyanın boyutunu belirtiyor. Bunların haricinde alt bölüme geçtiğimizde compiler bölümünün karşısında yazan "Borlan Delphi", dosyanın Delphi ile derlendiğini göstermekte.
View hidden content is available for registered users!
ANY RUN
Any Run, çevrimiçi bir şekilde dosya analizi yapmamızı sağlayan bir site. Basit bir şekilde analiz yapmak isteyenler için gayet kullanışlıdır.
KULLANIMI
İlk olarak app.any.run sitesine gidiyoruz. Üyelik oluşturmamız gerekmekte. Alttaki görselde kırmızı renkle işaretlediğim bölümden kayıt olup giriş yapmalısınız. Mail onayı yapıldığından dolayı kendi mailinizi girin.
Daha sonra üstteki görselde sol üstte bulunan + sembolüne tıklıyoruz ve altta bulunan bölüm karşımıza geliyor.
Kırmızı ile işaretlediğim bölümden analizini yapacağımız dosyayı seçiyoruz ve bekliyoruz. Önceki adımlarda analiz etmiş olduğumuz dosyanın analizinde fazla bir şey çıkmadığı için daha anlaşılır olması adına farklı bir dosyayı analiz edeceğim.
İlk olarak alttaki bölümle başlayacağım. Analiz ettiğimiz yazılımın çalıştırıldığı andan itibaren kurmuş olduğu tüm bağlantıların göründüğü bölüm. "HTTP REQUEST" sekmesinde dosyanın http isteklerini yaptığı urller görülmekte.
"CONNECTION" sekmesine bakacak olursak TCP protokolü ile Domain kısmında görülen adreslere veri gönderdiğini görüyoruz. Bu isteklerin üzerine tıkladığımızda gönderilen verilerin daha detaylı şeklini görebilirsiniz.
Sağ tarafta bulunan "PROCESS"sekmesine geçiyorum.
Burada uygulamamızın çalıştırıldığı andan itibaren yapmış olduğu işlemler ve uygulamamız hakkında bilgi edindiğimiz bölüm bulunmakta. Setup_Instaripper şeklinde gördüğümüz bölümdeki simgelere bakacak olursak dosyamızın ağ bağlantısı yaptığı görülmekte. Simgelerin sağında bulunan kırmızı çubukta programın ne kadar riskli olduğunu göstermekte. Bizim programımız bayağı riskliymiş.
Üstteki information bölümünün çıkması için Setup_Instaripper ın üzerine tıklıyoruz. Programın yaptığı önemli kısımlar burada görülmekte. Sizin analiz ettiğiniz farklı uygulamalarda burada Danger ve Warning bölümleri görülecek. Tam işlemleri o kısımdan görebilirsiniz. "More İnfo" butonuna tıklıyorum.
Bu bölümde de programın hangi dosyalar ile işlem yaptığı, registry işlemleri detaylıca görülmekte. Bu bölümden dosyayı Virüstotal'e yükleyip kontrol edebilirsiniz.
Any Run, çevrimiçi bir şekilde dosya analizi yapmamızı sağlayan bir site. Basit bir şekilde analiz yapmak isteyenler için gayet kullanışlıdır.
KULLANIMI
İlk olarak app.any.run sitesine gidiyoruz. Üyelik oluşturmamız gerekmekte. Alttaki görselde kırmızı renkle işaretlediğim bölümden kayıt olup giriş yapmalısınız. Mail onayı yapıldığından dolayı kendi mailinizi girin.
Daha sonra üstteki görselde sol üstte bulunan + sembolüne tıklıyoruz ve altta bulunan bölüm karşımıza geliyor.
Kırmızı ile işaretlediğim bölümden analizini yapacağımız dosyayı seçiyoruz ve bekliyoruz. Önceki adımlarda analiz etmiş olduğumuz dosyanın analizinde fazla bir şey çıkmadığı için daha anlaşılır olması adına farklı bir dosyayı analiz edeceğim.
İlk olarak alttaki bölümle başlayacağım. Analiz ettiğimiz yazılımın çalıştırıldığı andan itibaren kurmuş olduğu tüm bağlantıların göründüğü bölüm. "HTTP REQUEST" sekmesinde dosyanın http isteklerini yaptığı urller görülmekte.
"CONNECTION" sekmesine bakacak olursak TCP protokolü ile Domain kısmında görülen adreslere veri gönderdiğini görüyoruz. Bu isteklerin üzerine tıkladığımızda gönderilen verilerin daha detaylı şeklini görebilirsiniz.
Sağ tarafta bulunan "PROCESS"sekmesine geçiyorum.
Burada uygulamamızın çalıştırıldığı andan itibaren yapmış olduğu işlemler ve uygulamamız hakkında bilgi edindiğimiz bölüm bulunmakta. Setup_Instaripper şeklinde gördüğümüz bölümdeki simgelere bakacak olursak dosyamızın ağ bağlantısı yaptığı görülmekte. Simgelerin sağında bulunan kırmızı çubukta programın ne kadar riskli olduğunu göstermekte. Bizim programımız bayağı riskliymiş.
Üstteki information bölümünün çıkması için Setup_Instaripper ın üzerine tıklıyoruz. Programın yaptığı önemli kısımlar burada görülmekte. Sizin analiz ettiğiniz farklı uygulamalarda burada Danger ve Warning bölümleri görülecek. Tam işlemleri o kısımdan görebilirsiniz. "More İnfo" butonuna tıklıyorum.
Bu bölümde de programın hangi dosyalar ile işlem yaptığı, registry işlemleri detaylıca görülmekte. Bu bölümden dosyayı Virüstotal'e yükleyip kontrol edebilirsiniz.
Basit bir şekilde zararlı yazılım analizi böyle yapılmakta. Bu konularda henüz gelişim aşamasındayım. Bu bakımdan anlatımım çok iyi olmayabilir. Şuana kadar öğrendiğim her şeyi sizlere aktarmaya çalıştım. Umarım faydası olur.
Tekrardan hatırlatmam gerekirse bu işlemlerin tamamını sanal makineniz üzerinden uygulayınız. Konu içerisinde vermiş olduğum zararlı dosyanın sorumluluğu bana ait değildir. Konuyu beğenmeyi ve mesaj atmayı unutmayın
.
Last edited:
