BOA Bilgi Teknolojileri ve Güvenliği olarak sunduğumuz eğitim hizmetleri arasında Zararlı Kod Analizi artan zararlı yazılım tehditleri sebebiyle gün geçtikçe önem kazanmaktadır. Finans ve kamu kurumlarını hedef alan zararlı yazılımlar gün geçtikçe artmakta ve artık kurumların kendilerine özel çözümler geliştirip hem reaktif hem de proaktif davranmaları gerekmektedir.

Sizlere sunduğumuz bu döküman, beş gün süren  “Zararlı Kod Analizi” eğitimimizin içerisinden seçtiğimiz bazı kısımlardan oluşmaktadır.

1.      Malware Analysis 6.      Windows API 10.3.       Anti Analiz Teknikleri
1.1.   Terminoloji 6.1.   API Yapısı 10.3.1.   Anti-Virtualization
1.2.   Sınıflandırma 6.2.   Dereferencing 10.3.2.   Anti- Debugging
1.3.   Zararlı Kod Tipleri 6.3.   Yapısal İşlemler 10.3.3.   Entry-Point Obfuscation
1.4.   Rootkit 6.4.   Temel win32API 10.3.4.   Executable Compressors
1.5.   Platformlar 7.      Windows Adres Yönetimi 10.3.5.   Garbage Insertion
1.6.   Saldırı Noktaları 7.1.   Sanal Adresleme Yapısı 10.4.       Otomatize Zararlı Kod Analizi
1.7.   Zararlı Kod Özellikleri 7.2.   Süreçler 10.4.1.   Registry Operations
1.8.   Enfeksiyon Belirtileri 7.3.   Sanal Hafıza Yönetimi 10.4.2.   Runtime Operations
2.      Kimlik Saptama 8.      İkili Dosya Formatları 10.4.3.   Load-Time Operations
2.1.   Dosya Tipleri 8.1.   Başlıklar 10.4.4.   File Operations
2.2.   Sabit Veriler 8.2.   Relocation Tabloları 10.4.5.   Modificaton Operations
2.3.   Kütüphaneler 8.3.   Sembol Tabloları 10.4.6.   Memory Maps
2.4.   Etkileşimler 8.4.   ELF( Executable and 10.5.   DEMO
3.      Malware Lab 8.5.   Linkable) 11.      Linux Zararlı Kod Analizi
3.1.   Virtualization 8.6.   PE(Portable Executable) 11.1.   Mitler
3.2.   Configuration 9.      Ortamlar ve Enfeksiyon 11.2.   Gerçekler
3.3.   Disassemblers 9.1.   Dosya Sistemleri 11.3.   Gereksinimler
3.4.   File Format Analyzers 9.2.   Dosya formatları 11.4.    Implementasyon
3.5.   Data Dumpers 9.3.   Yorumlayıcılar 11.5.    Rootkit
3.6.   Sniffers-Packet Analizi 9.4.   Overwriting 11.6.    Worm
3.7.   Debuggers 9.5.   Randomization 11.7.    Analiz Ortamı
4.      Reverse Engineering 9.6.   Compressing 11.8.    Programlama Arabirimleri
4.1.   Neden Reverse Engineering 9.7.   Parasitic 11.9.    Dinamik Analiz
4.2.   Hangi Durumlarda Reverse Engineering 9.8.   Obfuscation 11.10.  Statik Analiz
4.3.   Reverse Engineering Teknikleri 10.   Analiz 11.11.  Packers &Unpack
4.4.   Reverse Engineering Temelleri 10.1.      Dinamik Analiz 11.12.  Packers
5.      X86 Assembly 10.1.1.   Debuggers 11.13.  Free Packers
5.1.   İşlemci Mimarisi 10.1.2.   Tracers 11.14.  Commercial Packers
5.2.   Kaydediciler 10.1.3.   Emulators 11.15.   Symptoms
5.3.   Mnemonic Yapısı 10.1.4.   Analyzers 11.16.   Identifying
5.4.   Veri Taşıma 10.1.5.   Avantaj 11.17.   Methodology
5.5.   Stack İşlemleri 10.1.6.   Dezavantaj 11.18.   Custom Protection
5.6.   Aritmetik İşlemler 10.2.       Static Analiz 11.19.   Encryption
5.7.   Lojik İşlemler 10.2.1.   Avantaj 11.20.   Live-Running Unpack
5.8.   Bitsel İşlemler 10.2.2.   Dezavantaj 12.        Payload Analiz
5.9.   Şartlı İşlemler 10.2.3.   Rutinler 12.1.     Payload Tipleri
5.10. Döngüler 10.2.4.   Non-Infection 12.2.     Payload Çalışma Mantığı
5.11. String İşlemler 10.2.5.   Deep-Tracers 12.3.     Payload Davranışları
5.12. Segment 10.2.6.   Non-Trivial-Info 12.4.     Klasik Analiz
  12.5.      Framework

Terminoloji: Malware Kategorileri

Zararlı yazılımlar belli bir amaca ve hedefe yönelik özel olarak hazırlanmaktadır. Her biri farklı amaçlar ile hazırlanan zararlı yazılımlar kendi türlerini oluşturur. Farklı türlerdeki zararlı yazılımlar farklı davranışlar sergiler ve farklı teknikler kullanır. Bazı zararlı yazılımlar tamamen teknik vektörlerden ibarettir, bazıları ise insan unsurunu hedef alarak amacına ulaşır.

Phising / Kimlik Hırsızlığı

Phising yani Kimlik Hırsızlığı ya da yemleme olarak bilinen yöntem büyük ölçüde insan unsuruna dayalıdır. Saldırgan bu yöntem ile, insanları aldatmayı hedefler ve bu sayede kullanıcıların kimlik bilgileri, banka bilgileri, şifreler gibi önemli verilerine ulaşır. Genel olarak “e-posta” yolu ile hedefe ulaşır ve kendisini resmi bir kurumdan geliyormuş gibi gösteren bir elektronik posta hesabı kullanır.

Bu basit yöntem dünya genelinde kötü amaçlı kişiler tarafından oldukça yaygın olarak kullanılmıştır ve sonucunda “milyon dolar” ile ifade edilen ciddi mali kayıplara neden olmuştur.

Riskware

Riskware yazılımları organize olarak hazırlanmış zararlı yazılım türleri arasında yer almaz. Fakat bir dolandırıcılık türüdür, bilgisayara bilinçli veya bilinçsiz olarak yüklenir ve sürekli olarak kendini gösterir. Amacı kullanıcıyı bu programı satın almaya zorlamaktadır.

Hoax

Hoax tipi zararlı yazılımlar en popüler zararlı yazılım türleri arasında yer alır. Programcılar tarafından özenle hazırlanan yazılımlardır. Nedeni ise yasal bir yazılımın taklit edilmesi aşamasıdır. Hoax tipi yazılımlar kendilerini anti-virüs, güncelleme (patch) veya belli bir zararlının bilgisayardan silinmesine yönelik bir programmış gibi göstermektedir.

Spyware

Spyware tipi zararlı yazılımlar adından anlaşılacağı gibi casus yazılımlardır. Bu tip zararlı yazılımların amacı kullanıcı/kullanıcılar ve bulaştıkları sistemler hakkında bilgi toplamaktır. Bu bilgiler kimlik bilgileri, banka bilgileri gibi kişisel bilgiler, internet surfing bilgileri ve sistem bilgileri gibi bilgileri içerir.

Malformed

Malformed kavramı biraz daha organize saldırılar olarak görülebilir. Genel olarak belli bir dosya tipi içerisine (embeded) gömülü olarak gelir. Çalıştırılabilir bir dosya tipi olmadıkları için farkedilmesi zordur. Örnek olarak, PDF dosyalar içerisine gömülü bir zararlı kod bulaştığı sisteme uzaktan erişim sağlayabilir. Bu tip bir zararlının hazırlanması sürecinde sadece programlama bilgisi yetersiz kalır çünkü bu tip bir zararlı dosyanın oluşturulması için mevcut “PDF Parser” içerisinde bir güvenlik açığının bulunması gerekir. PDF uzantılı dosyalar tamamen örnek olarak verilmiştir "malformed" kod içeren dosya türleri çeşitlilik gösterir. En bilinenleri, "*.docx, *.ppt, *.mp3" gibi dosya türleridir.

Zararlı Kod İsimlendirme Standardı

Zararlı kod isimlendirme, anti-virüs firmaları için önemli bir husustur. Tespit edilen zararlı yazılımların kategorize edilmesi, türlerine göre ayrılması, platformlarının belirlenmesi gibi süreçlerin bir standardı vardır.

CARO (Computer Antivirus Research Organization) tarafından belirlenen bu isim standardı 1991 yılında yayınlanmış ve 2002 yılında tekrar düzenlenerek anti-virüs firmalarının kullanımına sunulmuştur.

3

Resimde görüldüğü gibi birinci kısım zararlı yazılımın türünü, ikinci kısım ise hangi platformu hedeflediğini göstermektedir. Sonraki kısım ise hangi zararlı yazılımın familyasından geldiğini, varyant serisini ve ek bilgileri içermektedir.

Platformlar

İleride temel olarak bahsedileceği gibi zarar yazılım isimlendirme standartlarında platform önemli bir rol oynar. Her zararlı yazılım farklı platformları hedefler ve kategorize işlemi de buna göre yapılır. Aşağıda listelenen işletim sistemleri ve platformlar zararlı yazılım isimlendirmede bir etkendir.

4

Programlama ve Script Dilleri

Zararlı yazılımların hangi dilde yazıldıkları analiz sürecini etkileyen bir etken olduğu gibi isimlendirme sürecinde de etkilidir. Aşağıda listelenen programlama ve script dilleri zararlı yazılımları kategorize etmek için önemli bir ölçüttür.

5

Makrolar

6

Dosya Tipleri

7

Dosya Uzantıları

Zararlı yazılımlar dosya uzantılarına göre kategorize edilebilirler. Aşağıda verilen dosya uzantıları zararlı kodlarla doğrudan ya da dolaylı olarak ilişkili olan dosya türleridir.

8

Terminoloji: Malware Türleri

Virüs

Virüsler zararlı yazılımlar arasında en çok bilinen türlerdir. Geliştirilme süreci konuya hakim uzman kişiler tarafından işletilir. Klasik programlama dilleri ile değil, işlemcinin sunduğu programlama ortamları kullanılarak geliştirilir. Bunun anlamı geliştirilen virüsler platform ve donanım (işlemci) bağımlıdırlar. İşlemcinin sunduğu imkanlar ile programlanmasındaki (low-level) amaç daha optimize kod geliştirme imkanı ve daha küçük boyutta  (executable) dosyalar elde etmektir.

Çalıştıkları sistemlerde virüsler çeşitli dosyalara bir enfektör sayesinde bulaşırlar. Virüsler, anti-virüsler tarafından yakalanmamak için çeşitli teknikler kullanırlar. Aynı zamanda virüsler, analist tarafından yapılacak analiz işlemlerini zorlaştırmak için “obfuscation” denen yöntemleri kullanırlar.

Worm (Solucanlar)

Genel olarak virüsler ile aynı teknikleri kullanırlar fakat solucanlar bulaştıkları sistemlerin dahil oldukları ağlara üzerinde diğer sistemlere bulaşabilmeyi hedefler. Bunun için bünyelerinde ağ servisleri üzerine bulunan zafiyetleri barındırırlar ve mevcut zafiyetler üzerinden diğer sistemlere sızmaya çalışırlar. Düşük seviyeli diller (Assembly) ile değil daha çok C/C++ gibi orta-seviye diller ile geliştirilirler.

Trojan (Truva Atı)

Trojan yada truva atı olarak bilinen bu zararlı yazılımlar "sunucu-istemci" mantığı ile çalışırlar. Bulaştıkları sistemleri tam anlamıyla saldırgana açarlar ve sistem tamamen saldırganın kontrolüne geçer. Bu süreç zaman zaman komut tabanlı olmakla birlikte saldırgan RDP üzerinden çalışıyormuş gibi sisteme erişim sağlayabilir.

Backdoor (Arka Kapı)

Arka Kapılar saldırganlar tarafından oldukça yaygın olarak kullanılan araçlardır. Diğerlerinden farklı olarak arka kapıların buradaki kullanım amacı farklıdır. Saldırganlar güvenlik açıkları sayesinde sızdıkları sistemlerde kalıcı olabilmek adına arka kapılardan faydalanırlar. Güvenlik açıkları sayesinde zaten sızmış oldukları sistemlere daha sonra tekrar erişebilmek için arka kapıları kullanırlar.

Exploit

Exploit kavramı tüm bahsedilen türlerden farklı bir kavramdır, fakat bir çok firewall ve anti-virus tarafından zararlı yazılım olarak kabul edilirler. Saldırganın belli bir güvenlik açığını kullanarak sisteme erişmesini sağlayan araçlardır. Virüslerden farklı olarak bir çok programlama dili ve scripting dili ile kodlanırlar. Geliştirilmesinde kullanılan teknikler ve yöntemler ileri seviye bilgi gerektirir.

Shellcode (Kabul Kod)

Exploit içerisinde kullanılan “kabuk kodlar”, sistemdeki güvenlik açığının kullanılmasından sonra çalıştırılacak kodu ifade ederler. Exploit içerisinde gömülü olan ve uzaktan erişimi sağlayan bu kodlar "assembly" seviyesinde hazırlanırlar ve genelde boyutları 500 byte'tan fazla olmamaktadır.

Rootkit

En tehlikeli zararlı yazılım türüdür. Genelde çekirdek seviyesinde çalışmalarından dolayı tespit, analiz ve silme süreçleri oldukça zordur. Diğerlerinden farklı olarak programlama bilgisinin yanında ileri seviye işletim sistemi ve donanım bilgisi gerektirir. Saldırganın geliştirdiği yani hedeflediği platform hakkında derinlemesine bilgi sahibi olması gereklidir.

Genel olarak 5 tip farklı rootkit türü vardır, herbiri farklı platformları hedefler ve her biri farklı uzmanlık gerektiren konulardır. Stuxnet ve varyantı olan DuQu örneklerinde görüldüğü gibi oldukça karmaşık yapıdadırlar. Bu zararlılar  birçok güvenlik açığından faydalanmıştır ve  herkesçe bilinmeyen programlama dilleri kullanmıştır. Bu unsurlar, rootkit adı verilen yazılımların ne derece komplike ve ileri seviye yazılımlar olduğunun göstergesidir.

9

Kernel Mode (Ring 0)

Bu mod için hazırlanan zararlı yazılımlar çekirdek seviyesinde işletilir ve çekirdek seviyesinde sağlanan fonksiyonların kancalanması (hook) ve kullanılması ile sistemin normal işleyişine müdehale eder. Bu modda zararlı kod tespit etmek ileri seviye işletim sistemi ve çekirdek bilgisi gerektirir. Rootkit yazılımları oluşturduklar trafiği ve sistem üzerindeki aktivitelerini en üst düzeyde gizlerler.

Geçtiğimiz senelerde ortaya çıkan Stuxnet, Duqu gibi zararlı yazılımlar bu mod çerçevesinde var olan zararlı yazılımların en bilinenleridir.

User Mode (Ring 3)

İşletim sistemi tarafından kullanıcılara sunulan sistem alanı(adres) ve fonksiyonlara erişim sağlarlar. Bu modda çalışan fonksiyonların kancalanması ve amaç doğrultusunda değiştirilmesi ile sisteme müdehale eder.

Hypervisor (VMM)

İşletim sistemleri için geliştirilen sanallaştırma yazılımlarını hedef alırlar. Genel olarak “host” üzerinde çalışan ve donanım kaynaklarını yöneten Hyper-V, VmWare ESX Server gibi sistemleri hedef alırlar. Analiz ve tespit süreci klasik tekniklerden farklı ve daha ileri seviye teknikleri kapsar.

Hardware/Firmware

Donanımsal rootkit kavramı etkili olarak 2008 yılından itibaren daha ileri seviyede konuşulan bir kavramdır. Sistemlere takılan network cihazları, harddiskler ve BIOS gibi donanımlar sayesinde aktif haler gelir. Donanımsal zararlı yazılımların tespiti tüm yöntemlerden farkı olarak işletilmekte ve farklı uzmanlık alanları gerektirmektedir. Firmware bazlı arka kapılar ise genel olarak Modem, Router, Mobil, cihazlar, ATM gibi çok geniş donanımları etkilemektedir.

Saldırı Vektörleri (Attack Vectors)

Zararlı yazılımlar türlerine göre, saldırı vektörleri noktasında farklılık gösterir. Virüslerin  türlerinin belirlenmesi, vereceği zararların kestirilmesi, analiz tekniklerinin belirlenmesi sırasında bu vektörlerin anlaşılması önemlidir.

Boot Sector / MBR

Boot sektör genel olarak harddisk üzerinde bulunan bölümler aktif olmadan önce işletilecek komutların yer aldığı bölümdür. Virüsler sistem başlatılırken hangi bölümün aktif edileceği bilgisi yerine kendi işletecekleri komutları bu bölüme işlerler. En temel enfeksiyon belirtisi olarak boot işleminin yavaşlaması ve anlamsız çalıştırılabilir dosyaların boot sonrası varlığıdır.

File Infectors

Zararlı yazılımlar genel olarak bulaştıkları sistemler üzerinde varlıklarını kendilerinden bağımsız kılmak adına diğer dosyalara bulaşırlar. Zararlı yazılımlar içerisinde gömülü olarak bulundurdukları kodları diğer yazılımlara enjekte ederek kendilerini çoğaltırlar. “File Infector” kavramı bir zararlı yazılımın en temel bileşenidir.

Elektronik Posta

Kurumlar için en temel risk sebebi olan ve elektronik postalar sayesinde bulaşan zararlı kodlardır. Temel olarak farklı formatlarda elektronik postalar yoluyla yayılan virüslerdir, aynı zamanda kurumların bünyesinde kullandıkları e-posta servisi üzerinde var olabilecek zafiyetler sayesinde de yayılırlar.

Dosya Paylaşımı

Dosya paylaşımı ile virüslerin yayılması en bilindik yöntemlerden biridir. Video, Müzik gibi çeşitli media ortamları içerisine gömülen zararlı kodların aktif hale gelmesiyle sistemler üzerinde çeşitli işlemlerin yapılabilmesine yol açar.

 

Bluetooth

Mobil cihazlar üzerinde aktif olan zararlı yazılımların genel olarak gözlemlenen özelliklerinden biridir. Kendiliğinden aktif olan ve çevrede ki diğer mobil cihazlara bulaşmayı hedeflerler. Çeşitli mobil platformların geliştiriciye sundukları “uygulama marketler” çoğalması ile birlikte şu an saldırganlar tarafından çokça tercih edilen bir bulaşma yöntemi değildir.

Web Application (Web Uygulamalar)

Web uygulamalar üzerinden doğrudan veya olası bir güvenlik zafiyeti sayesinde dolaylı olarak bulaşmak için kullanılan yöntemlerden biridir. Bahsi geçen web uygulamalar saldırgan tarafından özel olarak hazırlanan bir uygulama (kit) olmasının yanı sıra tamamen bir probleme dayalı bir bulaşma yöntemi de olabilir.

Enfeksiyon Tespiti ve Zararlı Yazılımın Örneklenmesi

Bir zararlı yazılımın varlığını tespit edebilmek için yukarıda bahsedilen belirtilerden yola çıkmamız gerekir. Aynı şekilde bir zararlı yazılımı analiz edebilmek için belirtilerin sonucunda bir objenin elde edilebilmesi gerekir.

Bu bölümde yukarıdaki belirtilerden yola çıkarak bir zararlı yazılımın nasıl bulunacağı ve sistemin nasıl analiz edileceği anlatılacaktır. Sistem dosyaları, servisler, ağ trafiği, registry kayıtları gibi zararlının etki edebileceği bir çok noktanın analiz süreci ve araçlar anlatılacaktır.

Kısaca, eğer sistemde bir kararsızlık varsa ve buna neden olan şey bir zararlı yazılımsa, detaylı bir analiz için hangi noktalara bakmamız gerektiği anlatılacaktır.

Windows Registry

Windows Registry, işletim sisteminin veya kurulu uygulamaların konfigürasyon bilgilerini ve seçenekleri saklayan bölümdür.  Eski Windows sürümleri üzerinde bu veriler “.ini” uzantılı dosya içerisinde var oluyordu. Günümüzde ise bu bilgiler yukarıda bahsedildiği gibi “registry” kayıtları üzerinde var olur.

Zararlı kodlar (malwares) registry kayıtlarını kalıcı olabilmek ve kendi konfigürasyonu için kullanır. Zararlı kodlar sistemin başlangıcı yani “boot” esnasında otomatik olarak başlayabilmek için kendini kayıt defterlerine eklerler.

Microsoft dökümantasyonuna göre “Registry” kayıtları, Root Key, subkey, key, value entry ve value/data kısımlarından oluşur. Root Key, bir “registry” kaydı için en üst anahtardır. HKEY ile başlayan ve registry kayıtlarında görülen bu kısım “root key” demektir. Subkey ise “root key” altında listelenen bir “alt klasör” niteliğindedir. Key kısmı klasörleri veya değerleri barındırır, subkey ile rootkey  anahtarları birlikte anılır.

Registry Rootkeys

Windows üzerinde registry kayıtları arasında beş adet rootkey bulunur. Bunların listesi ve açıklaması aşağıdaki gibidir.

HKEY_LOCAL_MACHINE (HLKM)

İşletim sistemi üzerinde kurulu olan yazılımların ve genel konfigurasyon ayarlarını tutan “root key”dir.

HKEY_CURRENT_USER (HKCU)

Registry üzerinde sadece giriş yapmış (“login”) kullanıcıya ait konfigürasyon ayarlarını tutan “root key”dir.

HKEY_CLASS_ROOT

Sistem üzerinde tanımlı verilerin tutulduğu “root key”dir.

HKEY_CURRENT_CONFIG

Mevcut donanım konfigürasyonları ve spesifik olan güncel/standart konfigürasyon bilgilerini tutan “root key”dir.

HKEY_USERS

Öntanımlı kullanıcı, yeni kullanıcı ve mevcut kullanıcı için tanımlı ayarların tutulduğu bölümdür.

MSCONFIG

Sistem açılışı esnasında hangi yazılımların otomatik olarak başlayacağı bilgilerini gösteren programdır. Aynı zamanda başlatılan servisler, üretici bilgileri ve servislerin durumu hakkında bilgi edinebilmemizi sağlar.

10

Başlatılan servislerin ve üreticilerin görülmesi de “services” sekmesi üzerinden sağlanabilir. Burada farklı ve olağan dışı bir servisin olması  “malware” belirtisi olabilir.

Services (Servisler)

Resimde görülen servislerin tamamı bilgisayarımızda kurulu olan yazılımlara ait servisler. Bu servislerin arasında farklı bir servis olması durumunda ilk göze çarpanlar arasında “manufacturer” kısmı olacaktır.

11

Örnek olarak, Çin menşeili zararlı yazılımların kendisini servisler arasında eklemesi sonucunda “Manufacturer” kısmında genelde anlamsız gibi görünen “Çince” karakterler görünmektedir.

Network Trafigi

Network trafiği üzerinde olası problemlerin tespit edilmesi islemi için çeşitli analiz araçları vardır. Bunlardan bazıları Wireshark, TcpView gibi yazılımlardır, otomatize edilmiş bir şekilde analiz etmenin dışında bazı sistem dosyalarının “manual” olarak incelenmesi gerekebilir.

WireShark

Gelişmiş bir “network analiz” aracı olan wireshark platform olarak Windows, Linux, MacOS ve Solaris gibi işletim sistemlerini destekler. Tüm ağ kartları üzerinde TCP/IP verilerini analiz edebilir. Wireshark desteklediği 750’nin üzerinde protokolü analiz edebilir.

Paketleri yakalayabilir ve analiz için bir dosyaya kaydedebilir aynı şekilde formatı uyduğu takdirde bir dosyayı açabilir. Gerçek zamanlı olarak analiz edebilme yeteneği vardır ve filtre özelliğini bünyesinde barındırır. Örnek olarak, sadece “HTTP” verilerini görebilmek için ilgili protokolü yada belli bir IP adresini filtreleyebilir.

NetStat

Bir komut satırı aracı olmakla birlikte bir çok platform üzerinde çalışabilir haldedir. Windows işletim sistemi üzerinde “default” olarak gelir. Yönlendirme tabloları ve ağ arayüzü istatistiklerini görüntünmesini sağlayan bir araçtır. Netstat komutu ağdaki problemleri bulma ve ağ üzerindeki trafiğin miktarını belirlemek için kullanılabilir. İlerleyen bölümlerde anlatılacağı gibi “netstat” yazılımı ile zararlı kod tespiti (gelişmiş bir zararlı yazılım değilse) mümkündür.

TcpView

Sysinternals suite içerisinde yer alan bir yazılımdır ve bu yazılım sayesinde anlık olarak aktif bağlantıları görebilmek mümkündür. Herhangi bir bağlantı buradan takip edilebilir ve sonlandırılabilir.

Hosts Dosyası

Linux, Windows gibi işletim sistemleri üzerinde “hostname” verilerini “IP” adrese göre düzenleyen dosyadır. İçeriği tamamen düz metindir ve burada yapılacak değişiklikler ile mevcut sistem farklı adreslere yönlendirilebilir.

12

Zararlı yazılımlar bu dosya üzerinde yapacakları değişiklikler ile mevcut alan isimlerini kendi belirlediği adreslere yönlendirebilirler. Bu sayede bulaştıkları sistem üzerindeki kullanıcılar çeşitli zararlı sitelere yönlendirilebilirler.

Dosya Sistemi

Dosya sistemi üzerinde var olan değişikliklerin tespit edilmesi önemlidir. İlerleyen bölümlerde bahsedilecek olan Windiff yazılımı sayesinde dosya sistemi üzerinde yapılan değişiklikleri görebilmeniz mümkündür. Windiff, belirli dizinler altına eklenen yeni dosyalar ve bu dosyaların ne işe yaradığı gibi verileri elde etmek için analiz öncesi yapılan işlemdir.

Bunların dışında sistem üzerinde kendini gizlemeyi başaran zararlı yazılımlar mevcuttur. Bu sayede analiz sürecinin geciktirilmesi ve dosya farkedilmediği sürece işlevlerin devam etmesi sağlanır. Sistem üzerindeki zararlı  yazılımları tespit edebilmek için gizli dosyaların mutlaka incelenmesi gerekir.

İlerleyen bölümlerde hem dinamik hem de statik olarak analiz edilen zararlı yazılımın bu tip bir özelliği vardır. Bunun sistem üzerinde tespit edilebilmesini sağlamak için komut satırı aracından faydalanmamız gerekir.

14 13

Resimde görüldüğü üzere “c:” sürücüsü içerisindeki gizli dosyalar listelenmiştir. Bunu yapabilmek için “dir” komutuna verilen “/s /a:h” parametreleri kullanılmış ve “Scan with Antivirüs” isminde bir şüpheli dosya tespit edilmiştir.

Kullanıcı Hesapları

Zararlı yazılımların sisteme uzaktan erişimi mümkün kılabilecek çeşitli teknikleri vardır. Bunlardan biri sistem üzerinde yeni bir kullanıcı veya kullanıcı grubu oluşturmaktır. Bu tip bir etkinlik bir zararlı yazılım belirtisi olabilir ve bundan dolayı kontrol edilmesi gereken noktalardan biridir.

14

Yukarıda görüldüğü gibi analiz edeceğimiz zararlı yazılım, sistem üzerinde herhangi bir kullanıcı oluşturmamıştır. Administrator grubunun içeriği olması gerektiği gibidir, bunun yanında sistem üzerindeki kullanıcılar üzerinde de herhangi bir değişiklik gözlemlenmemektedir.

Olay Kayıtları (Event Log)

Windows tarafından sunulan yazılımlardan biridir. Sistem üzerinde yapılan değişiklikler 3 kategoride (loglanır) kaydedilir. Bunlar sırasıyla uygulama günlüğü, güvenlik günlüğü ve sistem günlüğü olarak incelenir.

15

Windows olay kayıtları içerisinde dikkat edilmesi gereken girdiler şu şekildedir. Örnek olarak dikkat edilmesi gerekenler kullanıcı girişleri ve çıkışları (logon/logoff), kullanıcı hesaplarındaki değişiklikler, şifre değişiklikleri, servis başlatıldı ya da durduruldu mesajları, “object access denied” gibi mesajlardır.

Reverse Engineering (Tersine Mühendislik)

Reverse Engineering yani Tersine Mühendislik kavramı hemen her meslek ile ilgili bir kavramdır. Herhangi bir şeyin “nasıl çalıştığı” ve “nasıl yapıldığı” bilgisini elde etmek için yapılan sürece verilen isimdir.

Bir ürünün veya yazılımın nasıl çalıştığı, yapısının anlaşılması için detaylı olarak her bir bileşeninin incelenmesi/sökülmesi sürecini kapsar. Tersine Mühendislik hangi amaçlar ve hangi platformlar için yapılırsa yapılsın tekniklerin ve ürünün iyi tanınması gerekir.

Tersine Mühendisliğin ne denli önemli olduğunu anlamak için “Çin Halk Cumhuriyetin”nin son yıllardaki ekonomik büyümesini neye borçlu olduğunu anlamak yeterlidir. Yazılım, Elektronik ve otomativ sanayii gibi birçok alanda yapılan ve ekonomiğe olumlu anlamda katkısı olan hemen her parametre “reverse engineering” sürecine dayanır.

Reverse Code Engineering (RCE)

“Reverse Engineering” konusu çok kapsamlıdır. Yazılımlar üzerinde gerçekleştirilecek tersine mühendislik kavramı genel olarak “Reverse Code Engineering kısaca RCE” olarak adlandırılır.

Kapalı kaynak kod bir yazılımın (zararlı yazılımlar, ticari yazılımlar vb.) yapısının anlaşılması “tersine mühendislik” yapmaktan geçer. Reverse Engineer (tersine mühendis) olarak adlandırılan kişilerin bu yola başvurmalarındaki amaç aşağıda ki şekildedir.

Güvenlik Analizi

Kaynak kodlarına sahip olunmayan yazılımların içerisinde var olabilecek güvenlik açıklarını incelemek için kullanılır. Kaynak kodlarına sahip olsak dahi her bir satırın incelenmesinden ise temel zafiyetlerin canlı olarak takibinin yapılabilmesi daha kolay bir işlemdir. Bu nedenle yazılımlar “reverse” edilerek olası güvenlik problemleri tespit edilir.

Dökümantasyonu Olmayan Bileşenler (Undocumented Functions)

Yazılımların diğer programcılar tarafından anlaşılabilmesi için en önemli unsur dökümantasyonunun iyi yapılabilmesidir. Uygulamalara ait fonksiyonların ne iş yaptığı ve hangi parametrelere dayalı olarak çalıştığı bilgileri detaylı olarak dökümantasyonlarda yer alır. Örneğin, Windows işletim sisteminin sunduğu API bilgileri MSDN (Microsoft Developers Network) içerisinde yer alır.

Undocumented (dökümantasyonu olmayan) API bilgilerinin anlaşılması ve çalışma mantığının çözülebilmesi için “Reverse Engineering” süreçleri aktif rol oynar. Zararlı kod analizinde programcı tarafından yazılan fonksiyonların çözülebilmesi için “Reverse Engineering” zorunludur.

Yazılım Mimarisinin Anlaşılması

Yazılımların yapısının anlaşılması ve akış diagramının çıkarılabilmesi için işletilmesi gereken süreçlerin tamamı “Reverse Engineering” ile ilgilidir. Yazılımın “neyi nasıl yaptığı” bilgisinin anlaşılabilmesi için yazılımın “reverse” edilebilmesi gereklidir. Akış diagramının çıkartılması, hangi dosyalar ile iletişim halinde olduğunun anlaşılması ve (varsa) donanımlar ile nasıl haberleştiğinin çözülebilmesi “iyi derecede tersine mühendislik” bilgisi gerektirir.

Derlenmiş bir kod içerisinde kullanılan veri yapılarının, tanımlanan değişken bilgilerinin görülebilmesi için makine kodu seviyesinde inceleme yapılmalıdır.

Kapalı Kaynak Kod (Closed Source Code)

Ticari yazılımların hemen hepsi kaynak kodları ile birlikte gelmez ve paylaşılması risklidir. Kapalı kaynak kod yazılımların analiz edilebilmesi sadece “tersine mühendislik” ile mümkündür. Derlenebilir hangi dil ile yazılmış olursa olsun yazılımları makine kodu seviyesinde incelemek mümkündür.

Hata Ayıklama (Bug Fixing )

Yazılım içerisinde var olabilecek sorunların belirlenebilmesi için “kaynak kod analiz” işlemi yapmaktansa “live trace” işleminden geçirilmesi vakit tasarrufu anlamına gelir. Programın tüm kaynak kodunun analiz edilmesinden ise çalışma anında oluşan hataları “one-shot” olarak yakalamak daha az zaman gerektirir.

Yama Analizi (Patch Analysis)

Bir çok yazılım üreticisi sundukları yazılımlarda oluşan güvenlik yada genel problemlerini giderebilmek için “patch” yani “yama” olarak hazırlanan küçük eklentilerden yararlanırlar. Programın doğrudan derlenmiş koduna (binary) müdehale ederek genelde “bir kaç instruction” veya “farklı fonksiyonları” değiştirerek mevcut problemleri giderirler.

Yama Analizi, zararlı kod yazan ya da güvenlik problemlerinden faydalanarak sistemlere sızmak isteyen kişilerin fazlaca önem verdikleri bir konudur. Örnek senaryo olarak Microsoft firması MS Office üzerinde kendi bünyesinde bulduğu bir güvenlik problemi için bir “patch” yayınlamış olsun.

Bu yayınlanan “yama” sadece sistemlerini sürekli güncel tutan kişileri saldırganlara karşı korur. Açığın nerede olduğunun ve nasıl “exploit” edildiğinin anlaşılabilmesi için “yama analizi” yapılabilmesi gereklidir.

Böylece saldırgan bu açığın hangi problemlerden kaynaklandığını ve nasıl kullanılabileceği bilgisini kolaylıkla elde edebilir. Bunun için ilgili “patch” dosyasının “reverse” edilebilmesi gereklidir.

Statik Analiz – DEMO

16

Yukarıda örnek zararlı kodun segment yapısı temel olarak görülüyor. Ekran görüntüsünde ilk bakışta dikkat çeken “segment permissions” kısmıdır. Normal derlenmiş bir yazılımın “segment hakları” müdehale edilmediyse “read/execute” olarak belirlenir. Fakat burada zararlıyı kodlayan programcı “text” segmenti için ayrıca “writeable” hakkını vermiş.

Bunun sebebi text segment yani kod segment üzerinde zararlı kodun yapacağı değişikliklerdir. Normalde bu segment üzerinde değişiklik yapabilmek için özel işlemler gerçekleştirilir. Burada analiz ettiğimiz zararlı kod “antivirüslerin” kafasını karıştırmak için “polimorfizm” denen teknik kullanılmıştır.

17

Yukarıda görüldüğü gibi zararlının başlama anında “CALL” komutu ile 4 fonksiyon çağrılıyor. Bu 4 fonksiyonun ne işe yaradığı tek tek incelenecektir. Eğer sırasıyla incelemek gerekirse ilgili fonksiyonun üzerine gelip “ENTER” tusuna basıldığında gerekli komutları ve fonksiyona ait diyagramı görebiliriz.

18

Daha önce “shellcode” kavramından bahsetmiştik, shellcode içerisinde eğer kullanacağınız API var ise bunların “entrypoint” konumlarını hesaplamak zorundasınız. Aynı şey zararlı içerisinde kullanılan API(ler) için de geçerlidir.

19

Yukarıda gösterilen resim bir öncekinin devamı niteliğindedir. Hafıza alanı içerisinde (in-memory) “KERNEL32.DLL” için arama rutini ve diyagramı görülüyor. Yukarıda görüldüğü gibi “EAX Register” taşıdığı değer “1” ise kernel alanı bulunamiyor bu durumda gerekli rutinler tekrar işletilir, eğer (eax=esi) değeri “0” ise kernel alanı bulunur ve gerekli API’ler için “entry-point” adresleri hesaplanır. Tüm rutinler tamamlanıyorsa kod “sub_401d24” adresine dallaniyor, sözkonusu adresin üzerine gelip “enter” tusuna basip gerekli rutini incelemeye başlayabiliriz.

20

İlgili fonksiyonun içerisine girdiğimizde resimde görüldüğü gibi fonksiyonun ilk komutu bir başka fonksiyonu çağırıyor. Bu fonksiyonun ne olduğunu anlayabilmemiz için ilgili fonksiyonu yeni pencerede (“ALT-ENTER”)  açıyoruz.

21

İlk satırdan da anlayabileceğimiz gibi bu bir kayıt defteri (registry) rutini ve bu rutinin işletilmesinin sebebi zararlı kodun kendini kayıt defterine ekleyerek otomatik olarak çalışmasını sağlamak. Amacımız virüsün yapısının statik olarak anlaşılması, bu süreçler ise “davranışsal” olarak tespit edilebilir. Bizi ilgilendiren kısımlar “tamamen statik” olarak yapının anlaşılmasıdır, bu nedenle bu kısım daha sonra incelenecektir.

22

Artık ilk “call” komutu ile hangi fonksiyonun çağrılacağı ve ilgili fonksiyonun ne iş yaptığını öğrendiğimize göre geri kalan satırlar ile ilgilenebiliriz. İlk işaretli alan “OpenClipboard” fonksiyonunu kullanmak için yapılan çağrı ve parametreleri içerir.

NOT: OpenClipboard ve benzeri bir çok API hakkında gerekli bilgileri ezbere bilmek çoğu zaman mümkün değildir. Bunun için “Microsoft MSDN” sayfalarını inceleyerek hangi API ne tür değerler alıyor ve ne işe yarıyor bilgisini elde edebilirsiniz. (http://msdn.microsoft.com/)

Bir sonra ki isaret edilen alanda ise “GetClipboardData” çağrılıyor, görevi “clipboard” içerisinde ki verileri almak olarak açıklanabilir. “OpenClipboard” fonksiyonunun çağrılma sebebi daha net olarak anlaşılıyor. Nedeni ise, “GetClipboardData” fonksiyonunu kullanmak için “OpenClipboard” fonksiyonu panoyu (clipboard) daha önce açmış olmak gerekir.

Bir sonra ki işaretli alan ise “DragQueryFile” fonksiyonunu çağırır. Burada aldığı deperlerin stack alanına “push” edildikleri görülüyor. Aldığı son değer “0xFFFF”  olduğunda, dönüş değeri olarak geriye “drop” edilen dosyaların sayısı döndürülür.

NOT: Buraya kadar yapılan işlemler sonucunda zararlı yazılımın “clipboard” üzerinde çeşitli değişiklikler yaptığını anlıyoruz.

Her API kullanımı sonrasında mantıksal bir kıyaslama yapılmış burada “clipboard” üzerinde işlem yapmak mümkün değilse ne yapılacağı ile ilgili rutinler var. Bu kısmı ilerleyen zamanlarda inceleyeceğiz.

Otomatize Malware Analiz

Zararlı kod analizinin dinamik olarak yapılması işlemini otomatize eden araçlar günümüzde hızla yaygınlaşmaktadır. Antivirüs firmaları “sandbox” adı verdikleri platformları ürün haline getirip büyük firmalara satmaktadır.

Dinamik olarak analiz işlemi bir çok kritik veriyi elde etmemize neden olur. Bu verilerin analiz süreci tamamlanması ve zararlının bulaştığı sistemden nasıl kaldırılacağı hakkında analist için yol haritası niteliğindedir.

Örnek olarak, bu “sandbox” araçları zararlı kodun “registry” operasyonları, “load time” ve “run-time” yüklenen “kütüphaneler” hakkında detaylı bilgiler sunabilirler.

23

Resimde görülen ekran bir sandbox analiz sonucudur. En çok kullanılan “sandbox” sistemlerinden biri olan Anubis ücretsiz bir servistir. Zararlı kodun “local” sistem üzerinden ya da bir “URL” aracılığı ile yüklenerek analiz edilebilmesine olanak tanır.

24

Yukarıda görülen ekranda “zararlı yazılımın” registry kayıtları üzerinde yaptıkları operasyonlar görülmekte. Çalıştıktan sonra düzenlenen registry kayıt bilgileri ile zararlının bazı operasyonları iptal edilebilir.

Linux Payload:  Uygulama Shellcode Analiz (“Radare”)

Daha öncede bahsettiğimiz gibi yukarıda bahsedilen virüs “destructive” bir payload’a sahip değildir fakat zararlı kodların çoğu  “destructive” bir “payload” içerir. Yani genelde bu verinin çalınması ya da bulaştığı sisteme zarar veren bir kod parçası olur.

Peki bu kodlar nasıl incelenir? Linux üzerinde bu zararlıların incelenmesi için birçok araç ve yöntem mevcuttur. Burada araçların kullanımı öğrenmek adına “radare” isimli yazılımdan bahsedilecektir. Radare komut satırı üzerinden çalışan bir yazılımdır ve disassembler olarak kullanılır.

Elimizde bir “payload/shellcode” var ve bunun ne iş yaptığını bilmiyoruz.  Bunu analiz etmek için aşağıdaki adımları takip etmemiz gerekiyor. Analiz aşaması tamamen statik olarak gerçekleşecektir.

25

Yukarıda görüldüğü gibi “payload/shellcode” yazılıma yüklendikten sonra “Radare2” içerisine yani kendi komut satırına düşüyoruz. Bu programımızın “payload” yüklendikten sonraki  “anaekranıdır.”

26

Yukarıda görüldüğü gibi “radare” içerisinden “section list” penceresi görülebilir. Burada bizim “disassemble” etmek istediğimiz fonksiyon “main” fonksiyonudur. Doğrulamak adına “pd” komutunu vererek “main” fonksiyonunun hangisi olduğunu görmemiz gerekiyor.

27

EK -- Windows “Crash Dump” Analizi

Windows işletim sisteminde oluşan “mavi ekran” yani “BSOD” (Blue Screen of Death) hataları hemen her kullanıcı için tanıdıktır. Hatanın çözümü çoğu zaman işletim sisteminin yeniden kurulması olarak telafi edilir. Kritik sistemler için aynı durum söz konusu değildir, sistem üzerindeki “driver” problemleri bu sonuca sebep olabileceği gibi işletim sistemi çekirdek seviyesinde çalışan “rootkit” adı verilen zararlı yazılımlar’da bu duruma sebep olabilirler.

Bu hataların anlaşılabilmesi ve giderilebilmesi için Microsoft kullanıcılara/geliştiricilere bazı yazılımlar sunarlar. Bu tip bir durumun analizi için gerekli işlemler ve yazılımların kurulumu adım adım anlatılacaktır.

NOT: Tüm işlemler sanal makine üzerinden gerçekleştirilecektir. Hatanın oluştuğu makineye erişim için gerekli olan araçlar değişmekle birlikte süreç aynıdır.

Sanal Makine Kurulumu

Tüm işlemler “VirtualBox” üzerine kurduğumuz Windows 7 işletim sistemi üzerinden gerçekleştirilecektir. Bunun için VirtualBox üzerinde gerekli ayarlar yapılmalıdır. Debugger ile sanal makine içerisindeki Windows 7 işletim sistemine bağlanabilmek için bu ayarlar yapılacaktır. Aşağıdaki resimde görüldüğü gibi bu işlemleri gerçekleştirebilirsiniz.

28

Yukarıda görülen ayarları tam olarak yaptıktan sonra Windbg ile sisteme bağlanacak port belirtilmiş olacaktır. Windbg için gerekli ayarlamalar bir sonraki adımdan gösterilecektir. Tüm işlemler yapıldıktan sonra sanal makine içerisindeki sisteme “remote” olarak bağlanmak mümkündür.

KD/Windbg Kurulumu

Microsoft geliştiricilerin gerek “user-land” ve gerekse “kernel-land” uygulamaları “debug” edebilmesi için gelişmiş araçlar sunar. Bunlardan bir tanesi, “Debugging Tools for Windows” paketidir, bu paket içerisinde “debugging” için gerekli paketlere ulaşabilirsiniz.

29

Yukarıda görüldüğü üzere “Redistributable Packages” kategorisi altında “Debugging Tools” seçeneği işaretlenmelidir. Böylece gerekli olan araçların kurulumu gerçekleştirilecektir.

KD/Windbg ile Sembol Ayarları

Windbg ile sisteme bağlandıktan sonra Microsoft tarafından sağlanan sembolleri kullanarak, “debugging” işlemini kolaylaştırabilirsiniz. Microsoft tarafından sağlanan bu semboller sayesinde “debug” çıktılarını daha kolay okuyabilir ve böylece daha iyi anlayabiliriz.

30

Remote Kernel Debugging

Daha önce VirtualBox içerisinde Windows işletim sistemine bağlanabilmek için bir takım ayarlar yapmıştık. Bu ayarları yapmamızın sebebi Windbg ile uzaktaki bir makineye “kernel mode debugging” yapmak için bağlanabilmektir.

VirtualBox içerisinde belirlediğimizi ayarları Windbg ile bağlanabilmek sırasıyla “File – Kernel Debugging” ile açılan pencereye girmemiz gerekiyor.

31

Yukarıda görüldüğü gibi sadece  “Port” kısmına VirtualBox içerisinde belirlediğimiz bölümü eklememiz gerekiyor.  Tüm ayarlarınız yukarıda anlatıldığı gibi ise “OK” butonuna basarak Kernel Debugger’ı aktif hale getirebiliriz.

32

Bir önceki resimde görüldüğü gibi yukarıdaki ekranın başarılı bir şekilde gelmiş olması lazım. Dikkat edilmesi gereken nokta ilk satırlarda “waiting to reconnect” mesajını görüdüğünüzde “Ctrl + Break” tuşuna basmanız gerekir.

Aynı işlemi komut satırından gerçekleştirebilirsiniz, Debugging Tools for Windows klasörü içerisinde bulunan kd.exe isimli yazılım komut satırı yazılımıdır.

33

Windows İşletim Sisteminin Ayarlanması

Windows işletim sistemi üzerinde BSOD analizinin yapılabilmesi için öncesinde bir kaç ayar yapmak gerekir. Bunun için “kontrol paneli” üzerinden “view advanced system settings” seçeneği seçilmelidir. Açılan pencereden “Startup and Recovery” kısmından gerekli ayarlar aşağıda görüldüğü gibi yapılmalıdır.

34

Burada “Dump file” kısmında mavi ekran yani BSOD durumu gerçekleştiğinde ilgili hatayı bulabilmek için ilgili “memory dump” verisinin nereye kaydedileceği bilgisidir. Kernel için “minidump” verisidir, bu dosyaya erişebilmek için “Windows” dizini altında “minidump” isimli klasöre erişmeniz gerekir.

Örnek: Crash Dump Analizi

Örnek bir uygulamanın gerçekleştirilebilmesi için Windows içerisindeki driver kullanılacaktır. Hatanın nereden kaynaklandığını bulmamız gerekmekte, bunun için örnek bir olay yaratmamız gerekiyor. Daha önce “debugger” ile “kernel” içine girebildiysek vermemiz gereken komut “.crash” komutudur. Böylece örnek bir mavi ekran hatası alacağız.

35

Bu komutu verdikten sonra sanal makine içerisindeki işletim sisteminin mavi ekran vermesi gerekmektedir. Bu komut verildikten sonra işletim sistemi tarafında aldığımız mavi ekran hatasının hangi sürücüden kaynaklı olduğunu bulmamız artık kolaydır.

36

Yukarıda resimde görülen “Dumping physical memory to disk” yazısı eğer siz aynı işlemleri denediğinizde çıkmadı ise “g” komutu ile bu işlemi başlatabilirsiniz. Bunun anlamı daha önce işletim sistemi üzerinde ayarladığımız “memory dump” ile ilgilidir. Memory dump verisini aldıktan sonra tüm işlemleri kolayca sürdürebiliriz.

Attachment:Zararli Kod Analiz Egitimi Brosuru