Zararlı Yazılım Analizleri 101 |
1. Bölüm
Zararlı yazılımlar, son zamanlarda gerçekleşen olaylar sonucunda gerçek birer tehdit haline geldiler. Fatmal, Duqu, Stuxnet gibi hedefe yönelik zararlı yazılımlar; ülkelerin güvenlik birimlerini harekete geçirdi. Bu yazımızda zararlı yazılım analizleri yapılırken kullanılan tool(araçlar) ve yöntemler hakkında detaylı bilgi bulabilirsiniz.
29.03.2014 tarihli yazı 17754 kez okunmuştur.
Küresel boyutta gerçekleşen; siber olayların arkasında devlet destekli(State Sponsored) adı verilen hedef odaklı zararlı yazılımların geliştirildiği, Edward Snowden tarafından; Amerika’daki NSA [National Security Agency] belgelerinin ifşa edilmesi olayı ve NSA’in Dünya genelinde 50.000 bilgisayara backdoor(arka kapı) yerleştirmesinin ardından zararlı yazılımların tehditlerinin ne derecede önemli bir boyutlara ulaştığı, sosyal medya ve internet ortamında geniş yankı uyandırdı.
Yazının temel içeriği, zararlı yazılım analizlerinin yapılması için sadece eğitim ve farkındalık oluşturulması amacıyla hazırlanmıştır. Makaleyi daha iyi anlayabilmek için ön teknik bilgi gerekmektedir.
Zararlı yazılımlar analiz edilirken aşağıda verilen durumlar incelenmelidir. Bulaşma belirtileri, etkilediği süreçler ya da zararlı süreçleri, direniş mekanizması, zararlının izlediği network davranışları, herhangi bir rootkit olup olmadığı, zararlı davranışlarının belirlenmesi ve internet üzerinden yaptığı bağlantılar ve güncellemeler bilinmelidir.
Bulaşma belirtilerinin anlaşılması gerekmektedir. Anlaşılmayan uygulamalar, yeni bir uygulamanın aniden çalışması; sistem yavaşlamaları, bilgisayarın aniden yavaşlaması, online hesapların sıfırlanma isteği, e-mail şifre değişiklikleri, kredi kartları hesaplarındaki değişmeler…
Bu değişimlerin tespit edilmesi ve zararlının cihazdan kaldırılması gerekenler aşağıdaki gibidir. Sistemin bağlı bulunduğu ağdan bağlantısının kesilip izole edilmesi, zararlı dosyalara, network aktivitelerine, süreçlere ve kayıtlara bakılması gerekmektedir. Öncelikle zararlı aktiviteleri tespit edilir. Zararlı dosyası sistemden izole edilir. Dosyanın zararlı olduğu doğrulanır. Direniş mekanizması tanımlanılır ve kırılır. Zararlı dosyalar tamamen sistemden silinirler. Zararlı aktiviteleri olup olmadığı birkaç defa monitoring yapılarak tekrardan izlenilir.
Zararlı yazılım çalışabilmesi için derlenmesi gerekmektedir. Zararlı yazılım yeni süreçler oluşturarak; zararlı kodu ya da zararlının dll(dynamic link library) dosyasını enjekte ederek çalışmaktadır.
► İlginizi Çekebilir: Tersine Mühendislik | Reverse Enginnering
Zararlı davranışlarının belirlenebilmesi için hazırlanmış araçlar vardır. Process Hacker, Tcpview, autoruns, process explorer, procmon gibi bir çok ücretsiz analiz aracı bulunmaktadır.
Tanıdık olmayan süreçlerin bulunması ve CPU kullanımı kontrolü yapılması gerekmektedir.
► İlginizi Çekebilir: Yazılım Projesi Nasıl Hazırlanır?
Svchost.exe, dll dosyalarından başlatılan işlemlerin yürütülmesini sağlayan bir sistem uygulamasıdır. Bu uygulama dll dosyaları bir başlatıcıya ihtiyacı olduğu için kullanılmaktadır. Zararlı yazılımlar bazen bu srchost.exe, schostt.exe gibi değişik isimlerle bilgisayarlara bulaşabilmektedir.
Kaynak :
►Prezi
►Fireeye
YORUMLAR
Aktif etkinlik bulunmamaktadır.
- Dünyanın En Görkemli 10 Güneş Tarlası
- Dünyanın En Büyük 10 Makinesi
- 2020’nin En İyi 10 Kişisel Robotu
- Programlamaya Erken Yaşta Başlayan 7 Ünlü Bilgisayar Programcısı
- Üretimin Geleceğinde Etkili Olacak 10 Beceri
- Olağan Üstü Tasarıma Sahip 5 Köprü
- Dünyanın En İyi Bilim ve Teknoloji Müzeleri
- En İyi 5 Tıbbi Robot
- Dünyanın En Zengin 10 Mühendisi
- Üretim için 6 Fabrikasyon İşlemi
- Nasıl Dönüşür I Elektrik 4.0
- Nasıl Dönüşür I Fosil Yakıt
- Nasıl Dönüşür I Kompost
- Sigma DIN Rayı Çözümleri: Ürün Portföyü, Teknik Özellikler ve Kullanım Alanları
- Denizcilik Endüstri Uygulamaları ve Servis Bakım Süreçleri
- DrivePro Yaşam Döngüsü Hizmetleri
- Batarya Testinin Temelleri
- Enerji Yönetiminde Ölçümün Rolü: Verimliliğe Giden Yol
- HVAC Sistemlerinde Kullanılan EC Fan, Sürücü ve EC+ Fan Teknolojisi
- Su İşleme, Dağıtım ve Atık Su Yönetim Tesislerinde Sürücü Kullanımı
ANKET