Bu slaytlar temel seviye statik zararlı yazılım analizi için SOME (Siber Olaylara Müdahale Ekibi) üyelerinin işine yarayabilecek bazı araçları ele alır.
Başaran - [email protected] Bu slaytlar temel seviye statik zararlı yazılım analizi için SOME (Siber Olaylara Müdahale Ekibi) üyelerinin işine yarayabilecek bazı araçları ele alır.
Kuruluş şemaları • IP adresleri • Port taramaları • İnternet servis sağlayıcısı bilgileri • Dışarıya dönük sistemler • ... Silahlandırma • İstismar kodunun hazırlanması • Zararlı yazılım • Ambalaj Teslimat • Hedefli oltalama saldırısı (spear phishing) • Zararlı içerikli web sayfası • İnternet servis sağlayıcısı İstismar • Kodun çalıştırılması • Hedef sistemle bağlantı kurma • Üçüncü tarafların istismarı Kurulum • Trojan veya arkakapı • Kalıcı erişim kurabilme • Yetki yükseltme • Kullanıcı adlarını ve parolaları çalma Komuta ve kontrol • Hedefle iletişim yolunun açılması • Yatay hareket • İç ağda bilgi toplama • Erişimi kalıcı hale getirme Hedef üzerinde işlemler • Derinleşme • Bağlantıyı ve erişimi kalıcı hale getirecek ek yöntemler • Veri sızdırma 1 2 3 4 5 6 7 Alper Başaran - [email protected]
500KB dosya • 4 adet Windows 0-day açığından faydalanıyor • MS 08-067’yi de istismar edebiliyor • Jmicron ve Realtek firmalarının geçerli sertifikalarıyla imzalanmış Alper Başaran - [email protected]
mühendislik • İç ağda yayılma MS 08-067 gibi yaygın olarak bilinen zafiyetlerle oluyor (0 gün açığı yok) • Hedefe özel ikinci saldırı zararlısı uzaktan yüklenebiliyor • Enerji ve telekom gibi kritik altyapıları hedef alıyor Alper Başaran - [email protected]
kontroller yapılıyor • Dikkat çekmemek için CPU kullanımı sınırlandırılmış • API işlevleri ile Trojan ayrı dosyalarda oluşturulmuş • Trojan davranışları hedefin çalışma saatlerine göre ayarlanmış Alper Başaran - [email protected]
saldırganlar tarafından yaygın olarak kullanılıyor • Büyük ölçüde programlanabilir • Klavye hareketleri, kamera görüntüleri, trafik isleme/yönetme, parola çalma, dosya gönderme Alper Başaran - [email protected]
Lua dilinde yazılmış “Stuxnet’i analiz etmemiz ve anlamamız 6 ayımızı aldı. Flame’i tam olarak çözmemiz 10 yılı bulur” - Kaspersky analisti Gostev Alper Başaran - [email protected]
DOĞRU şekilde müdahale etmek • Tam olarak ne olduğunu anlamak • Zararlının bulaştığı BÜTÜN makineleri tespit etmek • Zararlının kullandığı bulaşma/yayılma tekniklerini anlamak • İmza oluşturmak Alper Başaran - [email protected]
zararlı mı? • Temel dinamik analiz • Zararlı ne yapıyor? • İleri statik analiz • Tersine mühendislik ile zararlıyı anlamak • İleri dinamik analiz • Çalışan zararlının ayrıntılı incelemesi Alper Başaran - [email protected]
müdahale edebilir Advapi32.dll Registry’de değişiklik yapmak gibi ileri seviye fonksiyonlar User32.dll Kullanıcı arabirimi bileşenlerini içerir Gdi32.dll Grafik işlevler Ntdll.dll Normalde Kernel32.dll tarafından çağrılır. Doğrudan çağırılmış olması kötü niyete işaret edebilir WSock32.dll Ağ erişimi için kullanılır Wininet.dll FTP, HTTP ve NTP gibi üst seviye protokolleri içerir msvcrt.dll Standart C kütüphanesi (printf, memcpy, vb.) Alper Başaran - [email protected]
Başka bir process’e bağlanabilir (örn. Keylogger) • bind: Gelecek bağlantıları dinlemeye başlar • CheckRemoteDebuggerPresent: Debugger var mı? • connect: Dışarıda bir sisteme bağlanır • ControlService: başka bir servisi kontrol eder (başlat, kapat, vb.) • CreateFile: var olan bir dosyayı açar • CreateMutex: mutual exclusion object ile aynı zararlının sadece bir kez bulaşması sağlanır (Morris Worm) • inet_addr: IP adreslerini “connect” gibi başka fonksiyonlar tarafından kullanılabilir hale getirir • InternetOpen: İnternet bağlantısı açar (user agent bilgisi gönderebilir) • NetShareEnum: Paylaşımdaki klasörleri listeler • send: Uzaktaki bir makineye veri gönderir Alper Başaran - [email protected]