Zararlı Dosyaların Davranışsal Analizi-2

Zararlı Dosyaların Davranışsal Analizi-2
Mayıs 10 08:49 2016 Yazıyı Yazdır

Bir önceki yazımızda şüpheli dosyaların analizlerini gerçekleştirmek için Buster Sandbox Analyzer (BSA) kurulumunu ve hazır hale getirilmesini anlatmıştık. Bu yazımızda 4 hafta öncesine kadar herhangi bir Antivirüs tarafından zararlı olarak tespit edilmeyen içerisinde Macro tipinde zararlı kodlar bulunan basit bir .doc uzantılı dokümanı inceleyip, BSA’nın vermiş olduğu rapora göz atacağız.

Ekran görüntüsünde görüldüğü üzere Symantec haricindeki herhangi bir AV tarafından zararlı olarak tespit edilemiyor. (Gold paket üyeliğimiz bulunduğu için özel olarak ilgili dosyayı Symantec tarafına gönderip, zararlı olarak tespit edilmesini sağlamıştık)

vtups

Öncelikle daha önce oluşturmuş olduğumuz sanal makinada kurulu olan ve içerisinde Office 2003 yüklü XP işletim sistemini çalıştırıyoruz.

C: sürücüsü altında \BSA klasörünün içinde bulunan BSA.exe yi açıyoruz.

Analizini gerçekleştireceğimiz doc uzantılı zararlıyı Sanboxie ortamında çalıştırmadan önce mutlaka BSA arayüzünde “Start Analysis” butonuna tıklayıp hazır hale getirmemiz gerekiyor. Eğer bir uyarı çıkarsa ki bu daha önce analiz yaptığımız anlamına gelir, dilersek analiz klasörü içinde bulunanları “Delete Sandbox Folder” contents and continue seçeneğini seçerek devam ediyoruz. Ekranımız aşağıdaki gibi olmalıdır.

2

Sanal makinamıza kopyalamış olduğumuz dokümanı sürükle bırak yöntemi ile ya da sağ tıklayıp Open with Sandbox şeklinde açabiliriz. Daha sonra Sanboxie profili (Defaultbox) seçerek devam ediyoruz.

Aşağıda görüldüğü üzere dosyanın işletim sistemi üzerinde yaptığı değişiklikler BSA tarafından kayıt edilmeye başlıyor. İlgili dosyada Visual Basic hatasıyla karşılaşılıyor. Buna Tamam diyerek devam ediyoruz. Ardından görüldüğü gibi bir ürün anahtarı hatasıyla karşılaşılıyor. Bu anda iptal diyerek dokumanı görüyoruz. Ardından ilgili zararlı kodlar çoktan çalışmış olduğundan ve amacına ulaştığından dosya kendisini kapatıyor. (Kapandığını API Call Log bölümünde Terminate Process winword.exe olarak görebiliriz)

3

4

Finish Analysis diyerek artık raporlarımızı görmeye başlayabiliriz. Birkaç saniye bekliyoruz. Ardından tüm raporlarımıza Viewer sekmesinden ulaşabiliriz. Örnek olarak View Analysis bize bir text çıkartarak zararlı kodların yapmış olduğu aktivitelerin ayrıntısını yazar. Biz View Analysis Field kısmıyla özet bir rapor alalım.

5

Örnek olarak burada görüldüğü üzere bir Keylogger aktivitesi olduğu görülüyor. Bu başlı başına dosyanın zararlı olduğuna karar vermek için yeterlidir. Ayrıca klasör, servis ve kayıt defteri girdileri yapmış olduğunu görüyoruz. Son olarak zararlı kodların; Assorted suspicious actions yani şüpheli aktiviteler gerçekleştirdiğini görüyoruz. Detaylara baktığımızda ise FTP, bilgisayar adı gibi bilgileri aldığını görüyoruz. Burada yer alanların özet olduğunu unutmayalım.

———————————————————-

Yine viewer altında en alt sekmede yer alan view report kısmında ayrıntılı olarak bilgiler edinebiliriz. Dosya sistemi değişiklikleri, kayıt defteri girdileri, network servisleri gibi bilgileri alabiliriz. Bu kısımda .  [ Process/window/string information ] başlığı altında bulunan yere gelelim:

Ufak bir doc dökümanı olmasına rağmen ne kadar tehlikeli olduğunu bu bölümde ispatlıyoruz: Görüldüğü üzere;

   * Keylogger functionality.    * Gets current hardware profile information.    * Gets user name information.    * Gets system default language ID.    * Gets input locale identifiers.    * Gets volume information.    * Gets computer name. …    * Enables process privileges.    * Contains string FTP information stealer (“BulletProof”)    * Contains string Checked for Task Manager software presence (“TASKMGR.EXE”)    * Sleeps 5504 seconds.

Bugünlük bu kadar, herkese şüpheli analizler dilerim 🙂

daha fazla yazı

Yazar Hakkında

M. Kutlu Durmuş
M. Kutlu Durmuş

Daha Fazla Yazı
yorum yapın

Yorum Yok

Henüz yorum yapılmamış

İlk yorumu siz yapabilirsiniz.

Yorum ekleyin

Bilgileriniz güvende! E-posta adresiniz yayınlanmayacak. Diğer kişisel bilgileriniz üçüncü partilerle paylaşılmayacak.
* işaretli alanlar zorunludur.

Time limit is exhausted. Please reload CAPTCHA.