Zararlı Dosyaların Davranışsal Analizi

Genelde şirket ya da kurumların güvenlik mühendisleri ağlarında tespit ettikleri zararlı dosyaları virustotal.com gibi online sorgulama araçlarında sorgulayıp, kullandıkları Antivirüs yazılımına göre imzasını çıkartmaya çalışırlar. Ancak bu tür online tarama araçları derinlemesine analiz yapamaz, riskin boyutunu ve içerideki aktiviteleri ortaya koyamaz. Yine online olarak davranışsal analiz gerçekleştiren threatexpert gibi araçlar da dosya ile birlikte yapılması gereken bir sonraki aktiviteyi (örn. doküman içerisindeki bir linki tıklama )  gerçekleştirmediğinden istenilen sonucu veremezler.

Sandboxie uygulaması bilgisayar içerisinde herhangi bir programı ya da dosyayı bilgisayarın etkilenmeden çalışmasını sağlamaktadır. Güvenli bir şekilde uygulamaların açılmasını sağlayan bu araç Buster Sandbox Analyzer (BSA) ile birlikte kullanıldığında davranışsal olarak ne tür aktivitelere maruz kalındığını kullanıcıya raporlar.

Buster Sandbox Analyzer, bir dosya analiz aracıdır. Sistemde çalışan processlerin davranışını gözlemleyerek zararlı bir aktivitede bulunup bulunmadığını inceler.

Sistemdeki değişiklikler aslen üç şekilde meydana gelmektedir.

  1. Kayıt defteri değişiklikleri
  2. Port değişiklikleri
  3. Dosya değişiklikleri

Dosya değişiklikleri: Bir dosyanın oluşturulup, değiştilmediği ya da olan bir dosyanın silinip silinmediği ile alakalıdır. BSA dosyanın oluşturulduğu yerden (PATH) dosya ile alakalı bilgileri toplar ve rapor sunar. Bu dosyalar genelde exe, java, dll vb dosyalardır.

Kayıt defteri değişiklikleri: Windows Registry altında yapılan hassas bilgileri içeren ve zararlı aktivitenin olup olmadığı ile alakalı girilen, silinen ya da değiştirilen anahtarlardır. (registry keys)

Port değişiklikleri: Sistem içerisinden dışarıya doğru ya da lokal başka bir bilgisayara doğru bir bağlantı oluşmuş mu, ya da bağlantı bekleyen yeni bir port sistemde açılmış mı ile alakalı bilgilerdir. BSA tüm yukarıda yazan etkileşimlere bakarak ilgili dosyanın zararlı olup olmadığına karar verir. Ayrıca klavye izlerinin takibi, Windows oturumları, sürücü yüklenmeleri, sistem servisleri gibi kritik yerlere de bakılarak analiz gerçekleştirir. Ücretsiz bir yazılımdır. BSA sadece Sandboxie yazılımının yüklü ve çalışır halde olduğu sistem üzerinde inceleme yapabilir. Internet bağlantısı gerekli değildir ancak hareketleri görme bakımından tavsiye edilir. BSA exe, bat, vbs, pdf, xls ve doc vb. gibi dosyaları inceleyebilir. Genelde malware analistleri sadece çalıştırılabilir dosyaları incelerler, ancak dll kütüphaneleri gibi ek dosyalara ihtiyaç duyan çalıştırılabilir dosyalar BSA vasıtasıyla incelenebilir. Bu nedenle incelenecek dosyanın ek programları da yüklü olması gerekmektedir. BSA’nın avantajı ileri seviyede bilgisi olmayanlar için çeşitli işe yarar bilgileri anlaşılır şekilde göstermesidir. Ayrıca ayarları kullanıcı tarafından esnek bir şekilde değiştirilebilir.

Kullanımı

Sandboxie her ne kadar sistemden izole olarak dosya çalıştırsa da zararlının yanlışlıkla bilgisayarda çalışmasının önüne geçebilmek adına analiz yapılacak makinanın sanal olması gerekmektedir.

Öncelike ihtiyaç duyulan 3 programı indirelim ve kuralım:

  1. Sandboxie
  2. Winpcap
  3. Buster Sandbox Analyzer
Not: Kurulum ile ilgili Youtube videosunu izleyebilirsiniz.

Ardından Sanboxie uygulamasında menü içinden “Configure” -> “Edit Configuration” bölümünü açalım. Açılan Sanboxie.ini dosyası içerisinde bulunan [Defaultbox] kısmının en altına aşağıdaki kodları girelim.

InjectDll=C:\BSA\LOG_API\LOG_API32.DLL

OpenWinClass=TFormBSA

NotifyDirectDiskAccess=y

ProcessLimit1=20

ProcessLimit2=30

confini

Bu şekilde üstteki ilk üç satırdaki kod ile BSA ve Sandboxie nin birlikte çalışmasını aktif hale getirmiş oluyoruz. 4 ve 5. satırlar ile de zararlı dosyaların işlemciyi zorlayarak zarar vermesini önlüyoruz.

Aynıdosya içerisinde bulunan[User_Settings] bölümünün son satırına ise SbieCtrl_HideMessage=* kodunu ekliyoruz. Bu kod ise BSA’nın otomatik modda çalışmasını sağlıyor. Dosyayı kaydedip kapatıyoruz. Yine Sandboxie -> Configure -> Reload Configuration diyerek ayarlarımızın yüklenmesini sağlıyoruz.

Daha iyi bir performans alabilmek için Sandboxie içinde birkaç ayar daha yapmamız gerekiyor. Yine Configure kısmından Windows Shell Integration bölümüne tıklıyoruz. “When Windows Starts” ve “ShortCut Icons” kısmındaki tıkları kaldırıyoruz. Performansı artırmak bakımından Youtube videosundaki diğer ayarların yapılması tavsiye edilse de elzem değildir.

Bu aşamadan sonra indirmiş olduğumuz bsa aracını C:\BSA’nın içerisine atıyoruz. BSA.exe dosyasını çalıştırarak programımızı açıyoruz. Ana ekrandaki “Sandbox folder to check” bölümüne Sanboxie nin kurulu olduğu yerde bulunan ve genelde C:\Sandbox\kullanıcı_adi\DefaultBox klasör yerini gösteriyoruz. Bu klasörü sağ alt köşedeki Sanboxie aracına sağ tıklayıp, Defaultbox içerisindeki explore contents içinden görebiliriz.

bsaekran

Artık hazırız! BSA ana ekranındaki “Start Analysis” butonuna tıklayıp, Delete Sandbox Folder and Continue diyoruz. Analiz edeceğimiz dosyayı ya da programı Sanboxie Control içerisine sürükleyip bırakarak ve DefaultBox’u seçiyoruz. Bu arada sanal sistem içerisinde office, flash, winrar, java, dotnet framework, pdf reader gibi programların yüklü olması analizlerin daha iyi sonuç vermesine sebebiyet verecektir. (Programların zafiyeti olan eski versiyonlarının olması analizlerin daha anlaşılır bir biçimde olmasını sağlayacaktır.) Ayrıca office makrolarının etkin hale getirilmesi incelenecek dokümanlar için elzemdir.

Bir sonraki yazımda örnek olması açısından; makro güvenliği en düşük seviyede ve Office 2003 kurulu bir sanal makina da zararlı aktivitesi bulunan ancak herhangi bir antivirüs tarafından tespit edilemeyen .doc uzantılı bir dosyayı inceleyeceğim. Ayrıca BSA üzerinde inceleme raporlarının nasıl basit bir şekilde alındığını da görmüş olacağız. Görüşmek üzere…

Pin It

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Time limit is exhausted. Please reload CAPTCHA.