ANY.RUN İle Zararlı Yazılım Analizi

PwnLab.Me

Admin
Katılım
21 Ocak 2024
Mesajlar
203
Tepkime puanı
10
Puanları
18
rauf tarafından yazılmıştır.

[TR] ANY.RUN İle Zararlı Yazılım Analizi​


Herkese merhabalar bu konuda sizlere zararlı yazılım analizinde oldukca etkili olan app.any.run’dan bahsetmek istiyorum.

Anyrun Nedir?​


Gerçek zamanlı, birçok uzantıyı destekleyen ve bunları analiz etmemize olanak sağlayan bir sandbox ortamıdır. Sandboxun ne olduğunu bilmeyenler için kısa bir özet geçmek isterim burada. Sandbox dediğimiz kavram, zararlı yazılımları stabil bir ortamda analiz etmek için kullandığımız sanal bir işletim sistemidir. Sanal işletim sistemi kullanmamızın başlıca sebepleri analiz edeceğimiz uygulamanın ana makinemize bulaşmasını engellemektir.

O halde neden online sandbox kullanmalıyız?​


Online sandbox kullanımı, ana makinenizde yer kaplamadan ve analizin hızlı bir şekilde sonuçlandırmak istememizdendir. Online sandbox kullanmada anyrun’ı kullanmamızın sebebi ise yazılımın açtığı processleri, kayıt defterleri ve ağ istekleri gibi birçok farklı şeyi görmemize olanak sağlaması. Elbetde diğer sandbox ortamlarıda bu işi kolaylıkla yapar ancak onlarda hem bu kadar hızlı sonuç alamayız hemde depolama için oldukca yer tüketir

Virüstotal ile Analizi Küçük Bir Gezinti​


Bir malware ayarlayıp bunu analiz edeceğiz. İlk olarak zararlımızı virustotal‘e atıyorum.

Virustotal, çoğu güncel anti-virüs servislerinden güncel zararlı imzalarını toplar ve yüklemiş olduğumuz zararlılar ile kıyaslar. DETECTION kısmı tümden gelim işlemi yaptığı için hata olma payı yüksektir. Details kısmında uygulamanın statik, behaviour‘unda ise dinamik, davranışsal analizleri mevcuttur. Details kısmına bir bakalım.

Details kısmı
Details kısmı

Yazılımın oluşturulma tarihi ile oynanmış, 1992-06-19 22:22:17 ve bir takım web istekleri ile dosya indirdiğini, “C:\Users\<USER>\Downloads\._cache_sample.exe” ve kayıt defteri ile oynandığını görüyoruz. Virustotal’in Relations ve Behaviour kısımlarını incelemeye alalım.

Relations ve Behaviour kısımları
Relations ve Behaviour kısımları

Files Written yani yazılan dosyalar kısmında “system32” klasörü içerisinde MSDCSC isimli bir klasör oluşturduğunu, ardından da “sys32.exe” isimli çalıştırılabilir bir dosya yazdığını gözlemliyoruz. Files Opened kısmında ise sys32.exe isimli çalıştırılabilir uygulamayı açtığını görüyoruz.



Files Opened kısmı
Files Opened kısmı

Bu kısımda ise C diski altında analyse isimli dizine farklı bir isimle kopyaladığını görüyoruz.


C dizinindeki örnek resim

Registry Actions” kısmı yani “Regedit” de gerçekleştirilen işlemlerde, uygulama HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\System ve HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\UserInit yollarına anahtar eklediğini görüyoruz. (Bununla kendisini başlangıca eklediğini görüyoruz.)


community bölümündeki virüsü bulan kişinin yorumları

Community bölümünde “Thor” kullanıcılı kişi Darkcomet RAT olduğunu söylüyor bizlere. Virustotal’e burada veda ediyoruz, sıradaki misafirimiz Any.run’dır.

Any.run​


https://any.run/ a giderek üye olmamız gerekmektedir. Üyeliksiz işlem yapamıyoruz.


any.runa ilk bakış

Üye olduktan sonra karşımıza gelen ekranda solda bulunan New Task seçeneğine tıklayıp indirdiğimiz uygulamayı yükleyelim.


dosya seçimi

hazırlık

windows 7 ilk bakış

Yükledikten sonra messageBox gösteriyor, OK diyelim ve devam edelim. İnteraktif olduğunu başta söylemiştim, yani bilgisayar tamamen sizde.


any.run inceleme
  • Kırmızı renkli kısım: Uygulama açıldıktan sonraki bütün işlemler
  • Yeşil renkli kısım: Uygulamanın açıldıktan sonraki kurduğu bütün bağlantılar
  • Sarı renkli kısım: Uygulama hakkında edindiğimiz genel bakış bilgileri.

any.runı anlamak

Uygulama çalıştıkan sonra TCP protokolü ile explore.exe isimli işlem ile defacer.duckdns.org isimli siteye veri gönderimi yapmaktadır.


dosyanın yapmış olduğu işlemler

Bu görüntüyü Processes bölümünün üstündeki Processes Graph seçeneğine tıklayarak edinebiliriz.


Processes Graph bölümü

Process kısmında ise oluşturulan süreçlere bakabiliriz. Uygulama attrib.exe ile kendini ve oluşturulan bütün dosyaları gizliyor. Buradaki ilginç kısımlarından birisi de spotify uygulamasının notepad ile işi ne? Yani analiz ederken bu tür soruları kendinize sorarak bir analiz yapabilirsiniz.


Processes Graph bölümü

Processes Graph bölümü

iexplore.exe işlemini görmüşsünüzdür, bunun sayesinde ağ bağlantısı kurduğunu öğrenebiliriz.


Processes Graph bölümü

Sol kısımda bulunan kırmızı yer ise uygulamanın zararlı derecelendirilmesi. Üstüne tıklayarak detay öğrenebilirsiniz.


işlem sonucu

Uygulamanın yapmış olduğu, oluşturduğu kayıtlar, değiştirdiği kayıtlar hepsi gözükmektedir. Sol tarafta ise işlemi indirebilmemizi ve Virustotal’e atmamızı fırsat tanıyor.


işlem sonucu son durum

Konu bu kadardı, temel olarak Sandbox kullanımını sizlere öğretmeyi amaçladım. Umarım beğenmişsinizdir, hoşçakalın.
 
Moderatör tarafında düzenlendi:
Geri
Üst