Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

Dinamik Analiz Araçlarının Modern Malware ile İmtihanı Şubat 2012 Osman Pamuk, Yakup Korkmaz, Ömer Faruk Acar, Fatih Haltaş.

Benzer bir sunumlar


... konulu sunumlar: "Dinamik Analiz Araçlarının Modern Malware ile İmtihanı Şubat 2012 Osman Pamuk, Yakup Korkmaz, Ömer Faruk Acar, Fatih Haltaş."— Sunum transkripti:

1 Dinamik Analiz Araçlarının Modern Malware ile İmtihanı Şubat 2012 Osman Pamuk, Yakup Korkmaz, Ömer Faruk Acar, Fatih Haltaş

2 2 İçerik o Amaç o Otomatik Dinamik Analiz Araçlarının Kullanım Hedefleri o Seçilen Otomatik Dinamik Analiz Araçları o Otomatik Dinamik Analiz Araçlarının Genel Sorunları o Seçilen Malwareler o Genel Karşılaştırma o Modern Malwareleri İncelemede Zayıf Kalan Noktaları o Sadece belli fonksiyonların takibi o Çekirdek işlemlerinin izlenememesi o 64 bit atlatma ve bootkit özelliğinin izlenememesi o Sonuç o Amaç o Otomatik Dinamik Analiz Araçlarının Kullanım Hedefleri o Seçilen Otomatik Dinamik Analiz Araçları o Otomatik Dinamik Analiz Araçlarının Genel Sorunları o Seçilen Malwareler o Genel Karşılaştırma o Modern Malwareleri İncelemede Zayıf Kalan Noktaları o Sadece belli fonksiyonların takibi o Çekirdek işlemlerinin izlenememesi o 64 bit atlatma ve bootkit özelliğinin izlenememesi o Sonuç

3 3 Amaç o Hangi malware özellikleri otomatik dinamik araçlar sonucunda tespit edilebiliyor? o Hangileri edilemiyor? o Güncel malware örneklerinin dinamik analiz sonuçlarını nasıl yorumlamalıyız? o Hangi malware özellikleri otomatik dinamik araçlar sonucunda tespit edilebiliyor? o Hangileri edilemiyor? o Güncel malware örneklerinin dinamik analiz sonuçlarını nasıl yorumlamalıyız?

4 4 Kullanım Hedefleri o Bir yazılımın kötü niyetli olup olmadığını anlamaya yardımcı olmak o Kötü niyetliyse daha önceden bilinen bir malware ailesine üye mi tespit etmeye yardımcı olmak o Yapılması muhtemel detaylı incelemelere yardımcı olmak o Bir yazılımın kötü niyetli olup olmadığını anlamaya yardımcı olmak o Kötü niyetliyse daha önceden bilinen bir malware ailesine üye mi tespit etmeye yardımcı olmak o Yapılması muhtemel detaylı incelemelere yardımcı olmak

5 5 Örnek Dinamik Analiz Araçları o Norman Sandbox o Anubis o GFI (CW) Sandbox o Comodo Camas o ThreatExpert o Xandora o Cuckoo o Minibis o Malbox o Norman Sandbox o Anubis o GFI (CW) Sandbox o Comodo Camas o ThreatExpert o Xandora o Cuckoo o Minibis o Malbox

6 6 Dinamik Analiz Teknikleri o Function Call Monitoring o Function Parameter Analysis o Information Flow Tracking o Instruction Trace o Autostart Extensibility Points o Function Call Monitoring o Function Parameter Analysis o Information Flow Tracking o Instruction Trace o Autostart Extensibility Points

7 7 Uygulama Stratejileri o Kullanıcı ve/veya çekirdek uzayında analiz o Emulator içinde analiz o Sanal Makine içinde analiz o Analiz ortamını sıfırlama o Ağ simulasyonu o Kullanıcı ve/veya çekirdek uzayında analiz o Emulator içinde analiz o Sanal Makine içinde analiz o Analiz ortamını sıfırlama o Ağ simulasyonu

8 8 Anti Analiz Yöntemleri o Analiz ortamının tespit edilmesi o Mantık Bombaları o Analiz Performansı o Analiz ortamının tespit edilmesi o Mantık Bombaları o Analiz Performansı

9 9 Örnek Malwareler o DUQU o STUXNET o RUSTOCK o TDSS (TDL4, Olmarik) o ZeroAccess (Max++) o SPYEYE o ZEUS o VERTEXNET o NGRBOT o DUQU o STUXNET o RUSTOCK o TDSS (TDL4, Olmarik) o ZeroAccess (Max++) o SPYEYE o ZEUS o VERTEXNET o NGRBOT

10 10 Genel Karşılaştırma Anubis GFI/CW Sandbox 0/ Norman SandBox Comodo Camas

11 11 Zayıf Noktalar (1) Sadece belli işlemlerin takibi: o Dosya okuma yazma işlemleri o Registry okuma yazma işlemleri o Process oluşturma ve injection işlemleri o Modül yükleme işlemleri o Network işlemleri (kısıtlı) o Dosya okuma yazma işlemleri o Registry okuma yazma işlemleri o Process oluşturma ve injection işlemleri o Modül yükleme işlemleri o Network işlemleri (kısıtlı)

12 12 Zayıf Noktalar (2) Hak Yükseltme Yöntemlerinin takibi: o Stuxnet: MS (Win32k.sys), MS (Task Scheduler) o TDL4: MS (Task Scheduler) o Stuxnet: MS (Win32k.sys), MS (Task Scheduler) o TDL4: MS (Task Scheduler)

13 13 Zayıf Noktalar (3)

14 14 Zayıf Noktalar (4) Çekirdek Alanında Gerçekleştirilen İşlemler: o Çekirdek sürücüleri o Stuxnet, DUQU, TDL4 (printProvider), RUSTOCK, ZeroAccess,… o Çekirdek sürücüleri o Stuxnet, DUQU, TDL4 (printProvider), RUSTOCK, ZeroAccess,…

15 15 Zayıf Noktalar (5) 64 bit koruma atlatma ve bootkit: o Windows 7 ve 64bit desteğinin eksikliği o TDL4, IOCTL_SCSI_PASS_THROUGH_DIRECT ile direk sabit diskin sürücüne erişim o TDL4, restart desteğinin olmaması o Windows 7 ve 64bit desteğinin eksikliği o TDL4, IOCTL_SCSI_PASS_THROUGH_DIRECT ile direk sabit diskin sürücüne erişim o TDL4, restart desteğinin olmaması

16 16 Sonuç Olarak o Otomatik dinamik analiz araçları faydalı araçlar o Eksiklikleri var ve bunun farkında olmak lazım o Yalnız birinden rapor almak mantıklı değil o Otomatik dinamik analiz araçları faydalı araçlar o Eksiklikleri var ve bunun farkında olmak lazım o Yalnız birinden rapor almak mantıklı değil


"Dinamik Analiz Araçlarının Modern Malware ile İmtihanı Şubat 2012 Osman Pamuk, Yakup Korkmaz, Ömer Faruk Acar, Fatih Haltaş." indir ppt

Benzer bir sunumlar


Google Reklamları