Dinamik Analiz Araçlarının Modern Malware ile İmtihanı

... konulu sunumlar: "Dinamik Analiz Araçlarının Modern Malware ile İmtihanı"— Sunum transkripti:

1 Dinamik Analiz Araçlarının Modern Malware ile İmtihanı
Osman Pamuk, Yakup Korkmaz, Ömer Faruk Acar, Fatih Haltaş Şubat 2012

2 İçerik Amaç Otomatik Dinamik Analiz Araçlarının Kullanım Hedefleri
Seçilen Otomatik Dinamik Analiz Araçları Otomatik Dinamik Analiz Araçlarının Genel Sorunları Seçilen Malwareler Genel Karşılaştırma Modern Malwareleri İncelemede Zayıf Kalan Noktaları Sadece belli fonksiyonların takibi Çekirdek işlemlerinin izlenememesi 64 bit atlatma ve bootkit özelliğinin izlenememesi Sonuç

3 Amaç Hangi malware özellikleri otomatik dinamik araçlar sonucunda tespit edilebiliyor? Hangileri edilemiyor? Güncel malware örneklerinin dinamik analiz sonuçlarını nasıl yorumlamalıyız? Elimize geçen farklı malware örneklerini otomatik dinamik analiz araçlarla incelerken dikkat etmemiz gereken noktalar neler. Otomatik dinamik analiz araçlarının, malwarelerin ne tür özelliklerini yakalamakta başarılı, ne tür özelliklerini yakalamakta başarısız olduğuna ünlü birkaç malware incelemesi üzerinden dikkat çekmek.

4 Kullanım Hedefleri Bir yazılımın kötü niyetli olup olmadığını anlamaya yardımcı olmak Kötü niyetliyse daha önceden bilinen bir malware ailesine üye mi tespit etmeye yardımcı olmak Yapılması muhtemel detaylı incelemelere yardımcı olmak Her gün yüzlerce yeni malware veya eski malware lerin yeni versiyonları ortaya çıkmakta. 2009 yılı için symantec’e 4,300, mcAfee’ye 12,300 sample gelmekte. Bunların içinden malicious (kötü niyetli) olanlarını ve daha önce bilinen bir aileye üye olanlarını hızlı bir şekilde tespit edebilmek gerekmekte.

5 Örnek Dinamik Analiz Araçları
Norman Sandbox Anubis GFI (CW) Sandbox Comodo Camas ThreatExpert Xandora Cuckoo Minibis Malbox

6 Dinamik Analiz Teknikleri
Function Call Monitoring Function Parameter Analysis Information Flow Tracking Instruction Trace Autostart Extensibility Points

7 Uygulama Stratejileri
Kullanıcı ve/veya çekirdek uzayında analiz Emulator içinde analiz Sanal Makine içinde analiz Analiz ortamını sıfırlama Ağ simulasyonu

8 Anti Analiz Yöntemleri
Analiz ortamının tespit edilmesi Mantık Bombaları Analiz Performansı

9 Örnek Malwareler DUQU STUXNET RUSTOCK TDSS (TDL4, Olmarik)
ZeroAccess (Max++) SPYEYE ZEUS VERTEXNET NGRBOT

10 Genel Karşılaştırma DUQU STUXNET VERTEXNET NGRBOT RUSTOCK SPYEYE TDL4
DUQU STUXNET VERTEXNET NGRBOT RUSTOCK SPYEYE TDL4 ZEROACCESS ZEUS Anubis 42 34 25 2 33 39 41 GFI/CW Sandbox 0/30 19 12 17 3 18 15 16 Norman SandBox Comodo Camas 13 4 30

11 Zayıf Noktalar (1) Sadece belli işlemlerin takibi:
Dosya okuma yazma işlemleri Registry okuma yazma işlemleri Process oluşturma ve injection işlemleri Modül yükleme işlemleri Network işlemleri (kısıtlı)

12 Zayıf Noktalar (2) Hak Yükseltme Yöntemlerinin takibi:
Stuxnet: MS (Win32k.sys), MS (Task Scheduler) TDL4: MS (Task Scheduler)

13 Zayıf Noktalar (3)

14 Zayıf Noktalar (4) Çekirdek Alanında Gerçekleştirilen İşlemler:
Çekirdek sürücüleri Stuxnet, DUQU, TDL4 (printProvider), RUSTOCK, ZeroAccess,…

15 Zayıf Noktalar (5) 64 bit koruma atlatma ve bootkit:
Windows 7 ve 64bit desteğinin eksikliği TDL4, IOCTL_SCSI_PASS_THROUGH_DIRECT ile direk sabit diskin sürücüne erişim TDL4, restart desteğinin olmaması

16 Sonuç Olarak Otomatik dinamik analiz araçları faydalı araçlar Eksiklikleri var ve bunun farkında olmak lazım Yalnız birinden rapor almak mantıklı değil