dinamik analiz araçlarının modern malware ile İmtihanı
DESCRIPTION
Dinamik Analiz Araçlarının Modern Malware ile İmtihanı. Osman Pamuk, Yakup Korkmaz, Ömer Faruk Acar, Fatih Haltaş. Şubat 2012. İçerik. Amaç Otomatik Dinamik Analiz Araçlarının Kullanım Hedefleri S eçilen Otomatik Dinamik Analiz Araçları - PowerPoint PPT PresentationTRANSCRIPT
Dinamik Analiz Araçlarının Modern Malware ile İmtihanı
Şubat 2012
Osman Pamuk, Yakup Korkmaz, Ömer Faruk Acar, Fatih Haltaş
2
İçerik
o Amaço Otomatik Dinamik Analiz Araçlarının Kullanım Hedeflerio Seçilen Otomatik Dinamik Analiz Araçlarıo Otomatik Dinamik Analiz Araçlarının Genel Sorunlarıo Seçilen Malwarelero Genel Karşılaştırmao Modern Malwareleri İncelemede Zayıf Kalan Noktaları
o Sadece belli fonksiyonların takibio Çekirdek işlemlerinin izlenememesio 64 bit atlatma ve bootkit özelliğinin izlenememesi
o Sonuç
3
Amaç
o Hangi malware özellikleri otomatik dinamik araçlar sonucunda tespit edilebiliyor?
o Hangileri edilemiyor?
o Güncel malware örneklerinin dinamik analiz sonuçlarını nasıl yorumlamalıyız?
4
Kullanım Hedefleri
o Bir yazılımın kötü niyetli olup olmadığını anlamaya yardımcı olmak
o Kötü niyetliyse daha önceden bilinen bir malware ailesine üye mi tespit etmeye yardımcı olmak
o Yapılması muhtemel detaylı incelemelere yardımcı olmak
5
Örnek Dinamik Analiz Araçları
o Norman Sandboxo Anubiso GFI (CW) Sandboxo Comodo Camaso ThreatExperto Xandorao Cuckooo Minibiso Malbox
8
Anti Analiz Yöntemleri
o Analiz ortamının tespit edilmesi
o Mantık Bombaları
o Analiz Performansı
9
Örnek Malwareler
o DUQUo STUXNETo RUSTOCKo TDSS (TDL4, Olmarik)o ZeroAccess (Max++)o SPYEYEo ZEUSo VERTEXNETo NGRBOT
10
Genel Karşılaştırma
DUQU
STUXNET
VERTEXNET
NGRBOT
RUSTOCK
SPYEYE
TDL4
ZEROACCESS
ZEUS
Anubis 0 42 34 25 25 2 33 39 41
GFI/CW Sandbox 0/30 19 12 17 3 18 15 16 16
Norman SandBox 0 0 0 0 2 0 0 0 0
Comodo Camas 0 0 16 0 13 25 13 4 30
11
Zayıf Noktalar (1)
Sadece belli işlemlerin takibi:
o Dosya okuma yazma işlemleri
o Registry okuma yazma işlemleri
o Process oluşturma ve injection işlemleri
o Modül yükleme işlemleri
o Network işlemleri (kısıtlı)
12
Zayıf Noktalar (2)
Hak Yükseltme Yöntemlerinin takibi:
o Stuxnet: MS10-073 (Win32k.sys), MS10-092 (Task Scheduler)
o TDL4: MS10-092 (Task Scheduler)
13
Zayıf Noktalar (3)
14
Zayıf Noktalar (4)
Çekirdek Alanında Gerçekleştirilen İşlemler:
o Çekirdek sürücüleri
o Stuxnet, DUQU, TDL4 (printProvider), RUSTOCK, ZeroAccess,…
15
Zayıf Noktalar (5)
64 bit koruma atlatma ve bootkit:
o Windows 7 ve 64bit desteğinin eksikliği
o TDL4, IOCTL_SCSI_PASS_THROUGH_DIRECT ile direk sabit diskin sürücüne erişim
o TDL4, restart desteğinin olmaması
16
Sonuç Olarak
o Otomatik dinamik analiz araçları faydalı araçlar
o Eksiklikleri var ve bunun farkında olmak lazım
o Yalnız birinden rapor almak mantıklı değil