Zararlı Yazılım Analiz Ortamının Oluşturulması | Flare VM

  • Konbuyu başlatan Konbuyu başlatan Hüseyin
  • Başlangıç tarihi Başlangıç tarihi

Hüseyin

Üye
Top Poster Of Month
Katılım
21 Ocak 2024
Mesajlar
164
Tepkime puanı
36
Puanları
28
Sanal makinemizi dış dünyadan izole etmek gibi kritik bir adım atılmadan önce, internetten indirilmesi gereken araçların sanal makineye yüklenmesi gerekir. Yeni sanal makinemiz, zararlı yazılım analistlerinin bilgi toplamak için kullandığı ve çok sayıda olan gerekli araçlar olmadan bizim için büyük ölçüde yararsız olacaktır.

Neyse ki FireEye'daki uzmanlar, bir zararlı yazılım analistinin ihtiyaç duyacağı neredeyse her aracı otomatik olarak indirip yükleyebilen bir PowerShell betiği olan FLARE VM adlı harika bir yükleme paketi oluşturdular. Komut dosyası GitHub'da aşağıdaki adreste herkese açık olarak mevcuttur: https://github.com/fireeye/flare-vm. Bu betik bizi büyük bir zahmetten kurtaracak ve gerekli araçları anında yüklememizi sağlayacak:

flarevm.png


Başlamadan önce temiz bir MS Windows sanal makine oluşturup yüklenecek araçlar için en az 60 GB disk kapasitesi ve en az 2 GB bellek ihtiyacınız olduğunu unutmayın.
Windows Güncellemelerini devre dışı bırakın.
Tamper Protection'ı ve herhangi bir Anti-Malware çözümünü (örneğin Windows Defender) tercihen Grup İlkesi aracılığıyla devre dışı bırakın.

FLARE VM için depoyu içeren ZIP dosyasını masaüstüne indirin. ZIP arşivine sağ tıklayın ve çıkarın. Çıkardıktan sonra, bir .ps1 betiği de dahil olmak üzere birkaç dosya içeren bir dizinle karşılaşacaksınız. Buradan, araç yükleme işlemine başlayabiliriz.


Araç yükleme işlemine başlamak için öncelikle PowerShell'de bir yönetici konsolu edinmemiz gerekir. Bunu yapmak için, Windows PowerShell istemini yönetici olarak açma seçeneği sunan WinKey + X tuşlarını kullanabiliriz:

powershell.png


Yönetici shell'i elde edildikten sonra,

(New-Object net.webclient).DownloadFile('https://raw.githubusercontent.com/mandiant/flare-vm/main/install.ps1',"$([Environment]::GetFolderPath("Desktop"))\install.ps1")

Unblock-File .\install.ps1

Set-ExecutionPolicy Unrestricted -Force


Bu komutlar verildiğinde, FLARE'in Chocolatey tabanlı yükleyicisi devreye girecek ve güvenli karakter dizileri olarak saklanan kimlik bilgilerini isteyecektir. Bu kimlik bilgileri girildikten sonra kurulum devam edecek, sanal makine birkaç kez yeniden başlatılacak ve her yeniden başlatmanın ardından otomatik olarak oturum açılacaktır. Kurulum sırasında bizim tarafımızdan başka bir işlem yapılması gerekmez

flarevminstall.png

flarevminstall2.png

flarevminstall3.png




NOT: FLARE çok sayıda araç yükler. İnternet bağlantınızın hızına bağlı olarak yüklenmesi biraz zaman alabilir.

Tüm süreç tamamlandığında, aşağıdaki masaüstü ile karşılaşacaksınız:

flaredesktop.png


Burada birkaç değişiklik göze çarpıyor. İlk olarak, harika kötü amaçlı yazılım analizi ve inceleme araçlarıyla dolu bir FLARE klasörümüz var.

Ayrıca, resmi FLARE VM duvar kağıdına da sahipsiniz. Kötü amaçlı yazılım analizi iş istasyonumuz artık kuruldu ve neredeyse kullanıma hazır!

Ortamınızı izole etme​

Araçlarımız yüklendiğinde, çoğu kötü amaçlı yazılım analizi için artık internet erişimine ihtiyaç duymuyoruz. İnternete bağlı bir sanal makine ile analiz yapmak çeşitli riskler doğurabilir ve kesinlikle gerekli olmadıkça bundan kaçınılmalıdır. Sanal makinenizi internete maruz bırakmakla ilişkili riskler arasında aşağıdakiler yer almaktadır:
  • Saldırganların komut ve kontrol yoluyla hedef makineyle doğrudan etkileşime girmesine izin vermek​
  • DDoS gibi yasadışı faaliyetlere zombi olarak yanlışlıkla katılmak, hedeflerin daha fazla hacklenmesi için vekil olarak kullanılmak
  • Kötü amaçlı yazılımın ağınıza veya başkalarına daha geniş bir şekilde yayılmasına yardımcı olmak ve daha fazlası​
Bu nedenlerle, kötü amaçlı yazılımımızı daha iyi anlamak için sanal makinemizi varsayılan olarak izole olacak şekilde ayarlamamız ve yalnızca gerekliyse internete açmamız önemlidir. Ve bu gibi durumlarda bile, uygun önlemleri alın.

Sanal makinenizi izole etmek basit bir işlemdir ve yalnızca birkaç tıklama gerektirir. VirtualBox'ta sanal makinemizi açacağız ve ardından aşağıdaki ekran görüntüsünde gösterildiği gibi Settings simgesine tıklayacağız:

flarevmsetting.png


Ayarlar bölmesi açıkken, Network (Ağ) bölmesine gidin. Burada, Host- only Adapter'ı seçebiliriz. Bu, VM'nin ağ iletişimini yalnızca ana bilgisayarla sınırlayacak ve kötü amaçlı yazılımların ağ üzerinden daha hassas noktalara yayılmasını önleyecektir.
Neyse ki, Shared Folders ve Shared Clipboard erişimi gibi diğer ana bilgisayar izolasyon özellikleri VirtualBox'ta varsayılan olarak kapalıdır ve VM izolasyonu için daha fazla yapılandırma gerektirmez:

flarevmnetwork.png


Bazen, kötü amaçlı yazılım örneklerini incelerken, internete bağlı bir sanal makineye sahip olmadan ilerlemek imkansızdır. Kötü amaçlı yazılımların diske yazılmasından sorumlu dropper'lar genellikle ikincil aşamaları indirmek için internetteki depolama sunucularına ulaşır ve bunları doğrudan bellekten diske yazar.

Neyse ki, sanal makineniz için ağ erişimini etkinleştirmeden önce bir dizi araçla bu erişimin gerekli olup olmadığını belirlemek mümkündür. VirtualBox bu şekilde güvenli bir şekilde yürütmek için yerleşik mekanizmalara sahip olmasa da, düzgün çalışması için ağ bağlantısı gerektiren herhangi bir dinamik kötü amaçlı yazılım analizi için fiziksel olarak veya bir VLAN aracılığıyla ayrı bir ağ kurulması şiddetle tavsiye edilir.

Bakım ve Anlık Görüntü Alma

Artık kötü amaçlı yazılım analiz sanal makinesinin temeli oluşturulduğuna, araçlar yüklendiğine ve her şey kullanıma hazır olduğuna göre, yeni bir zararlı yazılım dosyasını dinamik olarak analiz etmek istediğimiz her seferde çalışmaların tekrarlanmasına gerek kalmamasını sağlamak önemlidir.

Her bir zararlı yazılım örneğini önceki örneklerin üzerinde çalıştırsaydık, bu durum tehlikeye girme göstergelerimizi (IOC'ler) karıştırırdı ve muhtemelen önceki bir zararlı yazılım örneğinin sonucunun ne olduğunu, analiz ettiğimiz örneğin sonucunun ne olduğunu ve neyin sadece normal sistem etkinliği olduğunu anlayamazdık.

VirtualBox, bizi koruyan yerleşik bir özelliğe sahiptir - Snapshots. Bir anlık görüntü tam olarak göründüğü gibidir - sanal makinenin dosya sisteminin, kayıt defterinin ve diğer özelliklerinin tam olarak o anlık görüntünün alındığı anda nasıl var olduğunun anlık bir göstergesidir. Bir analistin bir sanal makineyi kasıtlı olarak malware ile etkilenmeden önceki bir zamana geri döndürmesini sağlar.

Yeni oluşturduğumuz zararlı yazılım analiz sanal makinemizin anlık görüntüsünü almak için VirtualBox'ın ana menüsüne gideceğiz, sanal makinemizin adının hemen sağındaki açılır pencere düğmesine tıklayacağız ve ardından Snapshots'a tıklayacağız:

flarevmsnap.png


Tıklandığında, snapshot bölmesi açılır ve bize geçerli bir snapshot alma ve onu adlandırma seçeneği sunar:

flarevmsnapname.png


OK tıklandığında, sanal makine birkaç dakika duraklayarak anlık yapılandırmanın bir görüntüsünü alacak ve daha sonra geri yüklemek üzere kaydedecektir. Tamamlandığında, aşağıdaki ekran görüntüsünde gösterildiği gibi, VirtualBox'taki mevcut geri yükleme noktaları listesinde anlık görüntümüzü görebileceğiz:

flaresnapshot.png


Tebrikler! Zararlı yazılım analiz sanal makinenizi oluşturdunuz ve içindeki zararlı yazılımı birkaç kez çalıştırdıkdan sonra bile kullanmaya devam edebilmemizi ve bir düğmeye tıklayarak önceki durumuna döndürebilmemizi sağladınız.

Snapshot'lar yalnızca sanal makinenizi temiz tutmak için harika değildir! Kötü amaçlı yazılımların ilk vektörleri belirli bir süre sonra artık çalışmaz. Gelecekte üzerinde çalışmak istediğinizi düşündüğünüz virüslü bir VM örneğiniz varsa ve onu yeniden etkileyip etkileyemeyeceğinizden emin değilseniz, bir snapshot alın!
 
Geri
Üst