Zararlı Yazılım Analizi

Transcript

1. Zararlı Yazılım Analizi “işte bunlar hep mikrop” Alper Başaran Alper

   Başaran - [email protected] Bu slaytlar temel seviye statik zararlı yazılım analizi için SOME (Siber Olaylara Müdahale Ekibi) üyelerinin işine yarayabilecek bazı araçları ele alır.

2. Alper Başaran • Deneyim alanları; • Penetrasyon testi • Olay

   müdahalesi • Siber tehdit avcılığı • SOME kurulumu, tatbikatları ve danışmanlığı • İletişim: • Email: [email protected] • Twitter: basaranalper • Web sayfası: alperbasaran.com Alper Başaran - [email protected]

3. Keşfedilen Zararlı Yazılım Sayısı Artıyor Alper Başaran - [email protected]

4. Siber Ölüm Zinciri Bilgi Toplama • Pasif bilgi toplama •

   Kuruluş şemaları • IP adresleri • Port taramaları • İnternet servis sağlayıcısı bilgileri • Dışarıya dönük sistemler • ... Silahlandırma • İstismar kodunun hazırlanması • Zararlı yazılım • Ambalaj Teslimat • Hedefli oltalama saldırısı (spear phishing) • Zararlı içerikli web sayfası • İnternet servis sağlayıcısı İstismar • Kodun çalıştırılması • Hedef sistemle bağlantı kurma • Üçüncü tarafların istismarı Kurulum • Trojan veya arkakapı • Kalıcı erişim kurabilme • Yetki yükseltme • Kullanıcı adlarını ve parolaları çalma Komuta ve kontrol • Hedefle iletişim yolunun açılması • Yatay hareket • İç ağda bilgi toplama • Erişimi kalıcı hale getirme Hedef üzerinde işlemler • Derinleşme • Bağlantıyı ve erişimi kalıcı hale getirecek ek yöntemler • Veri sızdırma 1 2 3 4 5 6 7 Alper Başaran - [email protected]

5. STUXNET Alper Başaran - [email protected]

6. STUXNET Alper Başaran - [email protected]

7. STUXNET • STUXNET: Siemens otomasyon sistemlerini hedef alan solucan •

   500KB dosya • 4 adet Windows 0-day açığından faydalanıyor • MS 08-067’yi de istismar edebiliyor • Jmicron ve Realtek firmalarının geçerli sertifikalarıyla imzalanmış Alper Başaran - [email protected]

8. STUXNET USB Bellek üzerinden LNK istismarı ile DLL Çalıştırma Windows

   Task Scheduler Zafiyeti ile yetki yükseltme Klavye dili ayarı üzerindeki zafiyet ile yetki yükseltme Yazıcı Spooler yazılımı zafiyeti ile ağdaki diğer sistemlere yayılma 1 2 3 4 Alper Başaran - [email protected]

9. STUXNET “Step 7” Yazılımı olan kontrol bilgisayarına bulaşıyor PLC Sistemi

   istismarı Santrifüj devre dışı bırakılıyor 5 6 7 Alper Başaran - [email protected]

10. Cleaver • İlk sızma: SQL injection, web sunucusu veya sosyal

    mühendislik • İç ağda yayılma MS 08-067 gibi yaygın olarak bilinen zafiyetlerle oluyor (0 gün açığı yok) • Hedefe özel ikinci saldırı zararlısı uzaktan yüklenebiliyor • Enerji ve telekom gibi kritik altyapıları hedef alıyor Alper Başaran - [email protected]

11. Volatile Cedar • 2012 Kasım ayından beri var • Gizliliğe

    önem verilmiş • 3 kademeli komuta yapısı • Lübnan (!) kaynaklı Alper Başaran - [email protected]

12. Volatile Cedar • Gizliliğe önem verilmiş • Düzenli olarak antivirüslerle

    kontroller yapılıyor • Dikkat çekmemek için CPU kullanımı sınırlandırılmış • API işlevleri ile Trojan ayrı dosyalarda oluşturulmuş • Trojan davranışları hedefin çalışma saatlerine göre ayarlanmış Alper Başaran - [email protected]

13. Volatile Cedar • 3 kademeli komuta yapısı Alper Başaran -

    [email protected]

14. APT Zararlıları • Poison Ivy • Flame • Finfisher Alper

    Başaran - [email protected]

15. APT Zararlıları • Poison Ivy • Çin ve Orta Doğu’lu

    saldırganlar tarafından yaygın olarak kullanılıyor • Büyük ölçüde programlanabilir • Klavye hareketleri, kamera görüntüleri, trafik isleme/yönetme, parola çalma, dosya gönderme Alper Başaran - [email protected]

16. Poison Ivy Alper Başaran - [email protected]

17. APT Zararlıları • Flame • 20MB!!! • SQLite3 veritabanı •

    Lua dilinde yazılmış “Stuxnet’i analiz etmemiz ve anlamamız 6 ayımızı aldı. Flame’i tam olarak çözmemiz 10 yılı bulur” - Kaspersky analisti Gostev Alper Başaran - [email protected]

18. Flame • 20 tane modül (bilinen) • Keylogger • Kamera

    • Skype konuşması kaydı • Bluetooth(!) • E-posta veya anlık mesajlaşma açıksa 15 saniyede 1 ekran görüntüsü alıyor Alper Başaran - [email protected]

19. Flame Alper Başaran - [email protected]

20. APT Zararlıları • Finfisher Alper Başaran - [email protected]

21. FinFisher Alper Başaran - [email protected]

22. FinFisher Alper Başaran - [email protected]

23. FinFisher Alper Başaran - [email protected]

24. Zararlı Yazılım Yaşam Döngüsü Alper Başaran - [email protected]

25. Zararlı Yazılımın Amacı • Ağ veya sistemlerinizde bulunan zararlı yazılımlara

    DOĞRU şekilde müdahale etmek • Tam olarak ne olduğunu anlamak • Zararlının bulaştığı BÜTÜN makineleri tespit etmek • Zararlının kullandığı bulaşma/yayılma tekniklerini anlamak • İmza oluşturmak Alper Başaran - [email protected]

26. Bulaşma Vektörleri Başka programa bulaşıyor Exe dosyası Zararlı Kod Program

    olarak görünüyor Başka programın içinde gizli Çekirdek seviyesi Boot bölgesini etkiliyor Alper Başaran - [email protected]

27. İmzalar • Sistem temelli imzalar • Ağ temelli imzalar Alper

    Başaran - [email protected]

28. Zararlı Yazılım Analizi Teknikleri • Temel statik analiz • Dosya

    zararlı mı? • Temel dinamik analiz • Zararlı ne yapıyor? • İleri statik analiz • Tersine mühendislik ile zararlıyı anlamak • İleri dinamik analiz • Çalışan zararlının ayrıntılı incelemesi Alper Başaran - [email protected]

29. Siber Saldırı Türleri • Zararlı yazılımlar • Adware • Spyware

    • Virüs • Worm • Trojan • Rootkit • Backdoor • Keylogger • Sahte güvenlik yazılımı • Ransomware • Browser hijacker Alper Başaran - [email protected]

30. Zararlı Yazılım Analizi: Genel Kurallar • Detaylarda fazla boğulmayın •

    Tek bir geçerli analiz yaklaşımı yok • Zararlı yazılımlar sürekli değişiyor Alper Başaran - [email protected]

31. Basit Statik Analiz • Zararlı yazılımın parmak izi • HASH

    değeri • Nasıl alınır? • Nasıl kullanılır? • Etiket olarak • Başka kaynaklardan araştırma yapmak için Alper Başaran - [email protected]

32. Hash Değeri • MD5 • SHA256 Alper Başaran - [email protected]

33. Strings • Program içerisinde insan tarafından okunabilen karakterleri gösterir Alper

    Başaran - [email protected]

34. Packer Tespiti • Best effort yapılır Alper Başaran - [email protected]

35. Dependency Walker • Uygulamanın neler yaptığını listeler Alper Başaran -

    [email protected]

36. Dependency Walker • Örn: CreateFileA programının bir dosya oluşturabileceğini gösteriyor

    Alper Başaran - [email protected]

37. DLL’leri Okumak DLL Adı Fonksiyonlar Kernel32.dll Hafıza, dosya ve donanıma

    müdahale edebilir Advapi32.dll Registry’de değişiklik yapmak gibi ileri seviye fonksiyonlar User32.dll Kullanıcı arabirimi bileşenlerini içerir Gdi32.dll Grafik işlevler Ntdll.dll Normalde Kernel32.dll tarafından çağrılır. Doğrudan çağırılmış olması kötü niyete işaret edebilir WSock32.dll Ağ erişimi için kullanılır Wininet.dll FTP, HTTP ve NTP gibi üst seviye protokolleri içerir msvcrt.dll Standart C kütüphanesi (printf, memcpy, vb.) Alper Başaran - [email protected]

38. Windows Fonksiyonları • accept: Gelen bağlantıları kabul eder • AttachThreadInput:

    Başka bir process’e bağlanabilir (örn. Keylogger) • bind: Gelecek bağlantıları dinlemeye başlar • CheckRemoteDebuggerPresent: Debugger var mı? • connect: Dışarıda bir sisteme bağlanır • ControlService: başka bir servisi kontrol eder (başlat, kapat, vb.) • CreateFile: var olan bir dosyayı açar • CreateMutex: mutual exclusion object ile aynı zararlının sadece bir kez bulaşması sağlanır (Morris Worm) • inet_addr: IP adreslerini “connect” gibi başka fonksiyonlar tarafından kullanılabilir hale getirir • InternetOpen: İnternet bağlantısı açar (user agent bilgisi gönderebilir) • NetShareEnum: Paylaşımdaki klasörleri listeler • send: Uzaktaki bir makineye veri gönderir Alper Başaran - [email protected]

39. Sandbox Çözümleri? • Bazı zararlı yazılımlar sanal makineleri tespit edebiliyor

    • Bazı zararlı yazılımlar belli registry değerlerini arıyor • Sandbox ortamı gerçek ortamı yansıtmayabilir • DLL formatındaki zararlı yazılımları çalıştırmakta zorlanabilir • .vbs zararlılarını çalıştırmakta zorlanabilir Alper Başaran - [email protected]

40. Online Kaynaklar • https://www.joesandbox.com • https://www.hybrid-analysis.com/ • https://www.virustotal.com/ Alper Başaran

    - [email protected]

41. Process Explorer • Process Explorer: Run as Administrator! Alper Başaran

    - [email protected]

42. Process Explorer • Hangi process nerede çalışıyor? • İmzalı/sertifikalı olamayanlar

    hangileri? ? Alper Başaran - [email protected]

43. Process Explorer • Hangi process nerede çalışıyor? • İmzalı/sertifikalı olamayanlar

    hangileri? • Properties Alper Başaran - [email protected]

44. ProcMon • PROCess MONitor Alper Başaran - [email protected]

45. Ağ kullanımı • Procmon Network Alper Başaran - [email protected]

46. Ağ kullanımı • Netstat • netstat • netstat –i •

    netstat –ie • netstat –t • netstat –u • netstat –ua • netstat –uta • netstat -tae Alper Başaran - [email protected]

47. Zararlı Yazılım Teknikleri • Sıkıştırma • Gizleme • Kalıcı olma

    • Yetki yükseltme • Koruma atlatma • Kullanıcı bilgisi çalma • Keşif • Yatayda hareket • Çalışma • Toplama • Sızdırma • Komuta sunucusu Alper Başaran - [email protected]

48. Zararlı Yazılım Teknikleri • Kalıcı olma • Tarayıcı eklentisi •

    Servis kurulumu • DLL hijacking • Sıralama: • Uygulamanın bulunduğu klasör • Sistem klasörü (örn: C:\Windows\System32\ • Windows’un bulunduğu klasör (GetWindowDirector fonksiyonu ile) • PATH ortam değişkeni • Zamanlanmış görevler Alper Başaran - [email protected]