Sunumda Ransomware tehditlerinin teknik analizleri ve farklı bir koruma yöntemi ile bu zararlılara karşı dokümanların nasıl korunabileceği anlatılmaktadır.
Sunumda Ransomware tehditlerinin teknik analizleri ve farklı bir koruma yöntemi ile bu zararlılara karşı dokümanların nasıl korunabileceği anlatılmaktadır.
İstanbul Şehir Üniversitesi - Windows 7 Ortamında Zararlı Yazılım Analizi - Bilgi Güvenliği Mühendisliği Yüksek Lisans Programı - Bilgisayar Adli Analizi Dersi
Hazırlayan: Hasan Ekşi
12.04.2012 Tarihinde Çorlu Namık Kemal Üniversitesi ev sahipliğinde, Gökmen Güreşçi tarafından düzenlenen İnternet Haftası etkinliklerinde LabSec Community olarak yerimizi aldık.
İstanbul Şehir Üniversitesi - Windows 7 Ortamında Zararlı Yazılım Analizi - Bilgi Güvenliği Mühendisliği Yüksek Lisans Programı - Bilgisayar Adli Analizi Dersi
Hazırlayan: Hasan Ekşi
12.04.2012 Tarihinde Çorlu Namık Kemal Üniversitesi ev sahipliğinde, Gökmen Güreşçi tarafından düzenlenen İnternet Haftası etkinliklerinde LabSec Community olarak yerimizi aldık.
DDoS Saldırıları ve Benzetim TeknikleriOğuzcan Pamuk
GTU Ağ ve Bilgi Güvenliği dersi kapsamında hazırlamış olduğum dönem projesi dökümanıdır. Temel DDoS bilgilerini ve literatür incelemesini içermektedir. Dökümanı okuyanların temel bilgi edinmesi ve saldırı yapabilecek seviyeye gelmesi hedeflenmektedir.
GTU Bilgisayar Mühendisliği Bitirme Projesi-2 kapsamında hazırlamakta olduğum projenin ara değerlendirme raporudur. Projenin neleri içerdiği, başarı kriterleri ve konu hakkında bilgileri içermektedir.
Gebze Teknik Üniversitesi Bitirme Projesi 2 (BIL 496) kapsamında geliştirmekte oldum DDoS Benzetimi projesi için hazırlamış olduğum ön sunum dosyasıdır.
2. AJANDA
▸ Zararlı yazılım nedir ?
▸ Zararlı yazılım nasıl bulaşabilir ?
▸ Analiz türleri
▸ Dinamik zararlı yazılım analizine giriş
▸ Sysmon nedir ? Nasıl kullanılır ?
▸ Temel seviyede örnekler
3. ZARARLI YAZILIM NEDİR ?
▸ Zararlı yazılım; bilgisayar sistemlerine sızmak yada zarar
vermek amacıyla kullanılan her türlü yazılım ürünüdür.
▸ Karmaşık yada basit kodlar halinde bulunabilirler.
▸ Farklı türde birçok dosya yoluyla bulaşabilir ve
yayılabilirler.
4. ZARARLI YAZILIM BULAŞMA YOLLARI
▸ Mail yoluyla gönderilen pdf,exe,py,sh gibi farklı dosyaların
indirilip açılması (sosyal mühendislik)
▸ Pdf dosyasına gömülen zararlı javascript kodları
▸ Office dökümanlarına gömülen makro yazılımları
▸ Dosya paylaşımları
▸ Tarayıcı eklentileri
5. ZARARLI YAZILIM ANALİZ TEKNİKLERİ
▸ Statik analiz
Kod seviyesinde yapılan analiz (disassembler)
▸ Dinamik analiz
Davranış analizi
6. DİNAMİK ZARARLI YAZILIM ANALİZİ - SYSMON (SYSTEM MONITOR)
▸ Windows işletim sistemi üzerinde çalışır
▸ Dinamik zararlı yazılım analizinde kullanılır
▸ Loglara nasıl ulaşabiliriz ?
Windows Event Viewer - Microsoft / Sysmon /
Operational
7. DİNAMİK ZARARLI YAZILIM ANALİZİ - SYSMON (SYSTEM MONITOR)
▸ Hangi bilgileri edinebiliriz ?
Process creations
File modifications
Network connections
Process hash value
Parent - child process
15. ÖRNEK 1 - TANIM
▸ X şirketinde, çalışanlardan biri internet üzerinde arama
yaparken bir word (Office uygulaması) dosyası indirir ve
onu çalıştırır. Şirketin siber güvenlik birimi Sysmon
üzerinde office protokolünün yeni ve tanımlanamayan bir
process ürettiğini görür ve bu durumu yorumlamaya çalışır.
▸ Muhtemel sorular;
Office dökümanının yeni bir process oluşturması normal
midir ?
Oluşan bu process makine üzerinde ne gibi bir işlem
gerçekleştirmektedir ?
16. ÖRNEK 2 - TANIM
▸ Y şirketinde çalışan güvenlik görevlisi mesai saatleri
dışında kendine tahsis edilen bilgisayarı kullanarak, yasal
olmayan bir web sitesinden süper lig maçı izlemek ister.
Fakat bu yasal olmayan web sitesine girmeye çalıştığında,
site üzerinden anlamlandırılamayan bir dosya iner. Görevli
dosyanın ne olduğunu merak eder ve bu dosyaya tıklar.
Nöbetçi olarak bekleyen siber güvenlik analisti Sysmon
üzerinden bir betik process’inin işletim
sisteminde .encrypted uzantılı yeni dosyalar
oluşturduğunu görür.
▸ Bu zararlı yazılım ne gibi bir işleve sahip olabilir ?
17. ÖRNEK 3 - TANIM
▸ Z kurumsal şirketinde çalışan biri, kurumsal e-posta
adresini kullanarak, yeni bir sosyal medya hesabı açar.
Hacker ise bu sosyal medya üzerinden kişinin e-posta
adresine ve mesleğine ulaşır. Bu bilgileri kullanarak e-
posta adresine sosyal mühendislik tekniklerini kullanarak
yeni bir e-posta gönderir. E-posta içeriğini gören çalışan,
durumu anlamaz ve ekte bulunan betiği çalıştırır. Çalışan
betik yeni bir Scheduled Task oluşturur.
▸ Bu zararlı yazılımın amacı ne olabilir ? Tartışalım.