1. Zararlı Yazılım Analizi
“işte bunlar hep mikrop”
Alper Başaran
alper@sparta.com.tr
Alper Başaran - alper@sparta.com.tr
Bu slaytlar temel seviye statik zararlı yazılım analizi için
SOME (Siber Olaylara Müdahale Ekibi) üyelerinin işine yarayabilecek bazı araçları ele alır.
3 günlük zararlı yazılım analizi eğitiminden derlenen bazı slaytlardan ibarettir.
Kapsamlı bir eğitim dokümanı olarak düşünülmemelidir.
2. Alper Başaran
• Deneyim alanları;
• Penetrasyon testi
• Olay müdahalesi
• Siber tehdit avcılığı
• SOME kurulumu, tatbikatları ve danışmanlığı
• İletişim:
• Email: basaranalper@gmail.com
• Twitter: basaranalper
• Web sayfası: alperbasaran.com
Alper Başaran - alper@sparta.com.tr
4. Siber Ölüm Zinciri
Bilgi Toplama
• Pasif bilgi
toplama
• Kuruluş
şemaları
• IP adresleri
• Port
taramaları
• İnternet
servis
sağlayıcısı
bilgileri
• Dışarıya
dönük
sistemler
• ...
Silahlandırma
• İstismar
kodunun
hazırlanması
• Zararlı yazılım
• Ambalaj
Teslimat
• Hedefli
oltalama
saldırısı
(spear
phishing)
• Zararlı içerikli
web sayfası
• İnternet
servis
sağlayıcısı
İstismar
• Kodun
çalıştırılması
• Hedef
sistemle
bağlantı
kurma
• Üçüncü
tarafların
istismarı
Kurulum
• Trojan veya
arkakapı
• Kalıcı erişim
kurabilme
• Yetki
yükseltme
• Kullanıcı
adlarını ve
parolaları
çalma
Komuta ve
kontrol
• Hedefle
iletişim
yolunun
açılması
• Yatay hareket
• İç ağda bilgi
toplama
• Erişimi kalıcı
hale getirme
Hedef üzerinde
işlemler
• Derinleşme
• Bağlantıyı ve
erişimi kalıcı
hale getirecek
ek yöntemler
• Veri sızdırma
1 2 3 4 5 6 7
Alper Başaran - alper@sparta.com.tr
7. STUXNET
• STUXNET: Siemens otomasyon sistemlerini hedef alan solucan
• 500KB dosya
• 4 adet Windows 0-day açığından faydalanıyor
• MS 08-067’yi de istismar edebiliyor
• Jmicron ve Realtek firmalarının geçerli sertifikalarıyla imzalanmış
Alper Başaran - alper@sparta.com.tr
8. STUXNET
USB Bellek üzerinden
LNK istismarı ile DLL
Çalıştırma
Windows Task Scheduler
Zafiyeti ile yetki yükseltme
Klavye dili ayarı üzerindeki
zafiyet ile yetki yükseltme
Yazıcı Spooler yazılımı zafiyeti
ile ağdaki diğer sistemlere yayılma
1
2
3
4
Alper Başaran - alper@sparta.com.tr
9. STUXNET
“Step 7” Yazılımı olan
kontrol bilgisayarına
bulaşıyor
PLC Sistemi istismarı
Santrifüj devre dışı bırakılıyor
5
6
7
Alper Başaran - alper@sparta.com.tr
10. Cleaver
• İlk sızma: SQL injection, web sunucusu veya sosyal mühendislik
• İç ağda yayılma MS 08-067 gibi yaygın olarak bilinen zafiyetlerle
oluyor (0 gün açığı yok)
• Hedefe özel ikinci saldırı zararlısı uzaktan yüklenebiliyor
• Enerji ve telekom gibi kritik altyapıları hedef alıyor
Alper Başaran - alper@sparta.com.tr
11. Volatile Cedar
• 2012 Kasım ayından beri var
• Gizliliğe önem verilmiş
• 3 kademeli komuta yapısı
• Lübnan (!) kaynaklı
Alper Başaran - alper@sparta.com.tr
12. Volatile Cedar
• Gizliliğe önem verilmiş
• Düzenli olarak antivirüslerle kontroller yapılıyor
• Dikkat çekmemek için CPU kullanımı sınırlandırılmış
• API işlevleri ile Trojan ayrı dosyalarda oluşturulmuş
• Trojan davranışları hedefin çalışma saatlerine göre ayarlanmış
Alper Başaran - alper@sparta.com.tr
13. Volatile Cedar
• 3 kademeli komuta yapısı
Alper Başaran - alper@sparta.com.tr
15. APT Zararlıları
• Poison Ivy
• Çin ve Orta Doğu’lu saldırganlar tarafından yaygın olarak kullanılıyor
• Büyük ölçüde programlanabilir
• Klavye hareketleri, kamera görüntüleri, trafik isleme/yönetme, parola çalma,
dosya gönderme
Alper Başaran - alper@sparta.com.tr
25. Zararlı Yazılımın Amacı
• Ağ veya sistemlerinizde bulunan zararlı yazılımlara DOĞRU şekilde
müdahale etmek
• Tam olarak ne olduğunu anlamak
• Zararlının bulaştığı BÜTÜN makineleri tespit etmek
• Zararlının kullandığı bulaşma/yayılma tekniklerini anlamak
• İmza oluşturmak
Alper Başaran - alper@sparta.com.tr
26. Bulaşma Vektörleri
Başka programa
bulaşıyor
Exe dosyası
Zararlı Kod
Program olarak
görünüyor
Başka programın
içinde gizli
Çekirdek seviyesi
Boot bölgesini
etkiliyor
Alper Başaran - alper@sparta.com.tr
28. Zararlı Yazılım Analizi Teknikleri
• Temel statik analiz
• Dosya zararlı mı?
• Temel dinamik analiz
• Zararlı ne yapıyor?
• İleri statik analiz
• Tersine mühendislik ile zararlıyı anlamak
• İleri dinamik analiz
• Çalışan zararlının ayrıntılı incelemesi
Alper Başaran - alper@sparta.com.tr
30. Zararlı Yazılım Analizi: Genel Kurallar
• Detaylarda fazla boğulmayın
• Tek bir geçerli analiz yaklaşımı yok
• Zararlı yazılımlar sürekli değişiyor
Alper Başaran - alper@sparta.com.tr
31. Basit Statik Analiz
• Zararlı yazılımın parmak izi
• HASH değeri
• Nasıl alınır?
• Nasıl kullanılır?
• Etiket olarak
• Başka kaynaklardan araştırma yapmak için
Alper Başaran - alper@sparta.com.tr
37. DLL’leri Okumak
DLL Adı Fonksiyonlar
Kernel32.dll Hafıza, dosya ve donanıma müdahale edebilir
Advapi32.dll Registry’de değişiklik yapmak gibi ileri seviye fonksiyonlar
User32.dll Kullanıcı arabirimi bileşenlerini içerir
Gdi32.dll Grafik işlevler
Ntdll.dll Normalde Kernel32.dll tarafından çağrılır. Doğrudan çağırılmış olması kötü niyete işaret
edebilir
WSock32.dll Ağ erişimi için kullanılır
Wininet.dll FTP, HTTP ve NTP gibi üst seviye protokolleri içerir
msvcrt.dll Standart C kütüphanesi (printf, memcpy, vb.)
Alper Başaran - alper@sparta.com.tr
38. Windows Fonksiyonları
• accept: Gelen bağlantıları kabul eder
• AttachThreadInput: Başka bir process’e bağlanabilir (örn. Keylogger)
• bind: Gelecek bağlantıları dinlemeye başlar
• CheckRemoteDebuggerPresent: Debugger var mı?
• connect: Dışarıda bir sisteme bağlanır
• ControlService: başka bir servisi kontrol eder (başlat, kapat, vb.)
• CreateFile: var olan bir dosyayı açar
• CreateMutex: mutual exclusion object ile aynı zararlının sadece bir kez bulaşması sağlanır (Morris
Worm)
• inet_addr: IP adreslerini “connect” gibi başka fonksiyonlar tarafından kullanılabilir hale getirir
• InternetOpen: İnternet bağlantısı açar (user agent bilgisi gönderebilir)
• NetShareEnum: Paylaşımdaki klasörleri listeler
• send: Uzaktaki bir makineye veri gönderir
Alper Başaran - alper@sparta.com.tr
39. Sandbox Çözümleri?
• Bazı zararlı yazılımlar sanal makineleri tespit edebiliyor
• Bazı zararlı yazılımlar belli registry değerlerini arıyor
• Sandbox ortamı gerçek ortamı yansıtmayabilir
• DLL formatındaki zararlı yazılımları çalıştırmakta zorlanabilir
• .vbs zararlılarını çalıştırmakta zorlanabilir
Alper Başaran - alper@sparta.com.tr