OĞUZCAN PAMUK

SYSINTERNALS ARAÇLARI İLE SİBER TEHDİT AVCILIĞI

AJANDA

▸ Zararlı yazılım nedir ?

▸ Zararlı yazılım nasıl bulaşabilir ?

▸ Analiz türleri

▸ Dinamik zararlı yazılım analizine giriş

▸ Sysmon nedir ? Nasıl kullanılır ?

▸ Temel seviyede örnekler

ZARARLI YAZILIM NEDİR ?

▸ Zararlı yazılım; bilgisayar sistemlerine sızmak yada zarar vermek amacıyla kullanılan her türlü yazılım ürünüdür.

▸ Karmaşık yada basit kodlar halinde bulunabilirler.

▸ Farklı türde birçok dosya yoluyla bulaşabilir ve yayılabilirler.

ZARARLI YAZILIM BULAŞMA YOLLARI

▸ Mail yoluyla gönderilen pdf,exe,py,sh gibi farklı dosyaların indirilip açılması (sosyal mühendislik)

▸ Pdf dosyasına gömülen zararlı javascript kodları

▸ Office dökümanlarına gömülen makro yazılımları

▸ Dosya paylaşımları

▸ Tarayıcı eklentileri

ZARARLI YAZILIM ANALİZ TEKNİKLERİ

▸ Statik analiz Kod seviyesinde yapılan analiz (disassembler)

▸Dinamik analiz Davranış analizi

DİNAMİK ZARARLI YAZILIM ANALİZİ - SYSMON (SYSTEM MONITOR)

▸ Windows işletim sistemi üzerinde çalışır

▸ Dinamik zararlı yazılım analizinde kullanılır

▸ Loglara nasıl ulaşabiliriz ?

Windows Event Viewer - Microsoft / Sysmon / Operational

DİNAMİK ZARARLI YAZILIM ANALİZİ - SYSMON (SYSTEM MONITOR)

▸ Hangi bilgileri edinebiliriz ?

Process creations

File modifications

Network connections

Process hash value

Parent - child process

DİNAMİK ZARARLI YAZILIM ANALİZİ - SYSMON KURULUMU

▸ https://technet.microsoft.com/en-us/sysinternals/sysmon

▸ Basit Kurulum : Sysmon.exe -i

▸ Konfigürasyon : Sysmon.exe -c conf.xml

▸ Sysmon servisinin çalıştığının kontrolü yapılmalıdır

DİNAMİK ZARARLI YAZILIM ANALİZİ - SYSMON KONFİGÜRASYON ÖRNEĞİ

<Sysmon schemaversion="3.20">

<HashAlgorithms>MD5,SHA1,SHA256</HashAlgorithms>

<EventFiltering>

<DriverLoad onmatch="exclude">

<Signature condition="contains">microsoft</Signature>

<Signature condition="contains">windows</Signature>

</DriverLoad>

<ProcessCreate onmatch="exclude">

<Image condition="contains">splunk</Image>

<Image condition="contains">nxlog</Image>

</ProcessCreate>

<NetworkConnect onmatch="include">

<DestinationPort condition="is">80</DestinationPort>

<DestinationPort condition="is">443</DestinationPort>

<Image condition="contains">cmd.exe</Image>

<Image condition="contains">powershell</Image>

</NetworkConnect>

</EventFiltering>

</Sysmon>

DİNAMİK ZARARLI YAZILIM ANALİZİ - SYSMON

DİNAMİK ZARARLI YAZILIM ANALİZİ - PROCESS CREATE

DİNAMİK ZARARLI YAZILIM ANALİZİ - PROCESS TERMINATE

DİNAMİK ZARARLI YAZILIM ANALİZİ - PARENT / CHILD PROCESS

TEMEL SEVİYEDE ÖRNEKLER

ÖRNEK 1 - TANIM

▸ X şirketinde, çalışanlardan biri internet üzerinde arama yaparken bir word (Office uygulaması) dosyası indirir ve onu çalıştırır. Şirketin siber güvenlik birimi Sysmon üzerinde office protokolünün yeni ve tanımlanamayan bir process ürettiğini görür ve bu durumu yorumlamaya çalışır.

▸ Muhtemel sorular;

Office dökümanının yeni bir process oluşturması normal midir ?

Oluşan bu process makine üzerinde ne gibi bir işlem gerçekleştirmektedir ?

ÖRNEK 2 - TANIM

▸ Y şirketinde çalışan güvenlik görevlisi mesai saatleri dışında kendine tahsis edilen bilgisayarı kullanarak, yasal olmayan bir web sitesinden süper lig maçı izlemek ister. Fakat bu yasal olmayan web sitesine girmeye çalıştığında, site üzerinden anlamlandırılamayan bir dosya iner. Görevli dosyanın ne olduğunu merak eder ve bu dosyaya tıklar. Nöbetçi olarak bekleyen siber güvenlik analisti Sysmon üzerinden bir betik process’inin işletim sisteminde .encrypted uzantılı yeni dosyalar oluşturduğunu görür.

▸ Bu zararlı yazılım ne gibi bir işleve sahip olabilir ?

ÖRNEK 3 - TANIM

▸ Z kurumsal şirketinde çalışan biri, kurumsal e-posta adresini kullanarak, yeni bir sosyal medya hesabı açar. Hacker ise bu sosyal medya üzerinden kişinin e-posta adresine ve mesleğine ulaşır. Bu bilgileri kullanarak e-posta adresine sosyal mühendislik tekniklerini kullanarak yeni bir e-posta gönderir. E-posta içeriğini gören çalışan, durumu anlamaz ve ekte bulunan betiği çalıştırır. Çalışan betik yeni bir Scheduled Task oluşturur.

▸ Bu zararlı yazılımın amacı ne olabilir ? Tartışalım.

SORULARINIZ ?