Malware Analizi | 3.Yazı

Serimizin üçüncü yazısı ile karşınızdayım. İlk yazılarım sırasıyla

Malware, Honeypot, Sandbox, Cloud  ve Malware Nedir ? Malware Türleri isimli yazılar. Bu yazımda da malware bulaşma yöntemleri ile başlayarak malware analizini tanımlayacağım.

Malware Bulaşma Yöntemleri

Makinedeki açıkların ihlal edilmesi için ilgili makineye malware bulaştırılır. Bunun için de çeşitli yöntemler mevcuttur. İnternet tarayıcısındaki açıkların ihlali sonucu malware’in bilgisayara indirilmesini sağlayarak kurban bilgisayarı ele geçirmek hedeflenebilir. Yeterince bilgiye sahip olmayan kullanıcı sayesinde bu bulaştırma oldulça başarılı olur. Sosyal mühendislik yoluyla istenilen malwareler istenilen kişinin cihazına bulaştırılabilir. Mail ile oltalama saldırıları düzenlenerek saldırgan amacına ulaşabilir.

Malware bulaştırmak için teknik yöntemlerden çok sosyal mühendislik kullanılmaktadır. Karşıdaki kişiyi kandırmak, parolalarına erişmek çok daha rahat yapıldığından dolayı malware bulaştırmada en çok kullanılan yöntem sosyal mühendislik ve phishingtir.

Malware Analizi

Kötü niyetli yazılımların çeşitli araçlar ve yöntemler kullanılarak incelenmesine “Malware Analizi “ denir.

Günlük hayatımızda karşılaştığımız problerimizi inceleyip çözümler ararız. Problem neyden kaynaklanıyor, neler çıkmaza sokuyor, neler iyi geliyor … Bazen ilk seferde çözümü bulamaz ve iletişim şeklimizi, verdiğimiz tepkileri değiştirerek o probleme kalıcı bir çözüm bulmayı hedefleriz.

Malware analizini de aynı şekilde düşünebiliriz. Eğer bir malware’in analizi yapmazsak o malware’e karşı ne gibi önlemler alabileceğimizi bilemeyiz. Önü alınmadığından dolayı malware sürekli yayılmaya devam eder. Malware analizini yapacak kişi network, cryptology, assembly, dosya yapıları ve sistemin çalışma yapısını bilmek zorundadır.  İlk önce kendi güvenliğini sağlayarak analize başlamalıdır.

Malware analizini Statik ve Dinamik olarak ikiye ayırabiliriz. Detaylı açıklamayı alt başlıklar halinde inceleyeceğiz.

Statik Analiz

Zararlı yazılımı çalıştırmadan yapılan analizdir. Uygulamanın kodlarından nerelere erişim sağladığı , bulaşan sistemde ne gibi değişiklikler yaptığı şeklinde dosyanın yapısı incelenir. Analiz yaparken eğer elimizde sadece yazılan zararlının makine kodu (binary code) varsa belirli komut yapılarına bakılarak çalışma şekli öğrenilebilir. Tersine mühendislik (reverse engineering) yöntemleri ile makine kodu bulunan zararlıdan , yazıldığı kaynak kodu (source code) kısmen elde edilebilir. Kaynak kodu elde edildiğinde analiz yöntemi daha da kolay hale gelir.

Dinamik Analiz

Sandbox, çalıştırılan program/yazılım ya da donanımların güvenilirliğini test eden bir ortamdır. Güvenlik mekanizması olarak çalışıyor olması sebebiyle dinamik analiz yapılırken sandboxlar kullanılır. Zararlı yazılım sandbox üzerinde çalıştırılır. Çalıştırılan bu dosyanın nasıl bir tutum sergileyeceği, ne gibi değişikler yapacağı incelenir.

Neler yaptığını anlayabilmek için çeşitli yollara başvurabiliriz. Örneğin çalıştığı ağı dinleyebiliriz. Ağda ne gibi değişikler yaptığına bakabiliriz. Nasıl bir yazılım olduğunu bilmediğimiz ve nerelere zarar vereceğini bilmediğimiz için bu zararlıları kesinlikle ağda izole edilmiş ortamlarda çalıştırmalıyız. Kendi fiziksel makinelerimizi bu iş için kullanmak son derece tehlikeli sonuçlara yol açabilir. Örneğin bilgisayarımızı bozabilir ve içindeki dosyalarımıza geri dönülmez şekilde ulaşmamızı engelleyebilir.  Fonksiyon çağrılarının izlenmesi, fonksiyona kanca atma, fonksiyon çağrımlarını izleme gibi farklı türleri vardır.

Sıradaki yazı olan Honeypot Nedir ? isimli yazıma buraya tıklayarak ulaşabilirsiniz.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir