ݺߣ

ݺߣShare a Scribd company logo

Zararlı Yazılım Analizi (ÖZET)

Alper Başaran
Alper Başaran

Zararlı yazılım analizi sırasında kullanılabilecek bazı araçlar.

1 of 48
Zararlı Yazılım Analizi “işte bunlar hep mikrop” Alper Başaran alper@sparta.com.tr Alper Başaran - alper@sparta.com.tr Bu slaytlar temel seviye statik zararlı yazılım analizi için SOME (Siber Olaylara Müdahale Ekibi) üyelerinin işine yarayabilecek bazı araçları ele alır. 3 günlük zararlı yazılım analizi eğitiminden derlenen bazı slaytlardan ibarettir. Kapsamlı bir eğitim dokümanı olarak düşünülmemelidir.
Alper Başaran • Deneyim alanları; • Penetrasyon testi • Olay müdahalesi • Siber tehdit avcılığı • SOME kurulumu, tatbikatları ve danışmanlığı • İletişim: • Email: basaranalper@gmail.com • Twitter: basaranalper • Web sayfası: alperbasaran.com Alper Başaran - alper@sparta.com.tr
Keşfedilen Zararlı Yazılım Sayısı Artıyor Alper Başaran - alper@sparta.com.tr
Siber Ölüm Zinciri Bilgi Toplama • Pasif bilgi toplama • Kuruluş şemaları • IP adresleri • Port taramaları • İnternet servis sağlayıcısı bilgileri • Dışarıya dönük sistemler • ... Silahlandırma • İstismar kodunun hazırlanması • Zararlı yazılım • Ambalaj Teslimat • Hedefli oltalama saldırısı (spear phishing) • Zararlı içerikli web sayfası • İnternet servis sağlayıcısı İstismar • Kodun çalıştırılması • Hedef sistemle bağlantı kurma • Üçüncü tarafların istismarı Kurulum • Trojan veya arkakapı • Kalıcı erişim kurabilme • Yetki yükseltme • Kullanıcı adlarını ve parolaları çalma Komuta ve kontrol • Hedefle iletişim yolunun açılması • Yatay hareket • İç ağda bilgi toplama • Erişimi kalıcı hale getirme Hedef üzerinde işlemler • Derinleşme • Bağlantıyı ve erişimi kalıcı hale getirecek ek yöntemler • Veri sızdırma 1 2 3 4 5 6 7 Alper Başaran - alper@sparta.com.tr
STUXNET Alper Başaran - alper@sparta.com.tr
STUXNET Alper Başaran - alper@sparta.com.tr
STUXNET • STUXNET: Siemens otomasyon sistemlerini hedef alan solucan • 500KB dosya • 4 adet Windows 0-day açığından faydalanıyor • MS 08-067’yi de istismar edebiliyor • Jmicron ve Realtek firmalarının geçerli sertifikalarıyla imzalanmış Alper Başaran - alper@sparta.com.tr
STUXNET USB Bellek üzerinden LNK istismarı ile DLL Çalıştırma Windows Task Scheduler Zafiyeti ile yetki yükseltme Klavye dili ayarı üzerindeki zafiyet ile yetki yükseltme Yazıcı Spooler yazılımı zafiyeti ile ağdaki diğer sistemlere yayılma 1 2 3 4 Alper Başaran - alper@sparta.com.tr
STUXNET “Step 7” Yazılımı olan kontrol bilgisayarına bulaşıyor PLC Sistemi istismarı Santrifüj devre dışı bırakılıyor 5 6 7 Alper Başaran - alper@sparta.com.tr
Cleaver • İlk sızma: SQL injection, web sunucusu veya sosyal mühendislik • İç ağda yayılma MS 08-067 gibi yaygın olarak bilinen zafiyetlerle oluyor (0 gün açığı yok) • Hedefe özel ikinci saldırı zararlısı uzaktan yüklenebiliyor • Enerji ve telekom gibi kritik altyapıları hedef alıyor Alper Başaran - alper@sparta.com.tr
Volatile Cedar • 2012 Kasım ayından beri var • Gizliliğe önem verilmiş • 3 kademeli komuta yapısı • Lübnan (!) kaynaklı Alper Başaran - alper@sparta.com.tr
Volatile Cedar • Gizliliğe önem verilmiş • Düzenli olarak antivirüslerle kontroller yapılıyor • Dikkat çekmemek için CPU kullanımı sınırlandırılmış • API işlevleri ile Trojan ayrı dosyalarda oluşturulmuş • Trojan davranışları hedefin çalışma saatlerine göre ayarlanmış Alper Başaran - alper@sparta.com.tr
Volatile Cedar • 3 kademeli komuta yapısı Alper Başaran - alper@sparta.com.tr
APT Zararlıları • Poison Ivy • Flame • Finfisher Alper Başaran - alper@sparta.com.tr
APT Zararlıları • Poison Ivy • Çin ve Orta Doğu’lu saldırganlar tarafından yaygın olarak kullanılıyor • Büyük ölçüde programlanabilir • Klavye hareketleri, kamera görüntüleri, trafik isleme/yönetme, parola çalma, dosya gönderme Alper Başaran - alper@sparta.com.tr
Poison Ivy Alper Başaran - alper@sparta.com.tr
APT Zararlıları • Flame • 20MB!!! • SQLite3 veritabanı • Lua dilinde yazılmış “Stuxnet’i analiz etmemiz ve anlamamız 6 ayımızı aldı. Flame’i tam olarak çözmemiz 10 yılı bulur” - Kaspersky analisti Gostev Alper Başaran - alper@sparta.com.tr
Flame • 20 tane modül (bilinen) • Keylogger • Kamera • Skype konuşması kaydı • Bluetooth(!) • E-posta veya anlık mesajlaşma açıksa 15 saniyede 1 ekran görüntüsü alıyor Alper Başaran - alper@sparta.com.tr
Flame Alper Başaran - alper@sparta.com.tr
APT Zararlıları • Finfisher Alper Başaran - alper@sparta.com.tr
FinFisher Alper Başaran - alper@sparta.com.tr
FinFisher Alper Başaran - alper@sparta.com.tr
FinFisher Alper Başaran - alper@sparta.com.tr
Zararlı Yazılım Yaşam Döngüsü Alper Başaran - alper@sparta.com.tr
Zararlı Yazılımın Amacı • Ağ veya sistemlerinizde bulunan zararlı yazılımlara DOĞRU şekilde müdahale etmek • Tam olarak ne olduğunu anlamak • Zararlının bulaştığı BÜTÜN makineleri tespit etmek • Zararlının kullandığı bulaşma/yayılma tekniklerini anlamak • İmza oluşturmak Alper Başaran - alper@sparta.com.tr
Bulaşma Vektörleri Başka programa bulaşıyor Exe dosyası Zararlı Kod Program olarak görünüyor Başka programın içinde gizli Çekirdek seviyesi Boot bölgesini etkiliyor Alper Başaran - alper@sparta.com.tr
İmzalar • Sistem temelli imzalar • Ağ temelli imzalar Alper Başaran - alper@sparta.com.tr
Zararlı Yazılım Analizi Teknikleri • Temel statik analiz • Dosya zararlı mı? • Temel dinamik analiz • Zararlı ne yapıyor? • İleri statik analiz • Tersine mühendislik ile zararlıyı anlamak • İleri dinamik analiz • Çalışan zararlının ayrıntılı incelemesi Alper Başaran - alper@sparta.com.tr
Siber Saldırı Türleri • Zararlı yazılımlar • Adware • Spyware • Virüs • Worm • Trojan • Rootkit • Backdoor • Keylogger • Sahte güvenlik yazılımı • Ransomware • Browser hijacker Alper Başaran - alper@sparta.com.tr
Zararlı Yazılım Analizi: Genel Kurallar • Detaylarda fazla boğulmayın • Tek bir geçerli analiz yaklaşımı yok • Zararlı yazılımlar sürekli değişiyor Alper Başaran - alper@sparta.com.tr
Basit Statik Analiz • Zararlı yazılımın parmak izi • HASH değeri • Nasıl alınır? • Nasıl kullanılır? • Etiket olarak • Başka kaynaklardan araştırma yapmak için Alper Başaran - alper@sparta.com.tr
Hash Değeri • MD5 • SHA256 Alper Başaran - alper@sparta.com.tr
Strings • Program içerisinde insan tarafından okunabilen karakterleri gösterir Alper Başaran - alper@sparta.com.tr
Packer Tespiti • Best effort yapılır Alper Başaran - alper@sparta.com.tr
Dependency Walker • Uygulamanın neler yaptığını listeler Alper Başaran - alper@sparta.com.tr
Dependency Walker • Örn: CreateFileA programının bir dosya oluşturabileceğini gösteriyor Alper Başaran - alper@sparta.com.tr
DLL’leri Okumak DLL Adı Fonksiyonlar Kernel32.dll Hafıza, dosya ve donanıma müdahale edebilir Advapi32.dll Registry’de değişiklik yapmak gibi ileri seviye fonksiyonlar User32.dll Kullanıcı arabirimi bileşenlerini içerir Gdi32.dll Grafik işlevler Ntdll.dll Normalde Kernel32.dll tarafından çağrılır. Doğrudan çağırılmış olması kötü niyete işaret edebilir WSock32.dll Ağ erişimi için kullanılır Wininet.dll FTP, HTTP ve NTP gibi üst seviye protokolleri içerir msvcrt.dll Standart C kütüphanesi (printf, memcpy, vb.) Alper Başaran - alper@sparta.com.tr
Windows Fonksiyonları • accept: Gelen bağlantıları kabul eder • AttachThreadInput: Başka bir process’e bağlanabilir (örn. Keylogger) • bind: Gelecek bağlantıları dinlemeye başlar • CheckRemoteDebuggerPresent: Debugger var mı? • connect: Dışarıda bir sisteme bağlanır • ControlService: başka bir servisi kontrol eder (başlat, kapat, vb.) • CreateFile: var olan bir dosyayı açar • CreateMutex: mutual exclusion object ile aynı zararlının sadece bir kez bulaşması sağlanır (Morris Worm) • inet_addr: IP adreslerini “connect” gibi başka fonksiyonlar tarafından kullanılabilir hale getirir • InternetOpen: İnternet bağlantısı açar (user agent bilgisi gönderebilir) • NetShareEnum: Paylaşımdaki klasörleri listeler • send: Uzaktaki bir makineye veri gönderir Alper Başaran - alper@sparta.com.tr
Sandbox Çözümleri? • Bazı zararlı yazılımlar sanal makineleri tespit edebiliyor • Bazı zararlı yazılımlar belli registry değerlerini arıyor • Sandbox ortamı gerçek ortamı yansıtmayabilir • DLL formatındaki zararlı yazılımları çalıştırmakta zorlanabilir • .vbs zararlılarını çalıştırmakta zorlanabilir Alper Başaran - alper@sparta.com.tr
Online Kaynaklar • https://www.joesandbox.com • https://www.hybrid-analysis.com/ • https://www.virustotal.com/ Alper Başaran - alper@sparta.com.tr
Process Explorer • Process Explorer: Run as Administrator! Alper Başaran - alper@sparta.com.tr
Process Explorer • Hangi process nerede çalışıyor? • İmzalı/sertifikalı olamayanlar hangileri? ? Alper Başaran - alper@sparta.com.tr
Process Explorer • Hangi process nerede çalışıyor? • İmzalı/sertifikalı olamayanlar hangileri? • Properties Alper Başaran - alper@sparta.com.tr
ProcMon • PROCess MONitor Alper Başaran - alper@sparta.com.tr
Ağ kullanımı • Procmon Network Alper Başaran - alper@sparta.com.tr
Ağ kullanımı • Netstat • netstat • netstat –i • netstat –ie • netstat –t • netstat –u • netstat –ua • netstat –uta • netstat -tae Alper Başaran - alper@sparta.com.tr
Zararlı Yazılım Teknikleri • Sıkıştırma • Gizleme • Kalıcı olma • Yetki yükseltme • Koruma atlatma • Kullanıcı bilgisi çalma • Keşif • Yatayda hareket • Çalışma • Toplama • Sızdırma • Komuta sunucusu Alper Başaran - alper@sparta.com.tr
Zararlı Yazılım Teknikleri • Kalıcı olma • Tarayıcı eklentisi • Servis kurulumu • DLL hijacking • Sıralama: • Uygulamanın bulunduğu klasör • Sistem klasörü (örn: C:WindowsSystem32 • Windows’un bulunduğu klasör (GetWindowDirector fonksiyonu ile) • PATH ortam değişkeni • Zamanlanmış görevler Alper Başaran - alper@sparta.com.tr

Recommended

Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
BGA Cyber Security
Siber güvenlik ve hacking
Siber güvenlik ve hackingSiber güvenlik ve hacking
Siber güvenlik ve hacking
Alper Başaran
Kali linux
Kali linuxKali linux
Kali linux
BGA Cyber Security
BTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Adli Bilişim Eğitimi SunumuBTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
Zararlı Yazılım Analizi İçin Lab Ortamı Hazırlamak
Zararlı Yazılım Analizi İçin Lab Ortamı HazırlamakZararlı Yazılım Analizi İçin Lab Ortamı Hazırlamak
Zararlı Yazılım Analizi İçin Lab Ortamı Hazırlamak
BGA Cyber Security
Web Uygulama Güven(siz)liği
Web Uygulama Güven(siz)liğiWeb Uygulama Güven(siz)liği
Web Uygulama Güven(siz)liği
BGA Cyber Security
İleri Seviye Ağ Güvenliği Lab Kitabı
İleri Seviye Ağ Güvenliği Lab Kitabıİleri Seviye Ağ Güvenliği Lab Kitabı
İleri Seviye Ağ Güvenliği Lab Kitabı
BGA Cyber Security
Siber Tehdit Avcılığı (Threat Hunting)
Siber Tehdit Avcılığı (Threat Hunting)Siber Tehdit Avcılığı (Threat Hunting)
Siber Tehdit Avcılığı (Threat Hunting)
BGA Cyber Security
DDoS Engelleme Ürünleri
DDoS Engelleme ÜrünleriDDoS Engelleme Ürünleri
DDoS Engelleme Ürünleri
BGA Cyber Security
Web Uygulama Pentest Eğitimi
Web Uygulama Pentest EğitimiWeb Uygulama Pentest Eğitimi
Web Uygulama Pentest Eğitimi
BGA Cyber Security
Uygulamalı Ağ Güvenliği Eğitimi Lab Çalışmaları
Uygulamalı Ağ Güvenliği Eğitimi Lab ÇalışmalarıUygulamalı Ağ Güvenliği Eğitimi Lab Çalışmaları
Uygulamalı Ağ Güvenliği Eğitimi Lab Çalışmaları
BGA Cyber Security
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği Temelleri
BGA Cyber Security
PAROLA KIRMA SALDIRILARI
PAROLA KIRMA SALDIRILARIPAROLA KIRMA SALDIRILARI
PAROLA KIRMA SALDIRILARI
BGA Cyber Security
10 Adımda Sızma Testleri
10 Adımda Sızma Testleri10 Adımda Sızma Testleri
10 Adımda Sızma Testleri
BGA Cyber Security
EXPLOIT POST EXPLOITATION
EXPLOIT POST EXPLOITATIONEXPLOIT POST EXPLOITATION
EXPLOIT POST EXPLOITATION
BGA Cyber Security
Caldera İle Saldırı Simülasyonu
Caldera İle Saldırı SimülasyonuCaldera İle Saldırı Simülasyonu
Caldera İle Saldırı Simülasyonu
BGA Cyber Security
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriDNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
BGA Cyber Security
Güvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı KullanımıGüvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
BGA Cyber Security
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
BGA Cyber Security
Temel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş DökümanıTemel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş Dökümanı
Ahmet Gürel
Sizma testi bilgi toplama
Sizma testi bilgi toplamaSizma testi bilgi toplama
Sizma testi bilgi toplama
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıWindows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
BGA Cyber Security
Uygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim NotlarıUygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim Notları
BGA Cyber Security
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
BGA Cyber Security
BackTrack Linux-101 Eğitimi
BackTrack Linux-101 EğitimiBackTrack Linux-101 Eğitimi
BackTrack Linux-101 Eğitimi
BGA Cyber Security
Sızma Testine Giriş - Fuat Ulugay
Sızma Testine Giriş - Fuat UlugaySızma Testine Giriş - Fuat Ulugay
Sızma Testine Giriş - Fuat Ulugay
Fuat Ulugay, CISSP
OWASP ZAP
OWASP ZAPOWASP ZAP
OWASP ZAP
Alper Başaran
Web uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirmeWeb uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirme
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
Rusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılarRusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılar
Alper Başaran
APT Eğitimi Sunumu
APT Eğitimi Sunumu APT Eğitimi Sunumu
APT Eğitimi Sunumu
Alper Başaran

More Related Content

What's hot (20)

DDoS Engelleme Ürünleri
DDoS Engelleme ÜrünleriDDoS Engelleme Ürünleri
DDoS Engelleme Ürünleri
BGA Cyber Security
Web Uygulama Pentest Eğitimi
Web Uygulama Pentest EğitimiWeb Uygulama Pentest Eğitimi
Web Uygulama Pentest Eğitimi
BGA Cyber Security
Uygulamalı Ağ Güvenliği Eğitimi Lab Çalışmaları
Uygulamalı Ağ Güvenliği Eğitimi Lab ÇalışmalarıUygulamalı Ağ Güvenliği Eğitimi Lab Çalışmaları
Uygulamalı Ağ Güvenliği Eğitimi Lab Çalışmaları
BGA Cyber Security
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği Temelleri
BGA Cyber Security
PAROLA KIRMA SALDIRILARI
PAROLA KIRMA SALDIRILARIPAROLA KIRMA SALDIRILARI
PAROLA KIRMA SALDIRILARI
BGA Cyber Security
10 Adımda Sızma Testleri
10 Adımda Sızma Testleri10 Adımda Sızma Testleri
10 Adımda Sızma Testleri
BGA Cyber Security
EXPLOIT POST EXPLOITATION
EXPLOIT POST EXPLOITATIONEXPLOIT POST EXPLOITATION
EXPLOIT POST EXPLOITATION
BGA Cyber Security
Caldera İle Saldırı Simülasyonu
Caldera İle Saldırı SimülasyonuCaldera İle Saldırı Simülasyonu
Caldera İle Saldırı Simülasyonu
BGA Cyber Security
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriDNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
BGA Cyber Security
Güvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı KullanımıGüvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
BGA Cyber Security
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
BGA Cyber Security
Temel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş DökümanıTemel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş Dökümanı
Ahmet Gürel
Sizma testi bilgi toplama
Sizma testi bilgi toplamaSizma testi bilgi toplama
Sizma testi bilgi toplama
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıWindows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
BGA Cyber Security
Uygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim NotlarıUygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim Notları
BGA Cyber Security
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
BGA Cyber Security
BackTrack Linux-101 Eğitimi
BackTrack Linux-101 EğitimiBackTrack Linux-101 Eğitimi
BackTrack Linux-101 Eğitimi
BGA Cyber Security
Sızma Testine Giriş - Fuat Ulugay
Sızma Testine Giriş - Fuat UlugaySızma Testine Giriş - Fuat Ulugay
Sızma Testine Giriş - Fuat Ulugay
Fuat Ulugay, CISSP
OWASP ZAP
OWASP ZAPOWASP ZAP
OWASP ZAP
Alper Başaran
Web uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirmeWeb uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirme
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
DDoS Engelleme Ürünleri
DDoS Engelleme ÜrünleriDDoS Engelleme Ürünleri
DDoS Engelleme Ürünleri
BGA Cyber Security
Web Uygulama Pentest Eğitimi
Web Uygulama Pentest EğitimiWeb Uygulama Pentest Eğitimi
Web Uygulama Pentest Eğitimi
BGA Cyber Security
Uygulamalı Ağ Güvenliği Eğitimi Lab Çalışmaları
Uygulamalı Ağ Güvenliği Eğitimi Lab ÇalışmalarıUygulamalı Ağ Güvenliği Eğitimi Lab Çalışmaları
Uygulamalı Ağ Güvenliği Eğitimi Lab Çalışmaları
BGA Cyber Security
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği Temelleri
BGA Cyber Security
PAROLA KIRMA SALDIRILARI
PAROLA KIRMA SALDIRILARIPAROLA KIRMA SALDIRILARI
PAROLA KIRMA SALDIRILARI
BGA Cyber Security
10 Adımda Sızma Testleri
10 Adımda Sızma Testleri10 Adımda Sızma Testleri
10 Adımda Sızma Testleri
BGA Cyber Security
EXPLOIT POST EXPLOITATION
EXPLOIT POST EXPLOITATIONEXPLOIT POST EXPLOITATION
EXPLOIT POST EXPLOITATION
BGA Cyber Security
Caldera İle Saldırı Simülasyonu
Caldera İle Saldırı SimülasyonuCaldera İle Saldırı Simülasyonu
Caldera İle Saldırı Simülasyonu
BGA Cyber Security
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriDNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
BGA Cyber Security
Güvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı KullanımıGüvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
BGA Cyber Security
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
BGA Cyber Security
Temel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş DökümanıTemel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş Dökümanı
Ahmet Gürel
Sizma testi bilgi toplama
Sizma testi bilgi toplamaSizma testi bilgi toplama
Sizma testi bilgi toplama
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıWindows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
BGA Cyber Security
Uygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim NotlarıUygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim Notları
BGA Cyber Security
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
BGA Cyber Security
BackTrack Linux-101 Eğitimi
BackTrack Linux-101 EğitimiBackTrack Linux-101 Eğitimi
BackTrack Linux-101 Eğitimi
BGA Cyber Security
Sızma Testine Giriş - Fuat Ulugay
Sızma Testine Giriş - Fuat UlugaySızma Testine Giriş - Fuat Ulugay
Sızma Testine Giriş - Fuat Ulugay
Fuat Ulugay, CISSP
OWASP ZAP
OWASP ZAPOWASP ZAP
OWASP ZAP
Alper Başaran
Web uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirmeWeb uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirme
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri

Similar to Zararlı Yazılım Analizi (ÖZET) (20)

Rusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılarRusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılar
Alper Başaran
APT Eğitimi Sunumu
APT Eğitimi Sunumu APT Eğitimi Sunumu
APT Eğitimi Sunumu
Alper Başaran
Odinaff Zararlısı Analizi
Odinaff Zararlısı AnaliziOdinaff Zararlısı Analizi
Odinaff Zararlısı Analizi
Leylim Damla Çetin
Hacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıHacking Uygulamaları ve Araçları
Hacking Uygulamaları ve Araçları
Mustafa
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıBilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Raif Berkay DİNÇEL
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliğiBilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
EPICROUTERS
Ransomware Nedir, Nasıl Korunulur?
Ransomware Nedir, Nasıl Korunulur?Ransomware Nedir, Nasıl Korunulur?
Ransomware Nedir, Nasıl Korunulur?
Ibrahim Akgul
Bilişim Güvenliğinde Farkındalık
Bilişim Güvenliğinde FarkındalıkBilişim Güvenliğinde Farkındalık
Bilişim Güvenliğinde Farkındalık
BeyazNet
APT Saldırıları
APT SaldırılarıAPT Saldırıları
APT Saldırıları
Alper Başaran
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı Tespiti
Sparta Bilişim
Virusler
ViruslerVirusler
Virusler
Ramadan ŞANLI
Zafiyet tespiti ve sizma yöntemleri
Zafiyet tespiti ve sizma yöntemleriZafiyet tespiti ve sizma yöntemleri
Zafiyet tespiti ve sizma yöntemleri
EPICROUTERS
Yapılan ağ saldırılarına karşı önlemler
Yapılan ağ saldırılarına karşı önlemlerYapılan ağ saldırılarına karşı önlemler
Yapılan ağ saldırılarına karşı önlemler
Ilkin Azizov
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...
CypSec - Siber Güvenlik Konferansı
Internet.ppt_4
Internet.ppt_4Internet.ppt_4
Internet.ppt_4
Rahme Latif Gündoğan
Siber güvenlik ve SOC
Siber güvenlik ve SOCSiber güvenlik ve SOC
Siber güvenlik ve SOC
Serkan Özden
Threat data feeds
Threat data feedsThreat data feeds
Threat data feeds
Doukanksz
#İstSec'17 Küresel Siber Suçla Mücadele ve Trend Saptırma Teorisi
#İstSec'17 Küresel Siber Suçla Mücadele ve Trend Saptırma Teorisi#İstSec'17 Küresel Siber Suçla Mücadele ve Trend Saptırma Teorisi
#İstSec'17 Küresel Siber Suçla Mücadele ve Trend Saptırma Teorisi
BGA Cyber Security
Guvenlikaraclari
GuvenlikaraclariGuvenlikaraclari
Guvenlikaraclari
eroglu
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
BGA Cyber Security
Rusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılarRusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılar
Alper Başaran
APT Eğitimi Sunumu
APT Eğitimi Sunumu APT Eğitimi Sunumu
APT Eğitimi Sunumu
Alper Başaran
Odinaff Zararlısı Analizi
Odinaff Zararlısı AnaliziOdinaff Zararlısı Analizi
Odinaff Zararlısı Analizi
Leylim Damla Çetin
Hacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıHacking Uygulamaları ve Araçları
Hacking Uygulamaları ve Araçları
Mustafa
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıBilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Raif Berkay DİNÇEL
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliğiBilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
EPICROUTERS
Ransomware Nedir, Nasıl Korunulur?
Ransomware Nedir, Nasıl Korunulur?Ransomware Nedir, Nasıl Korunulur?
Ransomware Nedir, Nasıl Korunulur?
Ibrahim Akgul
Bilişim Güvenliğinde Farkındalık
Bilişim Güvenliğinde FarkındalıkBilişim Güvenliğinde Farkındalık
Bilişim Güvenliğinde Farkındalık
BeyazNet
APT Saldırıları
APT SaldırılarıAPT Saldırıları
APT Saldırıları
Alper Başaran
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı Tespiti
Sparta Bilişim
Virusler
ViruslerVirusler
Virusler
Ramadan ŞANLI
Zafiyet tespiti ve sizma yöntemleri
Zafiyet tespiti ve sizma yöntemleriZafiyet tespiti ve sizma yöntemleri
Zafiyet tespiti ve sizma yöntemleri
EPICROUTERS
Yapılan ağ saldırılarına karşı önlemler
Yapılan ağ saldırılarına karşı önlemlerYapılan ağ saldırılarına karşı önlemler
Yapılan ağ saldırılarına karşı önlemler
Ilkin Azizov
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...
CypSec - Siber Güvenlik Konferansı
Internet.ppt_4
Internet.ppt_4Internet.ppt_4
Internet.ppt_4
Rahme Latif Gündoğan
Siber güvenlik ve SOC
Siber güvenlik ve SOCSiber güvenlik ve SOC
Siber güvenlik ve SOC
Serkan Özden
Threat data feeds
Threat data feedsThreat data feeds
Threat data feeds
Doukanksz
#İstSec'17 Küresel Siber Suçla Mücadele ve Trend Saptırma Teorisi
#İstSec'17 Küresel Siber Suçla Mücadele ve Trend Saptırma Teorisi#İstSec'17 Küresel Siber Suçla Mücadele ve Trend Saptırma Teorisi
#İstSec'17 Küresel Siber Suçla Mücadele ve Trend Saptırma Teorisi
BGA Cyber Security
Guvenlikaraclari
GuvenlikaraclariGuvenlikaraclari
Guvenlikaraclari
eroglu
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
BGA Cyber Security

More from Alper Başaran (20)

Siber Güvenlik Tatbikatı
Siber Güvenlik TatbikatıSiber Güvenlik Tatbikatı
Siber Güvenlik Tatbikatı
Alper Başaran
Finding Bugs FASTER with Fuzzing
Finding Bugs FASTER with FuzzingFinding Bugs FASTER with Fuzzing
Finding Bugs FASTER with Fuzzing
Alper Başaran
Olay Mudahale ve EDR
Olay Mudahale ve EDROlay Mudahale ve EDR
Olay Mudahale ve EDR
Alper Başaran
Belediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriBelediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik Önerileri
Alper Başaran
Microsoft Windows İşletim Sistemi Sıkılaştırma
Microsoft Windows İşletim Sistemi SıkılaştırmaMicrosoft Windows İşletim Sistemi Sıkılaştırma
Microsoft Windows İşletim Sistemi Sıkılaştırma
Alper Başaran
Windows işletim sistemi sıkılaştırma
Windows işletim sistemi sıkılaştırmaWindows işletim sistemi sıkılaştırma
Windows işletim sistemi sıkılaştırma
Alper Başaran
Sparta 2019 siber tehdit beklentileri
Sparta 2019 siber tehdit beklentileriSparta 2019 siber tehdit beklentileri
Sparta 2019 siber tehdit beklentileri
Alper Başaran
Tedarikci siber risk_giris
Tedarikci siber risk_girisTedarikci siber risk_giris
Tedarikci siber risk_giris
Alper Başaran
KamuNet'e dahil olmak için asgari güvenlik gereksinimleri
KamuNet'e dahil olmak için asgari güvenlik gereksinimleriKamuNet'e dahil olmak için asgari güvenlik gereksinimleri
KamuNet'e dahil olmak için asgari güvenlik gereksinimleri
Alper Başaran
WannaCry - NotPetya Olayları
WannaCry - NotPetya OlaylarıWannaCry - NotPetya Olayları
WannaCry - NotPetya Olayları
Alper Başaran
OWASP kaynak kod analizi metodolojisi
OWASP kaynak kod analizi metodolojisiOWASP kaynak kod analizi metodolojisi
OWASP kaynak kod analizi metodolojisi
Alper Başaran
RECOVERY: Olay sonrası sistemleri düzeltmek
RECOVERY: Olay sonrası sistemleri düzeltmekRECOVERY: Olay sonrası sistemleri düzeltmek
RECOVERY: Olay sonrası sistemleri düzeltmek
Alper Başaran
QR Code'lardaki Tehlike
QR Code'lardaki TehlikeQR Code'lardaki Tehlike
QR Code'lardaki Tehlike
Alper Başaran
Siber Olaylara Müdahale ve Hukuki Boyutları
Siber Olaylara Müdahale ve Hukuki BoyutlarıSiber Olaylara Müdahale ve Hukuki Boyutları
Siber Olaylara Müdahale ve Hukuki Boyutları
Alper Başaran
Siber Olay Müdahale Kontrol Listesi
Siber Olay Müdahale Kontrol ListesiSiber Olay Müdahale Kontrol Listesi
Siber Olay Müdahale Kontrol Listesi
Alper Başaran
Garnizon dns guvenligi
Garnizon dns guvenligiGarnizon dns guvenligi
Garnizon dns guvenligi
Alper Başaran
Kritik Altyapılarda Siber Güvenlik
Kritik Altyapılarda Siber GüvenlikKritik Altyapılarda Siber Güvenlik
Kritik Altyapılarda Siber Güvenlik
Alper Başaran
Sosyal mühendislik saldırıları
Sosyal mühendislik saldırılarıSosyal mühendislik saldırıları
Sosyal mühendislik saldırıları
Alper Başaran
DNS güvenliği
DNS güvenliğiDNS güvenliği
DNS güvenliği
Alper Başaran
Her İşin Başı Satış
Her İşin Başı SatışHer İşin Başı Satış
Her İşin Başı Satış
Alper Başaran
Siber Güvenlik Tatbikatı
Siber Güvenlik TatbikatıSiber Güvenlik Tatbikatı
Siber Güvenlik Tatbikatı
Alper Başaran
Finding Bugs FASTER with Fuzzing
Finding Bugs FASTER with FuzzingFinding Bugs FASTER with Fuzzing
Finding Bugs FASTER with Fuzzing
Alper Başaran
Olay Mudahale ve EDR
Olay Mudahale ve EDROlay Mudahale ve EDR
Olay Mudahale ve EDR
Alper Başaran
Belediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriBelediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik Önerileri
Alper Başaran
Microsoft Windows İşletim Sistemi Sıkılaştırma
Microsoft Windows İşletim Sistemi SıkılaştırmaMicrosoft Windows İşletim Sistemi Sıkılaştırma
Microsoft Windows İşletim Sistemi Sıkılaştırma
Alper Başaran
Windows işletim sistemi sıkılaştırma
Windows işletim sistemi sıkılaştırmaWindows işletim sistemi sıkılaştırma
Windows işletim sistemi sıkılaştırma
Alper Başaran
Sparta 2019 siber tehdit beklentileri
Sparta 2019 siber tehdit beklentileriSparta 2019 siber tehdit beklentileri
Sparta 2019 siber tehdit beklentileri
Alper Başaran
Tedarikci siber risk_giris
Tedarikci siber risk_girisTedarikci siber risk_giris
Tedarikci siber risk_giris
Alper Başaran
KamuNet'e dahil olmak için asgari güvenlik gereksinimleri
KamuNet'e dahil olmak için asgari güvenlik gereksinimleriKamuNet'e dahil olmak için asgari güvenlik gereksinimleri
KamuNet'e dahil olmak için asgari güvenlik gereksinimleri
Alper Başaran
WannaCry - NotPetya Olayları
WannaCry - NotPetya OlaylarıWannaCry - NotPetya Olayları
WannaCry - NotPetya Olayları
Alper Başaran
OWASP kaynak kod analizi metodolojisi
OWASP kaynak kod analizi metodolojisiOWASP kaynak kod analizi metodolojisi
OWASP kaynak kod analizi metodolojisi
Alper Başaran
RECOVERY: Olay sonrası sistemleri düzeltmek
RECOVERY: Olay sonrası sistemleri düzeltmekRECOVERY: Olay sonrası sistemleri düzeltmek
RECOVERY: Olay sonrası sistemleri düzeltmek
Alper Başaran
QR Code'lardaki Tehlike
QR Code'lardaki TehlikeQR Code'lardaki Tehlike
QR Code'lardaki Tehlike
Alper Başaran
Siber Olaylara Müdahale ve Hukuki Boyutları
Siber Olaylara Müdahale ve Hukuki BoyutlarıSiber Olaylara Müdahale ve Hukuki Boyutları
Siber Olaylara Müdahale ve Hukuki Boyutları
Alper Başaran
Siber Olay Müdahale Kontrol Listesi
Siber Olay Müdahale Kontrol ListesiSiber Olay Müdahale Kontrol Listesi
Siber Olay Müdahale Kontrol Listesi
Alper Başaran
Garnizon dns guvenligi
Garnizon dns guvenligiGarnizon dns guvenligi
Garnizon dns guvenligi
Alper Başaran
Kritik Altyapılarda Siber Güvenlik
Kritik Altyapılarda Siber GüvenlikKritik Altyapılarda Siber Güvenlik
Kritik Altyapılarda Siber Güvenlik
Alper Başaran
Sosyal mühendislik saldırıları
Sosyal mühendislik saldırılarıSosyal mühendislik saldırıları
Sosyal mühendislik saldırıları
Alper Başaran
DNS güvenliği
DNS güvenliğiDNS güvenliği
DNS güvenliği
Alper Başaran
Her İşin Başı Satış
Her İşin Başı SatışHer İşin Başı Satış
Her İşin Başı Satış
Alper Başaran

Zararlı Yazılım Analizi (ÖZET)

  • 1. Zararlı Yazılım Analizi “işte bunlar hep mikrop” Alper Başaran alper@sparta.com.tr Alper Başaran - alper@sparta.com.tr Bu slaytlar temel seviye statik zararlı yazılım analizi için SOME (Siber Olaylara Müdahale Ekibi) üyelerinin işine yarayabilecek bazı araçları ele alır. 3 günlük zararlı yazılım analizi eğitiminden derlenen bazı slaytlardan ibarettir. Kapsamlı bir eğitim dokümanı olarak düşünülmemelidir.
  • 2. Alper Başaran • Deneyim alanları; • Penetrasyon testi • Olay müdahalesi • Siber tehdit avcılığı • SOME kurulumu, tatbikatları ve danışmanlığı • İletişim: • Email: basaranalper@gmail.com • Twitter: basaranalper • Web sayfası: alperbasaran.com Alper Başaran - alper@sparta.com.tr
  • 3. Keşfedilen Zararlı Yazılım Sayısı Artıyor Alper Başaran - alper@sparta.com.tr
  • 4. Siber Ölüm Zinciri Bilgi Toplama • Pasif bilgi toplama • Kuruluş şemaları • IP adresleri • Port taramaları • İnternet servis sağlayıcısı bilgileri • Dışarıya dönük sistemler • ... Silahlandırma • İstismar kodunun hazırlanması • Zararlı yazılım • Ambalaj Teslimat • Hedefli oltalama saldırısı (spear phishing) • Zararlı içerikli web sayfası • İnternet servis sağlayıcısı İstismar • Kodun çalıştırılması • Hedef sistemle bağlantı kurma • Üçüncü tarafların istismarı Kurulum • Trojan veya arkakapı • Kalıcı erişim kurabilme • Yetki yükseltme • Kullanıcı adlarını ve parolaları çalma Komuta ve kontrol • Hedefle iletişim yolunun açılması • Yatay hareket • İç ağda bilgi toplama • Erişimi kalıcı hale getirme Hedef üzerinde işlemler • Derinleşme • Bağlantıyı ve erişimi kalıcı hale getirecek ek yöntemler • Veri sızdırma 1 2 3 4 5 6 7 Alper Başaran - alper@sparta.com.tr
  • 5. STUXNET Alper Başaran - alper@sparta.com.tr
  • 6. STUXNET Alper Başaran - alper@sparta.com.tr
  • 7. STUXNET • STUXNET: Siemens otomasyon sistemlerini hedef alan solucan • 500KB dosya • 4 adet Windows 0-day açığından faydalanıyor • MS 08-067’yi de istismar edebiliyor • Jmicron ve Realtek firmalarının geçerli sertifikalarıyla imzalanmış Alper Başaran - alper@sparta.com.tr
  • 8. STUXNET USB Bellek üzerinden LNK istismarı ile DLL Çalıştırma Windows Task Scheduler Zafiyeti ile yetki yükseltme Klavye dili ayarı üzerindeki zafiyet ile yetki yükseltme Yazıcı Spooler yazılımı zafiyeti ile ağdaki diğer sistemlere yayılma 1 2 3 4 Alper Başaran - alper@sparta.com.tr
  • 9. STUXNET “Step 7” Yazılımı olan kontrol bilgisayarına bulaşıyor PLC Sistemi istismarı Santrifüj devre dışı bırakılıyor 5 6 7 Alper Başaran - alper@sparta.com.tr
  • 10. Cleaver • İlk sızma: SQL injection, web sunucusu veya sosyal mühendislik • İç ağda yayılma MS 08-067 gibi yaygın olarak bilinen zafiyetlerle oluyor (0 gün açığı yok) • Hedefe özel ikinci saldırı zararlısı uzaktan yüklenebiliyor • Enerji ve telekom gibi kritik altyapıları hedef alıyor Alper Başaran - alper@sparta.com.tr
  • 11. Volatile Cedar • 2012 Kasım ayından beri var • Gizliliğe önem verilmiş • 3 kademeli komuta yapısı • Lübnan (!) kaynaklı Alper Başaran - alper@sparta.com.tr
  • 12. Volatile Cedar • Gizliliğe önem verilmiş • Düzenli olarak antivirüslerle kontroller yapılıyor • Dikkat çekmemek için CPU kullanımı sınırlandırılmış • API işlevleri ile Trojan ayrı dosyalarda oluşturulmuş • Trojan davranışları hedefin çalışma saatlerine göre ayarlanmış Alper Başaran - alper@sparta.com.tr
  • 13. Volatile Cedar • 3 kademeli komuta yapısı Alper Başaran - alper@sparta.com.tr
  • 14. APT Zararlıları • Poison Ivy • Flame • Finfisher Alper Başaran - alper@sparta.com.tr
  • 15. APT Zararlıları • Poison Ivy • Çin ve Orta Doğu’lu saldırganlar tarafından yaygın olarak kullanılıyor • Büyük ölçüde programlanabilir • Klavye hareketleri, kamera görüntüleri, trafik isleme/yönetme, parola çalma, dosya gönderme Alper Başaran - alper@sparta.com.tr
  • 16. Poison Ivy Alper Başaran - alper@sparta.com.tr
  • 17. APT Zararlıları • Flame • 20MB!!! • SQLite3 veritabanı • Lua dilinde yazılmış “Stuxnet’i analiz etmemiz ve anlamamız 6 ayımızı aldı. Flame’i tam olarak çözmemiz 10 yılı bulur” - Kaspersky analisti Gostev Alper Başaran - alper@sparta.com.tr
  • 18. Flame • 20 tane modül (bilinen) • Keylogger • Kamera • Skype konuşması kaydı • Bluetooth(!) • E-posta veya anlık mesajlaşma açıksa 15 saniyede 1 ekran görüntüsü alıyor Alper Başaran - alper@sparta.com.tr
  • 19. Flame Alper Başaran - alper@sparta.com.tr
  • 20. APT Zararlıları • Finfisher Alper Başaran - alper@sparta.com.tr
  • 21. FinFisher Alper Başaran - alper@sparta.com.tr
  • 22. FinFisher Alper Başaran - alper@sparta.com.tr
  • 23. FinFisher Alper Başaran - alper@sparta.com.tr
  • 24. Zararlı Yazılım Yaşam Döngüsü Alper Başaran - alper@sparta.com.tr
  • 25. Zararlı Yazılımın Amacı • Ağ veya sistemlerinizde bulunan zararlı yazılımlara DOĞRU şekilde müdahale etmek • Tam olarak ne olduğunu anlamak • Zararlının bulaştığı BÜTÜN makineleri tespit etmek • Zararlının kullandığı bulaşma/yayılma tekniklerini anlamak • İmza oluşturmak Alper Başaran - alper@sparta.com.tr
  • 26. Bulaşma Vektörleri Başka programa bulaşıyor Exe dosyası Zararlı Kod Program olarak görünüyor Başka programın içinde gizli Çekirdek seviyesi Boot bölgesini etkiliyor Alper Başaran - alper@sparta.com.tr
  • 27. İmzalar • Sistem temelli imzalar • Ağ temelli imzalar Alper Başaran - alper@sparta.com.tr
  • 28. Zararlı Yazılım Analizi Teknikleri • Temel statik analiz • Dosya zararlı mı? • Temel dinamik analiz • Zararlı ne yapıyor? • İleri statik analiz • Tersine mühendislik ile zararlıyı anlamak • İleri dinamik analiz • Çalışan zararlının ayrıntılı incelemesi Alper Başaran - alper@sparta.com.tr
  • 29. Siber Saldırı Türleri • Zararlı yazılımlar • Adware • Spyware • Virüs • Worm • Trojan • Rootkit • Backdoor • Keylogger • Sahte güvenlik yazılımı • Ransomware • Browser hijacker Alper Başaran - alper@sparta.com.tr
  • 30. Zararlı Yazılım Analizi: Genel Kurallar • Detaylarda fazla boğulmayın • Tek bir geçerli analiz yaklaşımı yok • Zararlı yazılımlar sürekli değişiyor Alper Başaran - alper@sparta.com.tr
  • 31. Basit Statik Analiz • Zararlı yazılımın parmak izi • HASH değeri • Nasıl alınır? • Nasıl kullanılır? • Etiket olarak • Başka kaynaklardan araştırma yapmak için Alper Başaran - alper@sparta.com.tr
  • 32. Hash Değeri • MD5 • SHA256 Alper Başaran - alper@sparta.com.tr
  • 33. Strings • Program içerisinde insan tarafından okunabilen karakterleri gösterir Alper Başaran - alper@sparta.com.tr
  • 34. Packer Tespiti • Best effort yapılır Alper Başaran - alper@sparta.com.tr
  • 35. Dependency Walker • Uygulamanın neler yaptığını listeler Alper Başaran - alper@sparta.com.tr
  • 36. Dependency Walker • Örn: CreateFileA programının bir dosya oluşturabileceğini gösteriyor Alper Başaran - alper@sparta.com.tr
  • 37. DLL’leri Okumak DLL Adı Fonksiyonlar Kernel32.dll Hafıza, dosya ve donanıma müdahale edebilir Advapi32.dll Registry’de değişiklik yapmak gibi ileri seviye fonksiyonlar User32.dll Kullanıcı arabirimi bileşenlerini içerir Gdi32.dll Grafik işlevler Ntdll.dll Normalde Kernel32.dll tarafından çağrılır. Doğrudan çağırılmış olması kötü niyete işaret edebilir WSock32.dll Ağ erişimi için kullanılır Wininet.dll FTP, HTTP ve NTP gibi üst seviye protokolleri içerir msvcrt.dll Standart C kütüphanesi (printf, memcpy, vb.) Alper Başaran - alper@sparta.com.tr
  • 38. Windows Fonksiyonları • accept: Gelen bağlantıları kabul eder • AttachThreadInput: Başka bir process’e bağlanabilir (örn. Keylogger) • bind: Gelecek bağlantıları dinlemeye başlar • CheckRemoteDebuggerPresent: Debugger var mı? • connect: Dışarıda bir sisteme bağlanır • ControlService: başka bir servisi kontrol eder (başlat, kapat, vb.) • CreateFile: var olan bir dosyayı açar • CreateMutex: mutual exclusion object ile aynı zararlının sadece bir kez bulaşması sağlanır (Morris Worm) • inet_addr: IP adreslerini “connect” gibi başka fonksiyonlar tarafından kullanılabilir hale getirir • InternetOpen: İnternet bağlantısı açar (user agent bilgisi gönderebilir) • NetShareEnum: Paylaşımdaki klasörleri listeler • send: Uzaktaki bir makineye veri gönderir Alper Başaran - alper@sparta.com.tr
  • 39. Sandbox Çözümleri? • Bazı zararlı yazılımlar sanal makineleri tespit edebiliyor • Bazı zararlı yazılımlar belli registry değerlerini arıyor • Sandbox ortamı gerçek ortamı yansıtmayabilir • DLL formatındaki zararlı yazılımları çalıştırmakta zorlanabilir • .vbs zararlılarını çalıştırmakta zorlanabilir Alper Başaran - alper@sparta.com.tr
  • 40. Online Kaynaklar • https://www.joesandbox.com • https://www.hybrid-analysis.com/ • https://www.virustotal.com/ Alper Başaran - alper@sparta.com.tr
  • 41. Process Explorer • Process Explorer: Run as Administrator! Alper Başaran - alper@sparta.com.tr
  • 42. Process Explorer • Hangi process nerede çalışıyor? • İmzalı/sertifikalı olamayanlar hangileri? ? Alper Başaran - alper@sparta.com.tr
  • 43. Process Explorer • Hangi process nerede çalışıyor? • İmzalı/sertifikalı olamayanlar hangileri? • Properties Alper Başaran - alper@sparta.com.tr
  • 44. ProcMon • PROCess MONitor Alper Başaran - alper@sparta.com.tr
  • 45. Ağ kullanımı • Procmon Network Alper Başaran - alper@sparta.com.tr
  • 46. Ağ kullanımı • Netstat • netstat • netstat –i • netstat –ie • netstat –t • netstat –u • netstat –ua • netstat –uta • netstat -tae Alper Başaran - alper@sparta.com.tr
  • 47. Zararlı Yazılım Teknikleri • Sıkıştırma • Gizleme • Kalıcı olma • Yetki yükseltme • Koruma atlatma • Kullanıcı bilgisi çalma • Keşif • Yatayda hareket • Çalışma • Toplama • Sızdırma • Komuta sunucusu Alper Başaran - alper@sparta.com.tr
  • 48. Zararlı Yazılım Teknikleri • Kalıcı olma • Tarayıcı eklentisi • Servis kurulumu • DLL hijacking • Sıralama: • Uygulamanın bulunduğu klasör • Sistem klasörü (örn: C:WindowsSystem32 • Windows’un bulunduğu klasör (GetWindowDirector fonksiyonu ile) • PATH ortam değişkeni • Zamanlanmış görevler Alper Başaran - alper@sparta.com.tr