Kötü amaçlı yazılım analizi, şüpheli bir dosyanın veya URL’nin davranışını ve amacını anlama sürecidir. Analizin çıktısı, potansiyel tehdidin tespit edilmesine ve azaltılmasına yardımcı olur.
Kötü amaçlı yazılım analizinin en önemli yararı, olaya müdahale edenlere ve güvenlik analistlerine yardımcı olmasıdır:
- Olayları önem düzeyine göre pragmatik olarak önceliklendirin.
- Engellenmesi gereken gizli tehlike göstergelerini (IOC’ler) ortaya çıkarın.
- IOC uyarılarının ve bildirimlerinin etkinliğini artırın.
- Tehdit avı sırasında bağlamı zenginleştirin.
Kötü Amaçlı Yazılım Analizi Nasıl Çalışır?
Statik bir kötü amaçlı yazılım analizi, şüpheli bir örneğin karmasını, dizelerini, içe aktarılan işlevlerini ve DLL’lerinin yanı sıra, olası kötü amaçlı niyeti gösterebilecek tüm gömülü komut dosyalarını, makroları ve diğer öğeleri incelemeyi içerir. Temiz dosyalar hızlı bir şekilde güvenli olarak işaretlenirken, daha yüksek risk sergileyenler daha derinlemesine dinamik analiz için iletilir.
Şüpheli bir numune işaretlendikten ve daha derin analiz için iletildikten sonra, dosyaların gerçek bir sisteme zarar vermeden veya şüpheli numunelerin uygun analizine potansiyel olarak müdahale etmeden yürütülebileceği sanal bir ortam olan özel olarak hazırlanmış bir sanal alan ortamına derhal yerleştirilir.
Dinamik analizin yapıldığı yer burasıdır. Bu düzeydeki kötü amaçlı yazılım analizi, daha geniş bilgisayar güvenliği topluluğu tarafından henüz incelenmemiş veya tanımlanmamış yeni tehditleri ortaya çıkarmak için çok önemlidir. Bu tür tehditlere sıfır gün (veya sıfır saat) tehditleri denir. Sıfır gün tehditleri, bilinen kötü amaçlı yazılım örneklerinin profilleriyle eşleşmez ve sonuç olarak imza tabanlı algılama yöntemlerini kolayca geçebilir.
Bu tecrit edilmiş sanal alan ortamına yerleştirildikten sonra, numune programı yürütülür veya patlatılır. Oradan, programın tüm davranışı izlenir ve çok dikkatli bir şekilde çizilir. Analistler daha sonra kötü niyetli bir niyeti gösterebilecek herhangi bir davranışı izleyecek ve programın kayıt defterinde yapmaya çalıştığı değişikliklere, API’leri kullanarak yapmaya çalıştığı çağrılara ve belleğe yapmaya çalıştığı yazılara özellikle dikkat edecek. Araştırmacılar, şüpheli programın ağın dışına sızdırmayı amaçladığı ve potansiyel olarak bir uzak komuta ve kontrol aygıtının göstergesi olabilecek veri türlerini ortaya çıkarmak için ağ verilerine de başvurabilirler.
Kötü Amaçlı Yazılım Analizi Türleri
Kötü amaçlı yazılım analizi türleri, Analiz, statik, dinamik veya ikisinin bir karışımı şeklinde gerçekleştirilebilir.
Statik Analiz
Temel statik analiz, kodun gerçekten çalıştırılmasını gerektirmez. Bunun yerine, statik analiz, dosyayı kötü niyetli niyet belirtileri açısından inceler. Kötü amaçlı altyapıyı, kitaplıkları veya paketlenmiş dosyaları belirlemek faydalı olabilir.
Dosya adları, karmalar, IP adresleri, etki alanları gibi dizeler ve dosya başlığı verileri gibi teknik göstergeler bu dosyanın kötü amaçlı olup olmadığını belirlemek için kullanılabilir. Ek olarak, ayrıştırıcılar ve ağ analizörleri gibi araçlar, kötü amaçlı yazılımın nasıl çalıştığı hakkında bilgi toplamak amacıyla kötü amaçlı yazılımı çalıştırmadan gözlemlemek için kullanılabilir.
Ancak, statik analiz aslında kodu çalıştırmadığından, karmaşık kötü amaçlı yazılımlar, tespit edilemeyen kötü niyetli çalışma zamanı davranışları içerebilir. Örneğin, bir dosya dinamik dizeye dayalı olarak kötü amaçlı bir dosya indiren bir dize oluşturursa, temel bir statik analiz tarafından algılanmayabilir. Kuruluşlar, dosyanın davranışını daha eksiksiz bir şekilde anlamak için dinamik analize yöneldi.
Dinamik Analiz
Dinamik kötü amaçlı yazılım analizi, şüpheli kötü amaçlı kodları sanal alan adı verilen güvenli bir ortamda yürütür. Bu kapalı sistem, güvenlik uzmanlarının, sistemlerine bulaşmasına veya kurumsal ağa kaçmasına izin verme riski olmadan kötü amaçlı yazılımı çalışırken izlemelerini sağlar.
Dinamik analiz, tehdit avcılarına ve olay müdahale ekiplerine daha derin bir görünürlük sağlayarak tehdidin gerçek doğasını ortaya çıkarmalarına olanak tanır. İkincil bir avantaj olarak, otomatik korumalı alan, kötü amaçlı kodu keşfetmek için bir dosyada tersine mühendislik uygulamak için gereken süreyi ortadan kaldırır.
Dinamik analizdeki zorluk, rakiplerin akıllı olması ve sanal alanların dışarıda olduğunu bilmeleri, bu yüzden onları tespit etmede çok iyi hale gelmeleridir. Bir sanal alanı aldatmak için, düşmanlar, belirli koşullar karşılanana kadar uykuda kalabilecek kodları içlerine gizler. Ancak o zaman kod çalışır.
Hibrit Analiz (yukarıdaki tekniklerin her ikisini de içerir)
Temel statik analiz, karmaşık kötü amaçlı kodu algılamanın güvenilir bir yolu değildir ve karmaşık kötü amaçlı yazılımlar bazen korumalı alan teknolojisinin varlığından gizlenebilir. Hibrit analiz, temel ve dinamik analiz tekniklerini birleştirerek, güvenlik ekibine her iki yaklaşımın da en iyisini sağlar. Öncelikle, gizlenmeye çalışan kötü amaçlı kodları algılayabilir ve ardından statik ve daha önce görülmemiş kodlarla çok daha fazla güvenlik ihlali göstergesi (IOC) çıkarabilir. Hibrit analiz, en karmaşık kötü amaçlı yazılımlardan gelenler dahil, bilinmeyen tehditlerin tespit edilmesine yardımcı olur.
Örneğin, hibrit analizin yaptığı şeylerden biri, davranışsal analiz tarafından oluşturulan verilere statik analiz uygulamaktır. Örneğin, bir kötü amaçlı kodun çalışıp bellekte bazı değişiklikler oluşturması gibi. Dinamik analiz bunu algılayacak ve analistler geri dönüp bu bellek dökümü üzerinde temel statik analiz yapmaları konusunda uyarılacaktır. Sonuç olarak, daha fazla IOC üretilecek ve sıfırıncı gün açıkları açığa çıkacaktı.
Kötü Amaçlı Yazılım Analizi Kullanım Örnekleri
Kötü Amaçlı Yazılım Algılama
Düşmanlar, geleneksel tespit mekanizmalarından kaçınmak için daha karmaşık teknikler kullanıyor. Derin davranış analizi sağlayarak ve paylaşılan kodu, kötü amaçlı işlevleri veya altyapıyı belirleyerek tehditler daha etkili bir şekilde tespit edilebilir. Ek olarak, kötü amaçlı yazılım analizinin bir çıktısı, IOC’lerin çıkarılmasıdır. IOC’ler daha sonra gelecekte ilgili tehditlere karşı ekiplerin uyarılmasına yardımcı olmak için SEIM’lere, tehdit istihbarat platformlarına (TIP’ler) ve güvenlik düzenleme araçlarına beslenebilir.
Tehdit Uyarıları ve Triyaj
Kötü amaçlı yazılım analiz çözümleri, saldırı yaşam döngüsünün başlarında daha yüksek doğrulukta uyarılar sağlar. Bu nedenle ekipler, bu uyarıların sonuçlarını diğer teknolojilere göre önceliklendirerek zamandan tasarruf edebilir.
Olay Müdahalesi
Olay müdahale (IR) ekibinin amacı, kök neden analizi sağlamak, etkiyi belirlemek ve iyileştirme ve kurtarmada başarılı olmaktır. Kötü amaçlı yazılım analiz süreci, bu çabanın verimliliğine ve etkinliğine yardımcı olur.
Tehdit Avcılığı
Kötü amaçlı yazılım analizi, belirli bir ağ bağlantısına, bağlantı noktasına veya etki alanına erişim gibi benzer etkinlikleri bulmak için tehdit avcılarının kullanabileceği davranışları ve yapaylıkları ortaya çıkarabilir. Ekipler, güvenlik duvarı ve proxy günlüklerini veya SIEM verilerini arayarak benzer tehditleri bulmak için bu verileri kullanabilir.
Kötü Amaçlı Yazılım Araştırması
Akademik veya sektörel kötü amaçlı yazılım araştırmacıları, rakipler tarafından kullanılan en son teknikleri, açıklardan yararlanmayı ve araçları anlamak için kötü amaçlı yazılım analizi gerçekleştirir.
Kötü Amaçlı Yazılım Analizinin Aşamaları
Statik Özellikler Analizi
Statik özellikler, kötü amaçlı yazılım koduna gömülü dizeleri, başlık ayrıntılarını, karmaları, meta verileri, gömülü kaynakları vb. içerir. Bu tür veriler, IOC’ler oluşturmak için gerekli olan tek şey olabilir ve çalıştırmaya gerek olmadığı için çok hızlı bir şekilde elde edilebilirler. Statik özellikler analizi sırasında toplanan içgörüler, daha kapsamlı teknikler kullanılarak daha derin bir araştırmanın gerekli olup olmadığını gösterebilir ve daha sonra hangi adımların atılması gerektiğini belirleyebilir.
Etkileşimli Davranış Analizi
Davranış analizi, laboratuvarda çalışan bir kötü amaçlı yazılım örneğini gözlemlemek ve bunlarla etkileşim kurmak için kullanılır. Analistler, örneğin kayıt defterini, dosya sistemini, sürecini ve ağ etkinliklerini anlamaya çalışırlar. Ayrıca, kötü amaçlı yazılımın belleği nasıl kullandığını öğrenmek için bellek adli incelemeleri yapabilirler. Analistler, kötü amaçlı yazılımın belirli bir yeteneği olduğundan şüphelenirse, teorilerini test etmek için bir simülasyon kurabilirler.
Davranış analizi, gelişmiş becerilere sahip yaratıcı bir analist gerektirir. Süreç zaman alıcı ve karmaşıktır ve otomatik araçlar olmadan etkili bir şekilde gerçekleştirilemez.
Tam Otomatik Analiz
Tam otomatik analiz, şüpheli dosyaları hızlı ve basit bir şekilde değerlendirir. Analiz, kötü amaçlı yazılımın ağa sızması ve ardından güvenlik ekipleri için hızlı yanıtlar sağlayan okunması kolay bir rapor oluşturması durumunda olası yansımaları belirleyebilir. Tam otomatik analiz, kötü amaçlı yazılımları geniş ölçekte işlemenin en iyi yoludur.
Manuel Kod Ters Çevirme
Bu aşamada, analistler, şifrelenmiş verilerin kodunu çözmek, kötü amaçlı yazılım algoritmasının arkasındaki mantığı belirlemek ve kötü amaçlı yazılımın henüz sergilemediği gizli yetenekleri anlamak için hata ayıklayıcılar, ayrıştırıcılar, derleyiciler ve özel araçlar kullanarak kodu tersine mühendislik yaparlar. Kodu tersine çevirmek nadir görülen bir beceridir ve kodu tersine çevirmek çok zaman alır. Bu nedenlerden dolayı, kötü amaçlı yazılım araştırmaları genellikle bu adımı atlar ve bu nedenle kötü amaçlı yazılımın doğasına ilişkin birçok değerli bilgiyi gözden kaçırır.
Dünyanın En Güçlü Kötü Amaçlı Yazılım Korumalı Alanı
Güvenlik ekipleri, karmaşık kötü amaçlı yazılım saldırılarını anlamak ve savunmalarını güçlendirmek için OZZTECH Bilgi Güvenliği ve Yazılım Limited Şirketinin sizlere sağladığı hizmeti kullanabilirsiniz. OZZTECH, kaçamak ve bilinmeyen tehditlerin derin analizlerini gerçekleştirir ve sonuçları tehdit istihbaratıyla zenginleştirir.