RSS feed
<< Tikiwiki 1.9.8.3 tiki-special_chars.php XSS Vulnerability | Home | Juniper Networks Netscreen SSG-X 3 >>

Temel Düzeyde Malware Analizi / Araçları

Malware'ların içlerine dalalım!

1.Ön Bilgi
2.Hakkında
3.Statik Analiz
4.Dinamik Analiz
      4.1.Registry İncelemesi
      4.2.Dosya Aktiviteleri
      4.3 Network Aktiviteleri
      4.4 Process Analizi
5.Makale Sonu

      
1.Ön Bilgi
Bu yazımızda, temel düzeyde dinamik malware analizinin nasıl yapılabileceğinden bahsedeceğiz, ilgili araçları tanıtacağız.
Genel olarak, malware analizi dinamik ve statik olmak üzere iki şekilde yapılır.Statik analiz ile kasıt, yazılımın çalıştırılmadan, "dead listing" denilen reverse engineering yöntemleriyle ,yani programin dissassembly çıktısı olsun, resource hacker vb. programlar aracılığı ile içinde gömülü olan şeyleri araştırma gibi yöntemlerdir.
Bizim bu yazıda daha çok bahsedeceğimiz ise dinamik analiz olacak, yani program aktifken yaptığı işleri kontrol ederek "malware" olup olmadığına karar vereceğiz ya da ne yaptığını detaylı olarak inceleyebileceğiz. Haricinde "debugging" de bir dinamik analiz metodudur. Fakat yazıda reverse engineering yöntemlerine değinilmeyeceği için makale incelenmeyecektir.

Aslında her ne kadar bizim yapacağımız nacizane analizler yerine, anti-virus, firewall , spyware vb çözümler kullanarak genellikle bu tür malware'leri tespit edebilecek olsanız da, genel olarak malware'lerin nasıl çalıştığını merak eden, ne gibi karakteristik özellikleri olduğunu öğrenmek isteyen, ve şüphelendiği dosyayı az-çok kurcalamak isteyen insanlar için faydalı olacaktır.

2.Hakkında
Yazar : Mesut TİMUR (mesut@h-labs.org)
Konular/Keywordler : malware ,trojan , virus, zararlı program tespiti
Seviye : Orta Düzey(Son Kullanıcı)
Tarih : 25 Aralık 2007

3.Statik Analiz
Genel olarak, değerlendirmelerin çalıştırılmayan, yani şüphelenilen uygulamanın durgun hali üzerine yapılan analizlerdir. Temel konseptleri için :
Executable dosya içerisinde geçen stringleri incelemek, çalışması için gerekli dll dosyalarını, derlendiği platform ve yazıldığı dili kavramak ,disassembly yani makine kodunu alıp biraz daha okunabilir hal olan ilgili işlemcinin assembler koduna çevirme, yapılabiliyorsa decompilation, packlenmişse unpacking vb işlemleri kapsayan başlıktır.Kod obfuscation ya da encryption gibi yöntemler çokça kullanılır ve analiz sürecini geciktirir/engeller.
Zaman zaman amatör malware'leri analiz ederken statik analizde çokça yararlı bilgi edinilebilmektedir. 1-2 yıl kadar önce "sms programı" adı altında dağıtılan bir keyloggerın yaptığı kayıtları yolladığı bir php scriptini, ve adresini bu yöntemle çok rahat tespit edebilmiştim.İşin komik yanı, keylogger'ı yazan arkadaş kendi nickiyle açtığı bir sub-domain'e kayıtları yönlendirmesiydi.
Haricinde belki de statik analizde en faydalı olan şeylerden biri, ilgili malware ile ilgili olarak nette araştırma yapmak.


bintext Örneğin foundstone'un BinText isimli yazılımı bu işi başarıyla yapmakta.Verilen binary dosya içerisindeki ASCII text, Unicode ve Resource stringleri döndürebiliyor.
Örnekte ve tabii ki resimden de görülebileceği üzere, browse butonu ile kendisini gösterip Go'ya tıkladığımda programın hemen her yerinde geçen stringleri döndürdü, resimde ise sadece help'teki bilgilerin olduğu yeri gösterdim.

4.Dinamik Analiz
Kısacası malware'imiz çalışırken yapılan analizlerdir.Malware'in çalıştığı ortama etkisi, ortam değişkenlerine bağlı davranışları vs incelenir. Malware'in aktif olarak çalışacağı için, sisteminize zarar verme riskine karşı mantıklı olan VMware üzerinde bu işlemi gerçekleştirmektir.Dinamik analizin esas olayı, malware'in nasıl çalıştığından daha çok tam olarak ne yaptığıdır.
Dinamik analiz genel olarak 4 farklı koldan gerçekleştirilebilir.
4.1.Registry İncelemesi : Malware'in, registry'e yazdığı bilgilerin aynı zamanda bir text dosyasına kayıt edilmesi, belli filtera göre kayıt edilmesi ve sakladığı bilgilerin ortaya çıkmasıyla birlikte belli bir miktar bilgi sahibi olmak. Bu iş için biçilmiş kaftan tabii ki yıllardır bilinen/kullanılan RegMon'dur.
 regmon  Regmon Gerçek zamanlı olarak hangi executable dosyanın hangi registry key'ine ulaştığını, o key ile ilgili ne gibi bir işlem yaptığını (açmak, kapamak, okumak, yazmak) , işlem sonucunu gösterebilmektedir.
Malware'ler ise, daha sonra kullanmak istedikleri bazı bilgileri saklamak ya da windowsun yeniden açıldığında tekrar aktif hale gelmesi için otomatik olarak çağırılması ile ilgili ayarlamalar yapıyor olabilir. Onun için şüpheli binary dosyanın registry işlemleri kesinlikle incelenmelidir.
Regmonun çalışma mantığı temel olarak hafızaya bir device driver yükleyip, registry ile ilgili servislere giden çağrıları hook etmek, yani çağrılar ile servis arasında girip gelip-giden istekleri görebilmektedir.

4.2 Dosya Aktiviteleri : Yine aynı şekilde malware'lar, dosyalarda önemli veriler tutuyor ya da bazı kontrolleri dosyaları sayesinde gerçekleştiriyor olabilirler. Bundan dolayı onların dosyalarla olan aktivitelerini incelemek bize çok faydalı bilgiler sağlayabilir.
Bu iş için de, yine SysInternals'in bir yazılımı olan FileMon kullanılabilir.FileMon da RegMon gibi hangi processin hangi dosya ile işlem yaptığını, ne gibi bir işlem yaptığını vb aktiviteleri monitor etmekte oldukça başarılı.

tcpview 4.3 Network Aktiviteleri : Hangi portların açık olduğunu, hangi process'in hangi porttan iletişim yaptığını, hangi ip ile iletişimde olduğunu merak edebilir ve hatta bu iletişimin içeriğinin ne olduğunu bilmek isteyebilirsiniz. Bu durumda, yine SysInternals'ten TCPView yazılımını tavsiye edeceğim. Yalnız aynı zamanda trafiğin içeriğini merak ediyorsanız, sisteminize bir sniffer kurmanız gerekecek ve bu sefer da nacizane tavsiyem Wireshark olacak.
Network aktivitelerinin incelenmesi,malware analizinin belki de en kilit noktalarından biridir ki şüpheli bir dosyanın trojan olup olmadığını bu şekilde anlayabilirsiniz.
4.4 Process Analizi
Bu yazıyı yazma sebebim olan konu başlığına geldik.Şüpheli bir dosyanın kullandığı kaynaklar , yukarıda saydığımız tüm aktivitelerini birden izleme, process threadleri hakkında bilgi, performans ve ilgili graphleri görebilme, processlerin priority(öncelik)leriyle oynayabilme, process'i kapatabilme, çalışan process'in tam yolu ve bir dolu daha özellik.

Process Explorer, tüm bu saydıklarımı yapabiliyor.
Haricinde, dinamik analiz için iDefense Labs'in Malcode Analysis Pack'i de kullanabilir. Haricinde malware analizi için sayfalarında detaylı bilgi bulunabilir.
 
Genel olarak, dinamik analizin temel konseptleri ve ilgili araçlar da bunlar.
Tüm bu araçlar tanıtıktan sonra klasik malware analiz metodolojisi :

  1. Kontrollü bir ortam sağlanması
  2. Bilgi Toplama
  3. Statik ve Dinamik Analiz
  4. Bilgilerin derlenmesi ve yorum

5.Makale Sonu

Her ne kadar farklı şeyler anlatmak istesem de araç tanıtımının dışına pek çıkamadım bu yazıda, şimdilik bu kadar makalenin alacağı ilgi ve tepkiye göre devamı niteliğinde bir şeyler yazarız. Şiddetle yorum ve yönlendirmelerinizi bekliyorum.

Tags :
Responses[5] RSS feed for responses to this blog entry
Posted by Mesut TİMUR on 25 Aralık 2007 Salı 02:26:13 EET#


Reply

Re: Temel Düzeyde Malware Analizi / Araçları

Comment from warex on 25 Aralık 2007 Salı 11:48:43 EET#
Filemon ve Regmon yerine, Procmon'un kullanilmasi iyi olabilir.
Process Monitor sayfasi
Reply

Re: Temel Düzeyde Malware Analizi / Araçları

Comment from Erkan Tuğral on 25 Aralık 2007 Salı 14:14:38 EET#
Statik analiz araçları için PE Explorer (deneme sürümü)(http://www.heaventools.com/download-pe-explorer.htm) çok yararlı bir programdır. Gerek binary içeriğinin görülebilmesi gerekse yaygın kullanılan paketleyicileri (UPX v.b.) açabilmesi gibi çok yararlı özellikleri var.Sözünü etmeden geçmek olmaz kanımca. Bir de dosyanın hangi paketleyici ile paketlendiği bilgisini veren Peid (http://www.peid.info) de oldukça yararlı bir araçtır. Dinamik analiz için ise hazır online bir analiz ortamı olan Anubis (http://analysis.seclab.tuwien.ac.at)' i kullanmak çok daha kolay bir analiz imkanı sunacaktır.
Reply

Biraz daha baştan...

Comment from taylan aktepe on 25 Aralık 2007 Salı 14:55:15 EET#
Gerçekten güzel bir yazı olumuş. Oyleki blogumada alıntı yaptım ve bağlantı verdim. Bu gibi konularda Türkçe bilgi bulmak gerçekten zor. Tamamen Türkçe ve İngilizce kaynaklara yönlendirme yapılmadan çok güzel hazırlanmış. Ancak bir isteğim olacak biraz daha giriş seviyesinden alsanız çok memnun olurum. Bu malware ve hatta spyware ve virüs nedir, ne iş yapar. Bu üç konuda ki bilgiler heryerde aynı ezbere cümlelerle açıklanıyor ve hiç de yeterli olmuyor. Bu konunun devamını da şahsen takip ediyorum, çok teşekkürler..
Reply

Re: Temel Düzeyde Malware Analizi / Araçları

Comment from Mesut TİMUR on 25 Aralık 2007 Salı 15:10:36 EET#

Haklısınız artık Procmon kullanılmalı,makalenin sonunda bahsedecektim fakat unutmuşum,makaleyi birkaç saat içinde yayınladım.Haricinde malware-spyware gibi tanımlarda makalenin sonuna eklenecektir.

Yorumlarınız ve katkılarınız için teşekkürler..

Reply

Re: Temel Düzeyde Malware Analizi / Araçları

Comment from Dite on 02 Ocak 2008 Çarşamba 22:05:34 EET#
Unutulmamalıdır ki bu araçlarla %100 güvenilir bir araştırma yapmak mümkün değildir. Bu savı başka bir örnekle açıklamanın daha iyi olacağını düşünüyorum. Yıllar önce F-Prot "mükemmel emulatör"'ünün yazılmış ve yazılabilecek tüm viruslere karşı mutlak bir koruma sağlayacağını düşünüyordu. Birgün bir programcı intel'in invalid opcode trap'ini test etmek için bir opcode kullandığını keşfetti ve bunu emulatör ile gerçek pc'i bir birinden ayıran bir virus'te kullandı :)

Add a comment Send a TrackBack