Zararlı Yazılım Analizi ve Tespiti

Günümüz teknolojisinin gelişmesi ile birlikte İnternet kullanımı yaygınlaştı. Banka kartları ile tek tıklama yapılarak fatura ödemeleri başta olmak üzere, alışveriş vb. eylemler saniyeler içerisinde gerçekleşiyor. Zararlı yazılım analizi adı altında birçok program yüklenerek, bilgilere kolay ulaşılıyor. Durum bu şekilde olunca ciddi zarar kaybı yaşanmasına olanak tanınmış olunuyor.

Zararlı Yazılım Analizi

Zararlı Yazılım Analizi
Zararlı Yazılım Analizi

Son zamanları özellikle fidye yazılım saldırılarının artması başta devletin önemli kurumları olmak üzere birçok şirketi ciddi derecede zarar vermiştir. Ödenen yüksek fiyatlı fidyeler haricinde firmalara olan güven kaybını ciddi derecede olumsuz yönde etkiliyor. Siber saldırı yapılmadan önce birçok zararlı yazılımlar kullanılır.

Siber saldırılarda ‘’salucan, rootkit, casus yazılımı, Truva atı’’ vb. sayısız casus yazılım çeşidi kullanılıyor. Zararlı yazılım analizi nasıl yapılır? Sorusunun siber güvenlik sayfalarında sıklıkla arandığını görüyoruz. Zararlı yazılım analizi, kullanılan bilgisayarın işletim sistemini olumsuz yönde etkileyecek şekilde zarar veriyor. En önemlisi de bilgisayar ağasına sızıntı yaprak veri akışında ki bilgilerini kopyalanmasına sebep oluyor.

Zararlı yazılım Kullanımı ve Malware İşlemi Nasıldır?

Zararlı yazılım tespit ve analiz yöntemleri tespiti yapılırken ‘’metinsel yara’’ diye ya da binary pattern’lere dayalı malware kuralları oluşturulabilir. Bir dosya içerisine ‘’text string’’ aramak gibi Yara kuralları ya da belirli bir sanal hafıza(bellek) adresinde bulunan verilerde Yara kuralları bulunur.

Yara kuralları Virustotal tarafından geliştirdi. Malware, araştırmacılarının malware örneklerini tanımlanmasına yardımcı olmayı amaçlar. Hatta sınıflandırmaya bile yardımcı olur. Fakat sadece bunlarla sınırlı olmayan açık kaynak kodlu bir araç olduğunu belirleniyor. Malware analizinin süreci sizlerin işini kolaylaştırarak, tespitin daha detaylı olmasını sağlar.

Zararlı Yazılım Çeşitleri

Zararlı Yazılım Analizi
Zararlı Yazılım Analizi

Zararlı yazılım için bilgisayara veya ağa zarar vermek maksadı ile kullanılan yazılım çeşididir olarak tanımlanır. Zararlı yazılımlar 3 temel teknikte incelenir.

-Statik analiz: Zararlı yazılımı aktif hale getirmeden önce bilgilerin toplanma işlemine denir. Bu yöntem sayesinde dosyanın zararlı yazılıma sahip olup olmadığı anlaşılır. Tıpkı bir virüs programının zararlı dosyaları bularak, uyarı vermesi gibidir. Analiz yönteminde zararlı yazılımların kesinlikle saptanamaz.

-Dinamik analiz: Bu analiz yöntemi diğerlerine göre farklıdır.  Davranışsal olarak bilinir. Sisteme zarar verecek yazılımları çalıştırarak IP adreslerine kadar bilgiler edinilebilir. Bunun için gerçekleştirilen işlemler, etki alanı ve oluşturulmuş komutların detayı önemlidir. En önemlisi bu yöntem aktif olarak kullanılması durumunda ‘’tersine mühendislik’’ hakkında tüm detayın bilgi sahibi olunması, zararlı dosyaların çalıştırıldığı andan itibaren ağa zarar vermemesi için koruma (izole) konumunda olması açısından büyük önem taşır.

-Hybrid analiz: Statik ve dinamik analiz yöntemlerinin birleşerek, birlikte gerçekleştirilen analiz yöntemidir.

Zararlı Yazılımların Güçlenmesi Nasıl Olur?

Günümüz teknolojisinin yaygın olması yazılım analizlerini güçlendiriyor. ‘’Malware’’ isminde zararlı yazılıma sahip analizlerini gerçekleşmesini sağlayan ‘’sanbox’’ sistemler vardır. Bu sistemler sayesinde de analizler otomatize edilir. Sanboxların zararları statik ve dinamik analizleri otomatize olarak gerçekleşir. Daha sonra bunu düzenli bir rapor halinde sunarlar. Ne yazık ki sandbox yazılı haricinde ki diğer yazılımlar işletim sistemini çalıştırsa da sanallaştırma servisleri gibi teknikle geliştirilebilir. Zararlı yazılımlar hem sistemin çökmesine hem de kişisel bilgilerin kolayca kopyalanmasına sebep olur. Zararlı yazılımların güçlenmesi için profesyonel destek alınmalıdır.

Zararlı Yazılım Tespiti Yapılarak Engelleme Çözümleri

Zararlı yazılım tespiti yapılarak engelleme çözümleri birbirinden farklıdır. Hepsinin farklı görevi bulunur.

1-Kapsamlı tehdit algılama: Kullandığınız ağınız herhangi bir noktada saldırı anında bulunan tüm bağlantı noktalarını ortalama 80’den fazla protokolü gözlemler.

2-Esnek kum havuzu servisi: Yatay olarak esneme özelliğine sahiptir. Bu sayede e-posta, ağ trafiği ve web trafiği güvenliği ile ilgili performans problemi yaşamanız olanaksızdır.

3-Özelleştirilmiş kum havuzları: Trend Micro Deep Discovery ürünleri, sizi rakipleri içerisinde gömülü bir durumda hatta değiştirilmeyen bir kum havuzunu kullanmaya kesinlikle zorlamaz! Kendi kumunuzu kendiniz kullandığınız için dış çevreden gelecek olası saldırıları tespit etme olanağı sağlar.

4-Kötü amaçlı yazılım etkinliği: Sadece kötü amaçlı yazılımlar için değil hedefe yönelik olası bir saldırı durumunda uzman algılama motorları ve bağlantı kuralları analizi kullanılır.

5-Özel kum havuzu analizi: Organizasyonların tamamını hedef alan tehditlere karşı sistem yapılandırılması için yeni bir imaj kullanılır.

6-Kapsamlı sistem koruması: Windows işletim sistemi başta olmak üzere, Linux, Mac OS X ve diğer işletim sistemlerine yönelik olası saldırıları algılar.

7-Tek cihaz kolaylığı ve esnekliği: Farklı algılarda sunulan sistem ayrı zamanda donanımsal veya yazılımsal yapılandırmalarda dağıtım yapan tek cihaz özelliğini taşıyan güvenlik sürecini basitleştirir.

8-Custom defense çözümü: Yayılma istihbaratını göstergelerini sizinle paylaşır. Olası bir durum saldırılarına karşı koruma özelliğine geçerek ‘’Trend Micro’’ ve ‘’diğer güvenlik’’ ürünlerini güncel olarak tutar.

Zararlı Yazılım Tespiti ve Engelleme Çözümü Nasıldır?

Saldırganların ağınıza sızıp bilgilerinizi almasında en yaygın kullanılan yöntemlerin başında gelen anti-virüs programları önemlidir. Her yazılım zararlı yazılım olmasa bile gelişmiş bir yazılımın modifiye edilerek hedefe yönelmesini mümkündür. Her yeni yazılım gelişmiş özelliklerde zararlı bir yazılımın modifiye edilerek özel düzenlenmiş varyasyonunu ifade eder.

Zararlı Yazılım Analizi
Zararlı Yazılım Analizi

Ağınıza sizin haberiniz olmadan İnternet üzerinden komuta konrol sunucusuna bağlanır. Elde edilen bilgiler saldırgana gönderilir. Daha sonra yeni komutlar alınır. 360 derece ağ akışı takibi ile ortalama +100 protokolü çözümleme yapılır. Deep Discovery İnspector hedefe yönelik tüm saldırılarını algılamak için ağ genelinin tamamında izlenebilir.

Kurumsal Ağlarda Olan Zararlı Yazılım Analizi

Ağ ortamlarında sıkça rastlanan ve ‘’Antivirüs, HIP’’ gibi programların klasik yazılımları analizinin etkilenmemesini sağlamak için faaliyetinin bütününü oluşmasını sağlar. İşletim sisteminde birçok zararlı yazılım bulunabilir. Bunun için bellek alanlarının sürekli güncel tutulması ve sızıntı yaşanmaması için birtakım önlemler alınır.

Zararlı yazılımlar kendi alanlarında enjekte etmek gibi yöntemler kullanılır. Bunun için bir bellekte yer edinme işleminin gerçekleşmesi gerekir. Bunun nedeni özetlemek gerekirse: işlemcilerin çalıştıracağı kodların tamamının kendi ön belleğinde saklanmasıdır. Önbellek Senkron edilmesinden kaynaklı sistemde aktif olarak çalışan süreçlerin tamamı bellek analizi ile tespit edilebilir. Kurumsal ağalarda hiç umulmayacak durumlarda zararlı yazılımlar oluşabilir. Bunu ağa üzerinden gerçekleştirilse de alınan yüklenen dosya, indirilen program sayesinde zararlı yazılıma sahip olunma olanağı olunuyor. Uzmanlar zararlı yazılımlara karşı tedbirli olunması gerektiğini belirtiyor.

İleri Seviye Dinamik Analizi

İleri seviye dinamik analizi zararlı yazılımı kendi belleğinde saklar. Break Point bırakılarak komutların sırayla tüm davranışların ‘’debugger’’üzerinden incelenme işlemi yapılır. Bu sırada ‘’Olly Debugger’’ ve ‘’Windbg’’ araçları kullanılmaktadır. Zararlı yazılım incelemesi yapılırken, yazılımın aktif çalışacağı mekanın kesinlikle ‘’izole’’ halinde olması gerekir. Sanal makine çalıştırılan programlarda Network ayarı ‘’Host Only’’ olarak yapılır.

Küresel boyutta yapılan ‘’siber saldırılar’’  devlet destekli zararlı yazılımların geliştirildiği ‘’Edward Snow’’ tarafından ABD belgelerini ifşa etme olayı sonrasında büyük yankı uyandırdı. Zararlı yazılım analizlerinin yapılması için eğitim ve farkındalık oluşturulmalıdır. Zararlı yazılımları analiz ederken aşağıda ki davranışlar gözlemlenir.

  • Symptoms of ıngection
  • Find suspicious process
  • Find persistence mechanism
  • Find rootkit
  • Malware eliminiation diagram
  • Find ınfection route
Zararlı Yazılım Analizi
Zararlı Yazılım Analizi
Ekim 1, 2021

Veri Madenciliği

Eylül 30, 2021

Siber Saldırısı

Eylül 24, 2021

Loglama Nedir?

YORUMLAR

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir