Aşağıdaki makale size yardımcı olacaktır:Kötü Amaçlı Yazılım Analizi Nedir? Türleri ve Aşamaları Açıklanıyor
Kötü amaçlı yazılım analizi yapmak her zaman kolay değildir, ancak bu makale, kötü amaçlı yazılım analizine nelerin dahil olduğuna dair bir anlayış sunmayı amaçlamaktadır.
Kötü amaçlı yazılım analizi, türleri ve aşamaları hakkında bilgi edinmeden önce, bu hızlı genel bakışla kötü amaçlı yazılımın ne olduğunu anlayalım.
Kötü amaçlı yazılım nedir?
Kötü amaçlı yazılım, bilgisayar sistemlerine, sunuculara, ana sistemlere veya ağlara zarar veren ve yok eden bir tür müdahaleci yazılımdır. Herhangi bir programlanabilir cihaza, ağa veya hizmete zarar vermek veya bunlardan yararlanmak için özel olarak tasarlanmış her türlü kötü amaçlı yazılım için her şeyi kapsayan bir terimdir. Virüsler, solucanlar, reklam yazılımları, casus yazılımlar, truva atı virüsleri ve fidye yazılımları çeşitli kötü amaçlı yazılım tehditleridir.
Kötü Amaçlı Yazılım Analizi Nedir?
Kötü amaçlı yazılım analizi, bir web sitesi, uygulama veya sunucudaki potansiyel tehditleri tespit etme ve azaltma işlemidir. Hassas bilgiler açısından bir kuruluşun güvenliğini ve bilgisayar güvenliğini sağlayan çok önemli bir süreçtir. Kötü amaçlı yazılım analizi, güvenlik açıklarını kontrolden çıkmadan giderir.
Daha basit bir şekilde bakarsanız, kötü amaçlı yazılım analizi, şüpheli bir dosyanın veya URL’nin davranışını ve kullanım amacını anlama süreci olarak düşünülebilir. Şüpheli dosya hakkında ne kadar çok şey bilirseniz, tehdidin (varsa) azaltılmasına o kadar iyi yardımcı olur.
Kötü Amaçlı Yazılım Analizinin Temel Avantajları
Kötü amaçlı yazılım analizi, Güvenlik Analistleri ve olay müdahale ekipleri için çok faydalıdır. İşte sürecin bazı önemli faydaları:
- Saldırının kaynağının belirlenmesi
- Bir güvenlik tehdidinden kaynaklanan zararın belirlenmesi
- Bir kötü amaçlı yazılımın kullanım düzeyini, güvenlik açığını ve uygun yama hazırlıklarını belirleme
- Tehdidin ciddiyet düzeyine göre olayların pratik bir şekilde önceliklendirilmesi
- Engellenmesi gereken gizli Uzlaşma Göstergelerini (IOC) ortaya çıkarma
- IOC, uyarılar ve bildirimlerin etkinliğini artırma
- Tehditleri ortaya çıkarmaya çalışırken bağlamı zenginleştirme
Kötü Amaçlı Yazılım Analizi Türleri
Gerçekleştirilebilecek üç tür kötü amaçlı yazılım analizi vardır:
- Statik kötü amaçlı yazılım analizi
- Dinamik kötü amaçlı yazılım analizi
- Hibrit kötü amaçlı yazılım analizi
Statik Kötü Amaçlı Yazılım Analizi
Statik kötü amaçlı yazılım analizi, dosyaları kötü niyetli niyet belirtileri açısından inceler. Temel bir statik analiz, gerçekten çalışan bir kötü amaçlı yazılım kodu gerektirmez. Kötü amaçlı altyapıyı, paketlenmiş dosyaları veya kitaplıkları ortaya çıkarmak için kullanışlıdır.
Bu tür bir kötü amaçlı yazılım analizinde, dosya adları, hash’ler, IP adresleri gibi dizeler, etki alanları ve dosya başlık verileri gibi teknik göstergeler tanımlanır. Ayrıştırıcılar ve ağ analizörleri gibi çeşitli araçlar, kötü amaçlı yazılımı çalıştırmadan gözlemleme yeteneğine sahiptir. Bu araçlar, belirli bir kötü amaçlı yazılımın nasıl çalıştığı hakkında bilgi toplayabilir.
Statik kötü amaçlı yazılım analizi, kötü amaçlı yazılım kodunu çalıştırmadığından, bazı karmaşık kötü amaçlı yazılımlarda tespit edilemeyen kötü amaçlı çalışma zamanı davranışı olabilir. Örneğin, bir dizi oluşturan ve dinamik diziye bağlı olarak kötü amaçlı bir dosya indiren bir dosya. Temel bir statik kötü amaçlı yazılım analizi kullanılırsa, kötü amaçlı yazılım tespit edilemeyebilir. Bu durumlarda, dosya davranışının tam olarak anlaşılmasında dinamik analiz daha faydalıdır.
Dinamik Kötü Amaçlı Yazılım Analizi
Dinamik kötü amaçlı yazılım analizinde, şüpheli bir kötü amaçlı kod, korumalı alan adı verilen güvenli bir ortamda çalıştırılır. Bu yalıtılmış sanal makine, güvenlik uzmanlarının sisteme veya ağa bulaşma riski olmadan kötü amaçlı yazılımı çalışırken yakından gözlemlemesine olanak tanıyan kapalı bir sistemdir. Bu teknik, tehdidin ve gerçek doğasının daha derin görünürlüğünü sağlar.
İkincil bir avantaj olarak otomatik korumalı alan oluşturma, aksi takdirde kötü amaçlı bir kodu keşfetmek için bir dosyanın tersine mühendislik işlemine harcanacak olan zamanı ortadan kaldırır.
Dinamik analiz, özellikle eninde sonunda korumalı alanların kullanılacağını bilen akıllı rakiplere karşı zorlu olabilir. Bu nedenle, bir aldatma biçimi olarak, düşmanlar kodlarını belirli koşullar karşılanana kadar uykuda kalacak şekilde gizlerler. Kod ancak o zaman çalışacaktır.
Hibrit Kötü Amaçlı Yazılım Analizi
Kötü amaçlı yazılım daha karmaşık bir koda sahip olduğunda temel statik analizin güvenilir olmadığını ve gelişmiş kötü amaçlı yazılımın bazen korumalı alan teknolojisi tarafından tespit edilmekten kaçınabildiğini zaten biliyoruz. Her iki kötü amaçlı yazılım analiz tekniğini birleştirmek, her iki yaklaşımın en iyisini sunar.
Hibrit analiz, gizli kötü amaçlı kodu tespit edebilir ve statik olarak ve daha önce görülmemiş kodla daha birçok IOC’yi çıkarabilir. Bilinmeyen tehditleri, en karmaşık kötü amaçlı yazılımlardan bile tespit edebilir.
Hibrit analiz, davranışsal analiz tarafından üretilen verilere statik analiz uygular. Çalışan ve bellekte bazı değişikliklere neden olan bir kötü amaçlı kod parçası düşünün. Dinamik analiz bunu tespit edebilecek ve Analistler bu bellek dökümü üzerinde statik analiz gerçekleştirmeleri gerektiğini hemen bilecekler. Bu, daha fazla IOC’ye ve sıfırıncı gün açıklarının açığa çıkmasına neden olacaktır.
Statik ve Dinamik Kötü Amaçlı Yazılım Analizi Arasındaki Fark
Statik ve dinamik analiz zaten yukarıda tanımlanmıştır. Daha fazla girmeyeceğiz. Bunun yerine, belirli faktörlere bağlı olarak ikisi arasında bir karşılaştırma yapacağız.
Analiz
Statik kötü amaçlı yazılım analizi, bir kötü amaçlı yazılım örneğini yürütmeden analiz eder ve böylece her aşamada bir Analist ihtiyacını ortadan kaldırır. Numunenin davranışını gözlemler ve kapasitesini ve sisteme ne ölçüde zarar verebileceğini belirler.
Dinamik analiz ise kötü amaçlı yazılım örneğinin davranışını ve eylemlerini kullanarak analiz gerçekleştirir; bu, kodun uygun izleme ile yürütülmesi sırasında çalıştığı anlamına gelir.
teknik
Statik analiz, kötü amaçlı yazılım ikili dosyasının imza analizini içerir. İkili dosyanın benzersiz bir tanımlayıcısı vardır ve makine tarafından yürütülebilir kodu derleme dili koduna dönüştüren IDA gibi bir ayrıştırıcı yardımıyla tersine mühendislik yapılabilir. Bu tür kötü amaçlı yazılım analizinde kullanılan tekniklerden bazıları virüs taraması, paketleyici algılama, dosya parmak izi alma, hata ayıklama ve bellek boşaltmadır.
Dinamik analiz, programı çalıştırırken kötü amaçlı yazılımın davranışını analiz etmenin diğer sistemleri etkilememesi için bir korumalı alan ortamı içerir. Ticari sanal alanlar, manuel analizin yerini otomatik analizle değiştirir.
Yaklaşmak
Statik analiz, kötü amaçlı yazılım tespiti ve analizi söz konusu olduğunda imza tabanlı bir yaklaşıma sahiptir. Kötü amaçlı yazılımdaki benzersiz tanımlayıcı, bir bayt dizisidir. İmzalar farklı desenler kullanılarak taranır. İmza tabanlı kötü amaçlı yazılımdan koruma programları, yalnızca yaygın kötü amaçlı yazılımlara karşı etkilidir. Sofistike ve gelişmiş kötü amaçlı yazılım söz konusu olduğunda bunlar etkisizdir. Dinamik kötü amaçlı yazılım analizinin devreye girdiği yer burasıdır.
Dinamik analizin imza tabanlı bir yaklaşımı yoktur. Bunun yerine, kötü amaçlı yazılımın işlevselliğini belirleyen davranışa dayalı bir yaklaşım kullanır. Kötü amaçlı yazılım tarafından gerçekleştirilen eylemleri incelemeyi içerir.
Kötü Amaçlı Yazılım Analizi Kullanım Örnekleri
Kötü Amaçlı Yazılım Tespiti
Düşmanlar tarafından geleneksel tespit mekanizmalarından kaçınmak için giderek daha karmaşık teknikler kullanılıyor. Tehditler, paylaşılan kod, kötü amaçlı işlevsellik veya altyapı tanımlanarak derin davranışsal analiz yoluyla daha etkili bir şekilde tespit edilebilir.
Ek olarak, kötü amaçlı yazılım analizi, IOC’lerin çıkarılmasıyla sonuçlanır. Bu IOC’ler daha sonra ekipleri gelecekte ilgili tehditlere karşı uyarmak için tehdit istihbarat platformlarına (TIP’ler), SEIM’lere ve güvenlik düzenleme araçlarına beslenebilir..
Tehdit Avcılığı
Tehdit avcıları, belirli bir ağ bağlantısına, etki alanına veya bağlantı noktasına erişim gibi benzer etkinlikleri bulmak için kötü amaçlı yazılım analizinin ortaya çıkardığı davranışları ve yapıları kullanabilir. Güvenlik duvarı, proxy günlükleri veya SIEM verilerini aramak benzer tehditleri bulmanıza yardımcı olabilir.
Tehdit Uyarıları ve Önceliklendirme
Kötü amaçlı yazılım analizinin çıktıları, saldırı yaşam döngüsünün başlarında daha yüksek doğrulukta uyarılar sunar ve bu uyarıların sonuçlarını önceliklendirerek zamandan tasarruf sağlar.
Olay Müdahalesi
Olay müdahale (IR) ekibinin amacı, kök neden analizi yapmak, etkiyi belirlemek ve başarılı bir şekilde düzeltme ve kurtarma çözümleri sunmaktır. Kötü amaçlı yazılım analizi, bu çabanın etkinliğine yardımcı olur.
Kötü Amaçlı Yazılım Araştırması
Tüm endüstri ve akademik kötü amaçlı yazılım araştırmacıları, rakipler tarafından kullanılan en son teknikler, araçlar ve açıklardan yararlanma hakkında içgörüler elde etmek için kötü amaçlı yazılım analizi uygular.
Kötü Amaçlı Yazılım Analizinin Aşamaları
Kötü amaçlı yazılım analizinin dört aşamasına hızlı bir şekilde göz atalım:
Statik Özellikler Analizi
Statik özellikler dediğimizde, kötü amaçlı yazılım koduna gömülmüş dizeler, başlık ayrıntıları, gömülü kaynaklar, meta veriler, hash’ler vb. -işlem sırasında programın yürütülmesi.
Statik özellik analizi kullanılarak oluşturulan içgörüler, daha kapsamlı tekniklerle daha derin bir araştırmanın gerekli olup olmadığını ve ardından izlenmesi gereken adımları belirleyebilir.
Etkileşimli Davranış Analizi
Etkileşimli davranış analizi, bir laboratuvarda çalışan bir kötü amaçlı yazılım örneğini gözlemlemeye ve bunlarla etkileşim kurmaya yardımcı olur. Analistler örneğin dosya sistemini, kayıt defterini, sürecini ve ağ etkinliklerini anlamaya çalışırlar. Adli bellek, kötü amaçlı yazılımın belleği nasıl kullandığını incelemek için yapılır. Kötü amaçlı yazılımın şüpheli yetenekleri daha sonra simüle edilmiş bir ortamda test edilir.
Davranış analizi, tüm süreç zaman alıcı ve karmaşık olabileceğinden ileri düzey becerilere sahip bir Analist gerektirir. Analiz, otomatik araçların yardımı olmadan etkili bir şekilde gerçekleştirilemez.
Tam Otomatik Analiz
Tam otomatik analiz, şüpheli dosyaları basit bir yaklaşımla hızla değerlendirir. Analiz, kötü amaçlı yazılımın ağa sızması durumunda olası sonuçları belirlemede yardımcı olur. Ardından, güvenlik ekipleri için hızlı çözümler içeren, okunması kolay bir rapor oluşturur. Kötü amaçlı yazılımları geniş ölçekte işlemenin en iyi yolu budur.
Manuel Kod Tersine Çevirme
Manuel kod ters çevirme aşamasında, Analistler kodu tersine mühendislik yapmak için hata ayıklayıcılar, derleyiciler, ayrıştırıcılar ve diğer özel araçları kullanır. Bu, şifrelenmiş verilerin kodunu çözmeye, kötü amaçlı yazılım algoritmasının arkasındaki mantığı belirlemeye ve kötü amaçlı yazılımın sergilenmemiş gizli yeteneklerini ortaya çıkarmaya yardımcı olacaktır.
Kod tersine çevirme, uzmanlık ve nadir beceriler gerektirir. Yürütülmesi çok zaman alır. Tam da bu nedenlerden dolayı, bu adım genellikle atlanır ve kötü amaçlı yazılımın doğasına ilişkin pek çok değerli içgörü kaçırılır.
Çözüm
Güvenlik Analistlerine kötü amaçlı yazılım örneklerini tersine mühendislikle işleme konusunda yardımcı olabilecek bir dizi kötü amaçlı yazılım analiz aracı vardır. Kötü amaçlı yazılım analizi yoluyla her gün yakalanan yaklaşık 200.000 kötü amaçlı yazılım örneğiyle, potansiyel olarak kötü amaçlı kötü amaçlı yazılım saldırılarını engellemeye ve önemli hasar kontrolünü önlemeye yardımcı olmayı amaçlamaktadır.
