Yusuf Can Çakır tarafından yazılmıştır.
Merhabalar arkadaşlar, bu bölümde Malware analizini yapacağımız Lab ortamını oluşturacağız. Malware analizine diğer bölümlerde geçeceğiz. Şimdi sadece Lab ortamını oluşturalım.
İlk olarak Malware nedir buna değinelim.
Malware (Malicious Software), fidye yazılımı (ransomware), casus yazılımı (spyware), virüsler ve bunlar gibi zararlı yazılımların ortak ismidir. Malware’lar genel olarak sistemde izinsiz erişim sağlamak, veri çalmak için siber saldırganlar tarafından yazılan yazılımlardır. Malware’ları karşı tarafa göndermenin birçok yolu vardır ancak genel olarak e-mail ile gönderimi tercih edilmektedir.
Malware’ın ne olduğuna değindik, şimdi de dinamik ve statik analizin farklarına bir bakalım.
Bir çalıştırılabilir dosyanın (Portable Executable) iki çeşit analizi vardır. Dosyayı çalıştırmadan neler yaptığını öğrenmek istersek, Statik Analiz ile bunu yapabiliriz. İkisi arasındaki farklara bir bakalım, sonrasında devam edelim.
Dinamik ve statik analizin farkı
Bunlar analizin sadece birkaç adımı, daha birçok farklı yolu bulunmaktadır. Lab kurmamızın sebebi, dinamik analizle malware’i inceliyorken, malware’ın ana bilgisayarımıza bulaşması olasıdır. Bizde bu olasılığı göze alarak, ana bilgisayarımız ve malware’ı inceleyeceğimiz sanal makinemiz ile network ağını tamamen koparacağız. Yani virtual network oluşturacağız.
Lab kurulumu için bizlere VMware, Windows 7 ve Remnux gerekmektedir. Windows makine seçmemdeki sebep, bir sonraki bölümlerde genel olarak Portable Executable’ın analizini yapacak olmam. Remnux kullanmamdaki amaç, Malware’ın FTP, HTTP, SMTP, POP3 ve DNS protokollerinin gerçekleştireceği sorguları görmek isteyişimdir. Malware analistleri için geliştirilmiş olan Remnux’u, Windows 7 makinenin gateway‘i olarak kullanacağız. İki işletim sistemini de kurduktan sonra network ayarlarına geçebiliriz.
Sanal makinemizin anlık kopyasıdır. Malware çalıştıktan sonra sanal makineye zarar verebilir ve tekrar kurma işine girebiliriz. Bu işten kaçınmak için ve oluşan değişikliği incelemek için snapshot alacağız.
İlk olarak VMware’de kurmuş olduğumuz Windows 7 makinemizi açalım ve VMware’in seçeneklerinden VM seçeneğine tıklayalım. Ardından Snapshot > Take Snapshot seçeneğine tıklayalım.
VMware Snapshot Alma
Ardından açılan pencerede snapshot‘ın ismini ve açıklamasını girelim, işlem bu kadar.
VMware Snapshot Alma
Şimdi sıra network ayarlarında.
Üstte de belirtmiştim malware bizlerin ana bilgisayarına ulaşabilir. Bunun için ana bilgisayarımızı zararlıyı çalıştıracağımız makineden soyutlamamız gerekmektedir. İlk olarak VMware‘in üstteki ayarlarından Edit seçeneğine tıklayıp, Virtual Network Editor seçeneğine tıklayalım.
VMware virtual network ayarlama-1
Çıkan seçenekte Change Settings butonuna tıklayalım.
VMware virtual network ayarlama-2
Alta kısımdaki Add Network seçeneğine tıklayıp herhangi bir network ismi seçip devam edelim.
VMware virtual network ayarlama-3
Oluşturduğumuz network Host-only seçeneğinde, “Connect a host virtual adapter to this network” seçeneğindeki tik kalkmış olmalı bu seçili olursa ana makine ile sanal makine arasındaki network ağı kopmaz. Altta verilen Subnet IP ve Subnet Mask bizlere lazım olacaktır. Şimdi bunu kaydedelim ve kapatalım. (Ben VMware2’yi oluşturduğum için onun üzerinden devam edeceğim.)
VMware virtual network ayarlama-4
Şimdi oluşturduğumuz ağı Remnux’ta ve Windows makinede ekleyeceğiz. VMware’a gelerek Windows 7 ve Remnux sistemlerimizde Network Adapter > Custom: Spesific virtual network seçeneğine tıklayalım ve yukarıda oluşturmuş olduğumuz ağın ismini girelim, ardından makinelerimizi çalıştıralım.
sanal makine network ayarı
Ağ kurulumunu yaptık artık işe başlama zamanı.
Malware’ın dışarıya request atmaması için Windows makinenin DNS server’ı, Remnux’un IP adresi olarak yapılandırmamız gerekmektedir. Bunun için Windows makinemize gelelim ve Denetim Masası > Ağ ve Internet > Ağ ve Paylaşım Merkezi > Yerel Ağ Bağlantısı > Özellikler > Internet Protokol Sürümü 4 diyelim.
Otomatik olarak IP al seçeneğini seçmiyoruz, DHCP’nin kendisi IP vermesini istemiyoruz, biz kendimiz vereceğiz. Bundan dolayı alttaki Aşağıdaki IP adresini kullan seçeneğine tıklıyoruz. IP adresi yazan kısma virtual network‘te ayarladığımızdaki subnet IP adresini yazalım fakat sonuna farklı bir rakam yazalım. Örnek olarak 192.168.121.3 diyelim. Alt ağ maskesini kendisi ayarlayacak, Varsayılan ağ geçidi kısmına Remnux makinemizin IP adresini yazacağız.
windows dns ayarını ayarlama
Remnux’un IP adresini öğrenmek için terminale ifconfig yazıyoruz.
Remnux IP adresini öğrenme
Gördüğünüz gibi IP adresimiz 192.168.128.128 imiş. Bunu Windows makinemizdeki Varsayılan ağ geçiti kısmına ve alttaki tercih edilen sunucu kısmına Remnux’un IP adresini yazalım.
windows ip ve dns ayarlama
Ağ yapılandırma işlemleri bu kadardı.
Şimdi Windows makineden gelen network isteklerini izleme işlemi kaldı. Bunun için Remnux’ta bulunan INetSim ve FakeDNS araçlarını kullanacağım. FakeDNS, kendisine gelen bütün DNS isteklerini anlık olarak göstermektedir. INetSim sayesinde ise malware belli servislere bağlanıyorsa ve bu bağlandığı servislere ne gibi bilgilerin gönderdiğini görebiliriz. Bu araç fake servisler açarak malware’ı şaşırtmaktadır. Remnux’u VMware üzerinden çalıştırıyorsanız INetSim‘in config ayarlarını yapmamız gerekmektedir.
Bunun için terminale: sudo leafpad /etc/inetsim/inetsim.conf yazıyoruz. Biraz aşağıya indikten sonra kırmızı olarak gösterdiğim yerde normalde hiçbir şey yazmaz çünkü ben ekledim bunu. Buraya service_bind_address Remnux_ip_adresi şeklinde yazalım. Ardından biraz daha aşağıya gelelim ve dns_default_ip Remnux_ip_adresi yazalım tekrardan. Bunları yapmazsa servisler düzgün olarak çalışmayacaktır. Ardından dosyayı kaydedip kapatalım.
Kurulum ve konfigürasyon işlemleri bitti. Artık analiz için programların kullanımına gelelim.
Terminali açarak fakedns yazalım ve çalıştıralım.
Remnux FakeDNS -1
Gördüğünüz gibi hiçbir bağlantı yok fakat biraz beklerseniz Windows’un kendisinin attığı istekleri yakalabilirsiniz veya tarayıcı ile herhangi bir siteye giriş yapmayı deneyebilirsiniz. Gördüğünüz gibi istekler çoğaldı.
Remnux FakeDNS -2
INetSim’i kullanmak için terminale sudo inetsim yazmanız yeterlidir, kendisi fake servisleri açacaktır.
Remnux INetSim
INetSim’in çalıştığını şuradan anlayabilirsiniz, Windows makinenizde bir siteye giriş yapmayı deneyiniz. Aşağıdaki gibi bir sayfa karşınıza çıkması gerekmektedir.
Windows INetSim Kontrol
Bu bölüm bu kadardı, diğer bölümlerde analiz işlemine geçeceğiz. Sağlıcakla kalın…
[TR] Malware Analizi Laboratuvar Kurulumu | Part 1
Merhabalar arkadaşlar, bu bölümde Malware analizini yapacağımız Lab ortamını oluşturacağız. Malware analizine diğer bölümlerde geçeceğiz. Şimdi sadece Lab ortamını oluşturalım.
İlk olarak Malware nedir buna değinelim.
Malware Nedir?
Malware (Malicious Software), fidye yazılımı (ransomware), casus yazılımı (spyware), virüsler ve bunlar gibi zararlı yazılımların ortak ismidir. Malware’lar genel olarak sistemde izinsiz erişim sağlamak, veri çalmak için siber saldırganlar tarafından yazılan yazılımlardır. Malware’ları karşı tarafa göndermenin birçok yolu vardır ancak genel olarak e-mail ile gönderimi tercih edilmektedir.
Malware’ın ne olduğuna değindik, şimdi de dinamik ve statik analizin farklarına bir bakalım.
Dinamik ve Statik Analiz
Bir çalıştırılabilir dosyanın (Portable Executable) iki çeşit analizi vardır. Dosyayı çalıştırmadan neler yaptığını öğrenmek istersek, Statik Analiz ile bunu yapabiliriz. İkisi arasındaki farklara bir bakalım, sonrasında devam edelim.
Dynamic Analysis
- Malware’i çalışırken inceleme
- Bir Debugger aracılığıyla içerisindeki kod yapısını incelemek
- Malware çalıştırılmadan önce alınan Snapshot ile malware çalıştırıldıktan sonra alınan Snapshot karşılaştırılması
- Malware çalıştırılmadan önce Regshot gibi bir araçla Registery bilgisini alıp, malware çalıştırıldıktan sonra değişen bilgileri karşılaştırmak
- Remnux gibi dağıtımlar ile Malware’ın gönderdiği request’leri incelemek
Dinamik ve statik analizin farkı
Static Analysis
- Mawlare’ı çalıştırmadan incelemek
- İçerisindeki kod yapısını incelemek
- Obfuscate edilip edilmediğini Die gibi araçlarla kontrol etmek
Bunlar analizin sadece birkaç adımı, daha birçok farklı yolu bulunmaktadır. Lab kurmamızın sebebi, dinamik analizle malware’i inceliyorken, malware’ın ana bilgisayarımıza bulaşması olasıdır. Bizde bu olasılığı göze alarak, ana bilgisayarımız ve malware’ı inceleyeceğimiz sanal makinemiz ile network ağını tamamen koparacağız. Yani virtual network oluşturacağız.
Lab kurulumu
Lab kurulumu için bizlere VMware, Windows 7 ve Remnux gerekmektedir. Windows makine seçmemdeki sebep, bir sonraki bölümlerde genel olarak Portable Executable’ın analizini yapacak olmam. Remnux kullanmamdaki amaç, Malware’ın FTP, HTTP, SMTP, POP3 ve DNS protokollerinin gerçekleştireceği sorguları görmek isteyişimdir. Malware analistleri için geliştirilmiş olan Remnux’u, Windows 7 makinenin gateway‘i olarak kullanacağız. İki işletim sistemini de kurduktan sonra network ayarlarına geçebiliriz.
Snapshot Nedir ve Network Ayarları
Snapshot
Sanal makinemizin anlık kopyasıdır. Malware çalıştıktan sonra sanal makineye zarar verebilir ve tekrar kurma işine girebiliriz. Bu işten kaçınmak için ve oluşan değişikliği incelemek için snapshot alacağız.
İlk olarak VMware’de kurmuş olduğumuz Windows 7 makinemizi açalım ve VMware’in seçeneklerinden VM seçeneğine tıklayalım. Ardından Snapshot > Take Snapshot seçeneğine tıklayalım.
VMware Snapshot Alma
Ardından açılan pencerede snapshot‘ın ismini ve açıklamasını girelim, işlem bu kadar.
VMware Snapshot Alma
Şimdi sıra network ayarlarında.
Virtual Network Ayarlaması
Üstte de belirtmiştim malware bizlerin ana bilgisayarına ulaşabilir. Bunun için ana bilgisayarımızı zararlıyı çalıştıracağımız makineden soyutlamamız gerekmektedir. İlk olarak VMware‘in üstteki ayarlarından Edit seçeneğine tıklayıp, Virtual Network Editor seçeneğine tıklayalım.
VMware virtual network ayarlama-1
Çıkan seçenekte Change Settings butonuna tıklayalım.
VMware virtual network ayarlama-2
Alta kısımdaki Add Network seçeneğine tıklayıp herhangi bir network ismi seçip devam edelim.
VMware virtual network ayarlama-3
Oluşturduğumuz network Host-only seçeneğinde, “Connect a host virtual adapter to this network” seçeneğindeki tik kalkmış olmalı bu seçili olursa ana makine ile sanal makine arasındaki network ağı kopmaz. Altta verilen Subnet IP ve Subnet Mask bizlere lazım olacaktır. Şimdi bunu kaydedelim ve kapatalım. (Ben VMware2’yi oluşturduğum için onun üzerinden devam edeceğim.)
VMware virtual network ayarlama-4
Şimdi oluşturduğumuz ağı Remnux’ta ve Windows makinede ekleyeceğiz. VMware’a gelerek Windows 7 ve Remnux sistemlerimizde Network Adapter > Custom: Spesific virtual network seçeneğine tıklayalım ve yukarıda oluşturmuş olduğumuz ağın ismini girelim, ardından makinelerimizi çalıştıralım.
sanal makine network ayarı
Ağ kurulumunu yaptık artık işe başlama zamanı.
Malware’ın dışarıya request atmaması için Windows makinenin DNS server’ı, Remnux’un IP adresi olarak yapılandırmamız gerekmektedir. Bunun için Windows makinemize gelelim ve Denetim Masası > Ağ ve Internet > Ağ ve Paylaşım Merkezi > Yerel Ağ Bağlantısı > Özellikler > Internet Protokol Sürümü 4 diyelim.
Otomatik olarak IP al seçeneğini seçmiyoruz, DHCP’nin kendisi IP vermesini istemiyoruz, biz kendimiz vereceğiz. Bundan dolayı alttaki Aşağıdaki IP adresini kullan seçeneğine tıklıyoruz. IP adresi yazan kısma virtual network‘te ayarladığımızdaki subnet IP adresini yazalım fakat sonuna farklı bir rakam yazalım. Örnek olarak 192.168.121.3 diyelim. Alt ağ maskesini kendisi ayarlayacak, Varsayılan ağ geçidi kısmına Remnux makinemizin IP adresini yazacağız.
windows dns ayarını ayarlama
Remnux’un IP adresini öğrenmek için terminale ifconfig yazıyoruz.
Remnux IP adresini öğrenme
Gördüğünüz gibi IP adresimiz 192.168.128.128 imiş. Bunu Windows makinemizdeki Varsayılan ağ geçiti kısmına ve alttaki tercih edilen sunucu kısmına Remnux’un IP adresini yazalım.
windows ip ve dns ayarlama
Ağ yapılandırma işlemleri bu kadardı.
Malware Dinamik Analiz için Ayarlamalar
Şimdi Windows makineden gelen network isteklerini izleme işlemi kaldı. Bunun için Remnux’ta bulunan INetSim ve FakeDNS araçlarını kullanacağım. FakeDNS, kendisine gelen bütün DNS isteklerini anlık olarak göstermektedir. INetSim sayesinde ise malware belli servislere bağlanıyorsa ve bu bağlandığı servislere ne gibi bilgilerin gönderdiğini görebiliriz. Bu araç fake servisler açarak malware’ı şaşırtmaktadır. Remnux’u VMware üzerinden çalıştırıyorsanız INetSim‘in config ayarlarını yapmamız gerekmektedir.
Bunun için terminale: sudo leafpad /etc/inetsim/inetsim.conf yazıyoruz. Biraz aşağıya indikten sonra kırmızı olarak gösterdiğim yerde normalde hiçbir şey yazmaz çünkü ben ekledim bunu. Buraya service_bind_address Remnux_ip_adresi şeklinde yazalım. Ardından biraz daha aşağıya gelelim ve dns_default_ip Remnux_ip_adresi yazalım tekrardan. Bunları yapmazsa servisler düzgün olarak çalışmayacaktır. Ardından dosyayı kaydedip kapatalım.
Kurulum ve konfigürasyon işlemleri bitti. Artık analiz için programların kullanımına gelelim.
Terminali açarak fakedns yazalım ve çalıştıralım.
Remnux FakeDNS -1
Gördüğünüz gibi hiçbir bağlantı yok fakat biraz beklerseniz Windows’un kendisinin attığı istekleri yakalabilirsiniz veya tarayıcı ile herhangi bir siteye giriş yapmayı deneyebilirsiniz. Gördüğünüz gibi istekler çoğaldı.
Remnux FakeDNS -2
INetSim’i kullanmak için terminale sudo inetsim yazmanız yeterlidir, kendisi fake servisleri açacaktır.
Remnux INetSim
INetSim’in çalıştığını şuradan anlayabilirsiniz, Windows makinenizde bir siteye giriş yapmayı deneyiniz. Aşağıdaki gibi bir sayfa karşınıza çıkması gerekmektedir.
Windows INetSim Kontrol
Bu bölüm bu kadardı, diğer bölümlerde analiz işlemine geçeceğiz. Sağlıcakla kalın…
Moderatör tarafında düzenlendi: