• Buradasın

    Volatility ile Zararlı Yazılım Analizi Eğitimi

    youtube.com/watch?v=2eO6umkBkYk

    Yapay zekadan makale özeti

    • Bu video, bir konuşmacının zararlı yazılım analizi konusunda eğitim serisi kapsamında sunduğu teknik bir eğitim içeriğidir.
    • Video, bellek döküm analizinin ne olduğunu ve neden önemli olduğunu açıklayarak başlıyor, ardından Kali Linux sisteminde Volatility aracı kullanarak zararlı yazılım tespit yöntemlerini adım adım gösteriyor. İçerikte Zeus adlı bir zararlı yazılım örneği üzerinden, IP adreslerinin Virüs Total sitesi üzerinden kontrolü, register'daki başlangıç sabitleme aktivitelerinin tespiti ve bellek dökümünden zararlı tespitleri yapma teknikleri detaylı olarak anlatılıyor.
    • Eğitimde özellikle svc host.exe gibi normal Windows süreçlerinin anormal ağ bağlantıları gerçekleştirmesi durumunda nasıl değerlendirilmesi gerektiği vurgulanıyor ve 856 numaralı SVC OS süreci üzerinden Zeus trojen virüsünün nasıl tespit edildiği gösteriliyor.
    00:01Zararlı Yazılım Analizi Eğitimine Giriş
    • Zararlı yazılım analizi eğitimlerine kaldığı yerden devam ediliyor.
    • Kanalda yazılım güvenliği ve ileri seviye malware analizi üzerine eğitimler bulunmaktadır.
    • Malware analiz eğitimleri oynatma listesinde temel statik analiz, temel dinamik malware analizi ve ileri seviye malware analizi videoları bulunmaktadır.
    00:40Bellek Döküm Analizi Nedir?
    • Bellek döküm analizi, bir bilgisayarda gerçekleşen olayı bellek dökümü alarak prosesler, DLL'ler ve ağ bağlantılarını inceleyerek zararlı yazılım analizleri gerçekleştirmektir.
    • Bellek döküm analizi, adli bilişim tekniklerinde kullanılan bir yöntemdir.
    • Bellek dökümünde alınan DAMP dosyaları veya prosesler ayrıca temel dinamik analize veya statik analize tabi tutulabilir.
    01:50Bellek Döküm Analizine İhtiyac Neden Duyulur?
    • Zararlı yazılımlar işletim sistemi üzerindeki belirli bir prosese enjekte edebilirler ama sonuçta bellekte yer edilirler.
    • Bu nedenle zararlı yazılım analizinde bellek analizi gerçekleştirilmelidir.
    • Bu eğitimde Zeus adlı zararlı yazılımın bellek dökümü analizi yapılacak.
    02:49Zeus Virüsü Hakkında Bilgi
    • Zeus virüsü, kişisel bilgilerin çalınması için kullanılan tehlikeli bir trojan'dır.
    • Zeus'un bulaştığı bir sistemde bellek dökümü alınarak internette paylaşılmıştır.
    • Bu eğitimde Zeus zararlısının bulaştığı bir işletim sisteminin belleği incelenecektir.
    04:11Volatility Aracı ile Bellek Döküm Analizi
    • Bellek döküm analizleri için Volatility aracı kullanılmaktadır.
    • Volatility, Python ile kodlanmış, Windows ve Linux sistemlerde kullanılabilen popüler bir araçtır.
    • Analiz için "damp" adında bir klasör oluşturulmuş ve Zeus VMM uzantılı bellek dökümü analiz edilecektir.
    05:10Bellek Döküm Analizi Adımları
    • Bellek döküm analizinde "image.info" parametresi ile bellek dökümü hakkında bilgi toplanır.
    • Volatility, bellek dökümünün Windows XPS 2x86 ve Windows XPS 3x86 sistemlerinden alındığını tespit etmiştir.
    • Bellek dökümünde hangi proseslerin çalıştığına bakmak önemlidir çünkü zararlı analizinde prosesler çok önemli yer alır.
    06:46Çalışan Prosesleri İnceleme
    • "ps list" komutu kullanılarak bellek dökümünde yer alan prosesler görüntülenebilir.
    • Proses listesinde tarihler, bellekteki adresler, proses isimleri, proses ID'leri ve parent process ID'leri bulunmaktadır.
    • Bazı prosesler Windows'un kendi çalışma yapısında kullanılan proseslerdir ve zararlı proses tespit etmek için dikkat çekici bir şey aranmalıdır.
    08:32Ağ Bağlantılarını İnceleme
    • Bellek dökümü içerisinde sistemde gerçekleşen ağ bağlantıları incelenir.
    • "con-scam" parametresi kullanılarak ağ bağlantıları tespit edilir.
    • Bellek dökümünde yerel ağdaki adresin uzak adrese (80 portuna) bağlandığı ve bu bağlantıyı gerçekleştiren prosesin 856 numaralı olduğu tespit edilmiştir.
    09:43Svc Host Süreci Analizi
    • Ağ bağlantısını gerçekleştiren proses 856 numaralı Svc Host sürecidir.
    • Svc Host.exe, Windows işletim sistemine ait bir exe dosyasıdır.
    • Svc Host.exe, Windows işletim sistemi servisleri oluşturan DLL dosyalarını idare eder ve DLL dosyalarından başlatılan işlemlerin yürütülmesini sağlayan bir sistem uygulamasıdır.
    12:35IP Adresinin Zararlı Olup Olmadığının Tespiti
    • Uzak bir sunucuya bağlantı kurulduğunda, bu IP adresinin internette daha önceden zararlı olarak tespit edilip edilmediği araştırılabilir.
    • Virüs Total.com sitesi kullanılarak IP adresi araştırılabilir ve 87 antivirüs motorundan 2 tanesi bu IP adresini zararlı olarak tespit etmiştir.
    • Zararlı analizlerinde daha önceden yapılmış ve bu IP adresi yer almış, bu nedenle bu adres blacklist'e alınmalı ve güvenlik duvarı tarafından engellenmelidir.
    14:45Zararlı Sürecin Başlangıca Sabitlenmesi
    • Zararlı aktiviteyi gerçekleştiren bir süreç, bilgisayarın başlangıcını sabitlemiş olabilir ve her açıldığında kendini tekrar başlatabilir.
    • Volatility komutu kullanılarak register aktiviteleri kontrol edilebilir ve "printkey" komutu ile register'daki yollar incelenebilir.
    • Microsoft Windows NT Current Version 1 logo yolunda "sdr64.exe" adıyla bir süreç oluşturuluyor ve bu, register üzerine kendini sabitleyen bir executable dosyasıdır.
    17:34Zararlı Sürecin Analizi
    • 856 numaralı SWC OS sürecine yönelmek için "mutfint" komutu kullanılır ve bu komut, Volatility üzerinde belirtilen süreçte zararlı araştırması yapar.
    • Zararlı süreç tespit edildiğinde, Volatility anormal durumları tespit ettiği zaman dant dosyalarını dmp uzantılı dökümler olarak belirtilen yola kaydeder.
    • Virüs Total.com sitesi kullanılarak damp dosyaları araştırıldığında, 57 antivirüs motoru bu dosyaların trojen olduğunu tespit etmiştir.
    20:44Bellek Analizleri
    • Süreçlerin exe dosyalarını dışarıya çıkarmak için "prop damp" komutu kullanılabilir.
    • Bellek analizlerinde süreç içerisinde geçen stringlere bakılabilir ve temel statik analizde portabla equitable'da yer alan section'lar görülebilir.
    • Volatility'nin dökümantasyonundan "dl list" komutu kullanılarak o sırada kullanılan tüm DLL'ler ve "list" komutu ile bellek dökümünde o sıradaki tüm değerler görüntülenebilir.
    24:49Sonuç
    • Bellek dökümünden çıkarılan sonuç, sisteme bir Zeus trojen virüsünün bulaştığını tespit etmektir.
    • Bu analizde temel olarak zararlı analizlerinde bellek döküman analizi bu şekilde gerçekleştirilmiştir.

    Yanıtı değerlendir

  • Yazeka sinir ağı makaleleri veya videoları özetliyor