rauf tarafından yazılmıştır.
Herkese merhabalar bu konuda sizlere zararlı yazılım analizinde oldukca etkili olan app.any.run’dan bahsetmek istiyorum.
Gerçek zamanlı, birçok uzantıyı destekleyen ve bunları analiz etmemize olanak sağlayan bir sandbox ortamıdır. Sandboxun ne olduğunu bilmeyenler için kısa bir özet geçmek isterim burada. Sandbox dediğimiz kavram, zararlı yazılımları stabil bir ortamda analiz etmek için kullandığımız sanal bir işletim sistemidir. Sanal işletim sistemi kullanmamızın başlıca sebepleri analiz edeceğimiz uygulamanın ana makinemize bulaşmasını engellemektir.
Online sandbox kullanımı, ana makinenizde yer kaplamadan ve analizin hızlı bir şekilde sonuçlandırmak istememizdendir. Online sandbox kullanmada anyrun’ı kullanmamızın sebebi ise yazılımın açtığı processleri, kayıt defterleri ve ağ istekleri gibi birçok farklı şeyi görmemize olanak sağlaması. Elbetde diğer sandbox ortamlarıda bu işi kolaylıkla yapar ancak onlarda hem bu kadar hızlı sonuç alamayız hemde depolama için oldukca yer tüketir
Bir malware ayarlayıp bunu analiz edeceğiz. İlk olarak zararlımızı virustotal‘e atıyorum.
Virustotal, çoğu güncel anti-virüs servislerinden güncel zararlı imzalarını toplar ve yüklemiş olduğumuz zararlılar ile kıyaslar. DETECTION kısmı tümden gelim işlemi yaptığı için hata olma payı yüksektir. Details kısmında uygulamanın statik, behaviour‘unda ise dinamik, davranışsal analizleri mevcuttur. Details kısmına bir bakalım.
Details kısmı
Yazılımın oluşturulma tarihi ile oynanmış, 1992-06-19 22:22:17 ve bir takım web istekleri ile dosya indirdiğini, “C:\Users\<USER>\Downloads\._cache_sample.exe” ve kayıt defteri ile oynandığını görüyoruz. Virustotal’in Relations ve Behaviour kısımlarını incelemeye alalım.
Relations ve Behaviour kısımları
Files Written yani yazılan dosyalar kısmında “system32” klasörü içerisinde MSDCSC isimli bir klasör oluşturduğunu, ardından da “sys32.exe” isimli çalıştırılabilir bir dosya yazdığını gözlemliyoruz. Files Opened kısmında ise sys32.exe isimli çalıştırılabilir uygulamayı açtığını görüyoruz.
Files Opened kısmı
Bu kısımda ise C diski altında analyse isimli dizine farklı bir isimle kopyaladığını görüyoruz.
C dizinindeki örnek resim
Registry Actions” kısmı yani “Regedit” de gerçekleştirilen işlemlerde, uygulama HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\System ve HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\UserInit yollarına anahtar eklediğini görüyoruz. (Bununla kendisini başlangıca eklediğini görüyoruz.)
community bölümündeki virüsü bulan kişinin yorumları
Community bölümünde “Thor” kullanıcılı kişi Darkcomet RAT olduğunu söylüyor bizlere. Virustotal’e burada veda ediyoruz, sıradaki misafirimiz Any.run’dır.
https://any.run/ a giderek üye olmamız gerekmektedir. Üyeliksiz işlem yapamıyoruz.
any.runa ilk bakış
Üye olduktan sonra karşımıza gelen ekranda solda bulunan New Task seçeneğine tıklayıp indirdiğimiz uygulamayı yükleyelim.
dosya seçimi
hazırlık
windows 7 ilk bakış
Yükledikten sonra messageBox gösteriyor, OK diyelim ve devam edelim. İnteraktif olduğunu başta söylemiştim, yani bilgisayar tamamen sizde.
any.run inceleme
any.runı anlamak
Uygulama çalıştıkan sonra TCP protokolü ile explore.exe isimli işlem ile defacer.duckdns.org isimli siteye veri gönderimi yapmaktadır.
dosyanın yapmış olduğu işlemler
Bu görüntüyü Processes bölümünün üstündeki Processes Graph seçeneğine tıklayarak edinebiliriz.
Processes Graph bölümü
Process kısmında ise oluşturulan süreçlere bakabiliriz. Uygulama attrib.exe ile kendini ve oluşturulan bütün dosyaları gizliyor. Buradaki ilginç kısımlarından birisi de spotify uygulamasının notepad ile işi ne? Yani analiz ederken bu tür soruları kendinize sorarak bir analiz yapabilirsiniz.
Processes Graph bölümü
Processes Graph bölümü
iexplore.exe işlemini görmüşsünüzdür, bunun sayesinde ağ bağlantısı kurduğunu öğrenebiliriz.
Processes Graph bölümü
Sol kısımda bulunan kırmızı yer ise uygulamanın zararlı derecelendirilmesi. Üstüne tıklayarak detay öğrenebilirsiniz.
işlem sonucu
Uygulamanın yapmış olduğu, oluşturduğu kayıtlar, değiştirdiği kayıtlar hepsi gözükmektedir. Sol tarafta ise işlemi indirebilmemizi ve Virustotal’e atmamızı fırsat tanıyor.
işlem sonucu son durum
Konu bu kadardı, temel olarak Sandbox kullanımını sizlere öğretmeyi amaçladım. Umarım beğenmişsinizdir, hoşçakalın.
[TR] ANY.RUN İle Zararlı Yazılım Analizi
Herkese merhabalar bu konuda sizlere zararlı yazılım analizinde oldukca etkili olan app.any.run’dan bahsetmek istiyorum.
Anyrun Nedir?
Gerçek zamanlı, birçok uzantıyı destekleyen ve bunları analiz etmemize olanak sağlayan bir sandbox ortamıdır. Sandboxun ne olduğunu bilmeyenler için kısa bir özet geçmek isterim burada. Sandbox dediğimiz kavram, zararlı yazılımları stabil bir ortamda analiz etmek için kullandığımız sanal bir işletim sistemidir. Sanal işletim sistemi kullanmamızın başlıca sebepleri analiz edeceğimiz uygulamanın ana makinemize bulaşmasını engellemektir.
O halde neden online sandbox kullanmalıyız?
Online sandbox kullanımı, ana makinenizde yer kaplamadan ve analizin hızlı bir şekilde sonuçlandırmak istememizdendir. Online sandbox kullanmada anyrun’ı kullanmamızın sebebi ise yazılımın açtığı processleri, kayıt defterleri ve ağ istekleri gibi birçok farklı şeyi görmemize olanak sağlaması. Elbetde diğer sandbox ortamlarıda bu işi kolaylıkla yapar ancak onlarda hem bu kadar hızlı sonuç alamayız hemde depolama için oldukca yer tüketir
Virüstotal ile Analizi Küçük Bir Gezinti
Bir malware ayarlayıp bunu analiz edeceğiz. İlk olarak zararlımızı virustotal‘e atıyorum.
Virustotal, çoğu güncel anti-virüs servislerinden güncel zararlı imzalarını toplar ve yüklemiş olduğumuz zararlılar ile kıyaslar. DETECTION kısmı tümden gelim işlemi yaptığı için hata olma payı yüksektir. Details kısmında uygulamanın statik, behaviour‘unda ise dinamik, davranışsal analizleri mevcuttur. Details kısmına bir bakalım.
Details kısmı
Yazılımın oluşturulma tarihi ile oynanmış, 1992-06-19 22:22:17 ve bir takım web istekleri ile dosya indirdiğini, “C:\Users\<USER>\Downloads\._cache_sample.exe” ve kayıt defteri ile oynandığını görüyoruz. Virustotal’in Relations ve Behaviour kısımlarını incelemeye alalım.
Relations ve Behaviour kısımları
Files Written yani yazılan dosyalar kısmında “system32” klasörü içerisinde MSDCSC isimli bir klasör oluşturduğunu, ardından da “sys32.exe” isimli çalıştırılabilir bir dosya yazdığını gözlemliyoruz. Files Opened kısmında ise sys32.exe isimli çalıştırılabilir uygulamayı açtığını görüyoruz.
Files Opened kısmı
Bu kısımda ise C diski altında analyse isimli dizine farklı bir isimle kopyaladığını görüyoruz.
C dizinindeki örnek resim
Registry Actions” kısmı yani “Regedit” de gerçekleştirilen işlemlerde, uygulama HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\System ve HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\UserInit yollarına anahtar eklediğini görüyoruz. (Bununla kendisini başlangıca eklediğini görüyoruz.)
community bölümündeki virüsü bulan kişinin yorumları
Community bölümünde “Thor” kullanıcılı kişi Darkcomet RAT olduğunu söylüyor bizlere. Virustotal’e burada veda ediyoruz, sıradaki misafirimiz Any.run’dır.
Any.run
https://any.run/ a giderek üye olmamız gerekmektedir. Üyeliksiz işlem yapamıyoruz.
any.runa ilk bakış
Üye olduktan sonra karşımıza gelen ekranda solda bulunan New Task seçeneğine tıklayıp indirdiğimiz uygulamayı yükleyelim.
dosya seçimi
hazırlık
windows 7 ilk bakış
Yükledikten sonra messageBox gösteriyor, OK diyelim ve devam edelim. İnteraktif olduğunu başta söylemiştim, yani bilgisayar tamamen sizde.
any.run inceleme
- Kırmızı renkli kısım: Uygulama açıldıktan sonraki bütün işlemler
- Yeşil renkli kısım: Uygulamanın açıldıktan sonraki kurduğu bütün bağlantılar
- Sarı renkli kısım: Uygulama hakkında edindiğimiz genel bakış bilgileri.
any.runı anlamak
Uygulama çalıştıkan sonra TCP protokolü ile explore.exe isimli işlem ile defacer.duckdns.org isimli siteye veri gönderimi yapmaktadır.
dosyanın yapmış olduğu işlemler
Bu görüntüyü Processes bölümünün üstündeki Processes Graph seçeneğine tıklayarak edinebiliriz.
Processes Graph bölümü
Process kısmında ise oluşturulan süreçlere bakabiliriz. Uygulama attrib.exe ile kendini ve oluşturulan bütün dosyaları gizliyor. Buradaki ilginç kısımlarından birisi de spotify uygulamasının notepad ile işi ne? Yani analiz ederken bu tür soruları kendinize sorarak bir analiz yapabilirsiniz.
Processes Graph bölümü
Processes Graph bölümü
iexplore.exe işlemini görmüşsünüzdür, bunun sayesinde ağ bağlantısı kurduğunu öğrenebiliriz.
Processes Graph bölümü
Sol kısımda bulunan kırmızı yer ise uygulamanın zararlı derecelendirilmesi. Üstüne tıklayarak detay öğrenebilirsiniz.
işlem sonucu
Uygulamanın yapmış olduğu, oluşturduğu kayıtlar, değiştirdiği kayıtlar hepsi gözükmektedir. Sol tarafta ise işlemi indirebilmemizi ve Virustotal’e atmamızı fırsat tanıyor.
işlem sonucu son durum
Konu bu kadardı, temel olarak Sandbox kullanımını sizlere öğretmeyi amaçladım. Umarım beğenmişsinizdir, hoşçakalın.
Moderatör tarafında düzenlendi: