Zararlı Yazılım Analizleri 101 |
1. Bölüm

Zararlı yazılımlar, son zamanlarda gerçekleşen olaylar sonucunda gerçek birer tehdit haline geldiler. Fatmal, Duqu, Stuxnet gibi hedefe yönelik zararlı yazılımlar; ülkelerin güvenlik birimlerini harekete geçirdi. Bu yazımızda zararlı yazılım analizleri yapılırken kullanılan tool(araçlar) ve yöntemler hakkında detaylı bilgi bulabilirsiniz.

A- A+

29.03.2014 tarihli yazı 9978 kez okunmuştur.

Küresel boyutta gerçekleşen; siber olayların arkasında devlet destekli(State Sponsored) adı verilen hedef odaklı zararlı yazılımların geliştirildiği, Edward Snowden tarafından; Amerika’daki NSA [National Security Agency] belgelerinin ifşa edilmesi olayı ve NSA’in Dünya genelinde 50.000 bilgisayara backdoor(arka kapı) yerleştirmesinin ardından zararlı yazılımların tehditlerinin ne derecede önemli bir boyutlara ulaştığı, sosyal medya ve internet ortamında geniş yankı uyandırdı.

► İlginizi Çekebilir: Çok Katmanlı Yazılım Mimarisi

Yazının temel içeriği, zararlı yazılım analizlerinin yapılması için sadece eğitim ve farkındalık oluşturulması amacıyla hazırlanmıştır. Makaleyi daha iyi anlayabilmek için ön teknik bilgi gerekmektedir.

► İlginizi Çekebilir: Zararlı Yazılımların Bulaşma Yolları

Zararlı yazılımlar analiz edilirken aşağıda verilen durumlar incelenmelidir. Bulaşma belirtileri, etkilediği süreçler ya da zararlı süreçleri, direniş mekanizması, zararlının izlediği network davranışları, herhangi bir rootkit olup olmadığı, zararlı davranışlarının belirlenmesi ve internet üzerinden yaptığı bağlantılar ve güncellemeler bilinmelidir.

Bulaşma belirtilerinin anlaşılması gerekmektedir. Anlaşılmayan uygulamalar, yeni bir uygulamanın aniden çalışması; sistem yavaşlamaları, bilgisayarın aniden yavaşlaması, online hesapların sıfırlanma isteği, e-mail şifre değişiklikleri, kredi kartları hesaplarındaki değişmeler…

► İlginizi Çekebilir: Açık Kaynak Siber İstihbarat Ağları

Bu değişimlerin tespit edilmesi ve zararlının cihazdan kaldırılması gerekenler aşağıdaki gibidir. Sistemin bağlı bulunduğu ağdan bağlantısının kesilip izole edilmesi, zararlı dosyalara, network aktivitelerine, süreçlere ve kayıtlara bakılması gerekmektedir. Öncelikle zararlı aktiviteleri tespit edilir. Zararlı dosyası sistemden izole edilir. Dosyanın zararlı olduğu doğrulanır. Direniş mekanizması tanımlanılır ve kırılır. Zararlı dosyalar tamamen sistemden silinirler. Zararlı aktiviteleri olup olmadığı birkaç defa monitoring yapılarak tekrardan izlenilir.

► İlginizi Çekebilir: Zararlı Yazılımların Bulaşma Yolları

Zararlı yazılım çalışabilmesi için derlenmesi gerekmektedir. Zararlı yazılım yeni süreçler oluşturarak; zararlı kodu ya da zararlının dll(dynamic link library) dosyasını enjekte ederek çalışmaktadır.

► İlginizi Çekebilir: Tersine Mühendislik | Reverse Enginnering

Zararlı davranışlarının belirlenebilmesi için hazırlanmış araçlar vardır. Process Hacker, Tcpview, autoruns, process explorer, procmon gibi bir çok ücretsiz analiz aracı bulunmaktadır.

Tanıdık olmayan süreçlerin bulunması ve CPU kullanımı kontrolü yapılması gerekmektedir.

► İlginizi Çekebilir: Yazılım Projesi Nasıl Hazırlanır?

Svchost.exe, dll dosyalarından başlatılan işlemlerin yürütülmesini sağlayan bir sistem uygulamasıdır. Bu uygulama dll dosyaları bir başlatıcıya ihtiyacı olduğu için kullanılmaktadır. Zararlı yazılımlar bazen bu srchost.exe, schostt.exe gibi değişik isimlerle bilgisayarlara bulaşabilmektedir.