elektrik port üyelik servisleri elektrik port üyelik servisleri

Zararlı Yazılım Analizleri 101 |
1. Bölüm

Zararlı yazılımlar, son zamanlarda gerçekleşen olaylar sonucunda gerçek birer tehdit haline geldiler. Fatmal, Duqu, Stuxnet gibi hedefe yönelik zararlı yazılımlar; ülkelerin güvenlik birimlerini harekete geçirdi. Bu yazımızda zararlı yazılım analizleri yapılırken kullanılan tool(araçlar) ve yöntemler hakkında detaylı bilgi bulabilirsiniz.



A- A+
29.03.2014 tarihli yazı 5185 kez okunmuştur.
Küresel boyutta gerçekleşen; siber olayların arkasında devlet destekli(State Sponsored) adı verilen hedef odaklı zararlı yazılımların geliştirildiği, Edward Snowden tarafından;  Amerika’daki NSA [National Security Agency] belgelerinin ifşa edilmesi olayı ve NSA’in Dünya genelinde 50.000 bilgisayara backdoor(arka kapı) yerleştirmesinin  ardından zararlı yazılımların tehditlerinin ne  derecede önemli bir boyutlara ulaştığı, sosyal medya ve internet ortamında geniş yankı uyandırdı.





► İlginizi Çekebilir: Çok Katmanlı Yazılım Mimarisi

 
Yazının temel içeriği, zararlı yazılım analizlerinin yapılması için sadece eğitim ve farkındalık oluşturulması amacıyla hazırlanmıştır. Makaleyi daha iyi anlayabilmek için ön teknik bilgi gerekmektedir. 

 

 

► İlginizi Çekebilir: Zararlı Yazılımların Bulaşma Yolları

 
Zararlı yazılımlar analiz edilirken aşağıda verilen durumlar incelenmelidir. Bulaşma belirtileri, etkilediği süreçler ya da zararlı süreçleri, direniş mekanizması, zararlının izlediği network davranışları, herhangi bir rootkit olup olmadığı, zararlı davranışlarının belirlenmesi ve internet üzerinden yaptığı bağlantılar ve güncellemeler bilinmelidir. 




Bulaşma belirtilerinin anlaşılması gerekmektedir. Anlaşılmayan uygulamalar, yeni bir uygulamanın aniden çalışması; sistem yavaşlamaları, bilgisayarın aniden yavaşlaması, online hesapların sıfırlanma isteği, e-mail şifre değişiklikleri, kredi kartları hesaplarındaki değişmeler…


► İlginizi Çekebilir: Açık Kaynak Siber İstihbarat Ağları




Bu değişimlerin tespit edilmesi ve zararlının cihazdan kaldırılması gerekenler aşağıdaki gibidir. Sistemin bağlı bulunduğu ağdan bağlantısının kesilip izole edilmesi, zararlı dosyalara, network aktivitelerine, süreçlere ve kayıtlara bakılması gerekmektedir. Öncelikle zararlı aktiviteleri tespit edilir. Zararlı dosyası sistemden izole edilir. Dosyanın zararlı olduğu doğrulanır. Direniş mekanizması tanımlanılır ve kırılır. Zararlı dosyalar tamamen sistemden silinirler. Zararlı aktiviteleri olup olmadığı birkaç defa monitoring yapılarak tekrardan izlenilir.
 

► İlginizi Çekebilir: Zararlı Yazılımların Bulaşma Yolları





Zararlı yazılım çalışabilmesi için derlenmesi gerekmektedir. Zararlı yazılım yeni süreçler oluşturarak; zararlı kodu ya da zararlının dll(dynamic link library) dosyasını enjekte ederek çalışmaktadır.

 

 


Zararlı davranışlarının belirlenebilmesi için hazırlanmış araçlar vardır. Process Hacker, Tcpview, autoruns, process explorer, procmon gibi bir çok ücretsiz analiz aracı bulunmaktadır.

 
 


Tanıdık olmayan süreçlerin bulunması ve CPU kullanımı kontrolü yapılması gerekmektedir.
 


 
► İlginizi Çekebilir: Yazılım Projesi Nasıl Hazırlanır?
 
Svchost.exe, dll dosyalarından başlatılan işlemlerin yürütülmesini sağlayan bir sistem uygulamasıdır. Bu uygulama dll dosyaları bir başlatıcıya ihtiyacı olduğu için kullanılmaktadır. Zararlı yazılımlar bazen bu srchost.exe, schostt.exe gibi değişik isimlerle bilgisayarlara bulaşabilmektedir.

 

Kaynak :

►Prezi
►Fireeye
 
Ahmet Han Ahmet Han Yazar Hakkında Tüm yazıları Mesaj gönder Yazdır



ANKET
Endüstri 4.0 için En Hazır Sektör Hangisidir

Sonuçlar