Http://www.mertsarica.com | http://twitter.com/mertsarica Zararlı JavaScript Analizi http://www.mertsarica.com | http://twitter.com/mertsarica.

Slides:



Advertisements
Benzer bir sunumlar
Web uygulamalarında yeni bir yaklaşım AJAX
Advertisements

Nesneye Yönelik Programlama
İnternet Tarayıcı Programlar
Yazılım Geliştirme ve Java
İNTERNET.
| Penetrasyon Testinin Önemi |
WEB SERVİCE İDRİS YÜRÜK MAHMUT KAYA.
Filezilla Client & Server
 Ofis dışından erişim  Kurulum gerekmez  Internet Explorer, Mozilla FireFox, Google Chrome, Safari üzerinden çalışma  Sade ve basit arayüz Web Avantajları.
WEB Tasarımı & .NET Bolum 1
İnternet Programcılığı
Eğitimde Web 2.0 Kullanımı
BTEP 203 – İnternet ProgramcIlIğI - I
FRAMEWORK.
Javascript Oğuz İNAL.
Çevre ve Orman Bakanlığı Bilgi İşlem Dairesi Başkanlığı
İNTERNET TARAYICILARINDA YENİ NESİL GRAFİK TEKNOLOJİLERİ
AĞ GÜVENLİĞİ.
Çerez(Cookie) Kullanımı Oturum Yönetimi
JavaScript Javascript , Netscape firması tarafından C dilinden esinlenilerek yazılmıştır Yazılma amacı Html'in sahip olmadığı bazı özelliklerin web sayfalarında.
Temel HTML Eğitimi Erman Yükseltürk.
IT 504 İnternet ve Web Programlama Tanıtım Yrd. Doç. Yuriy Mishchenko.
 2006 Pearson Education, Inc. All rights reserved. Görsel C# ile Windows Programlama Güz 2009 (5. Hafta)
Bilgisayar ve internet güvenliği için yardımcı programlar
Lınux Command arch:Makine mimarisi hakkinda bilgi verir. “uname -m” komutu ile ayni isleve sahiptir. cat [dosya]:Dosyalari ardarda siralayarak standart.
WEB TASARIMINDA TEMEL KAVRAMLAR
WORDPRESS İLE BLOG HAZIRLAMA REHBERİ
İŞLETİM SİSTEMİ WİNDOWS AYARLAMA Bilişim Teknolojileri ve Yazılım Dsi Baraj Orta Okulu.
AĞ İŞLETİM SİSTEMLERİ Öğr. Gör. Mustafa SARIÖZ
BİLGİSAYARDA GÜVENLİK
© Copyright by Deitel & Associates, Inc. and Pearson Education Inc. All Rights Reserved. 1 Amaçlar Bu derste öğrenilecekler: –Uygulamaları “method”
İNTERNET TARAYICI (WEB BROWSER) PROGRAMLARI
CANSU ALTIN TÜRKÇE ÖĞRETMENLİĞİ 2. SINIF 1. ÖĞRETİM
Web 2.0 araçlarI MERYEM KAYA AKDENİZ ÜNİVERSİTESİ
İŞLETİM SİSTEMLERİ Derya Işık
Web Tarayıcıları ve Arama Motorları
Debugging-Hata Giderme
Web 2.0 Araçlarının Tanıtımı ÖZGE AKMAN TÜRKÇE ÖĞRETMENLİĞİ 2. SINIF 1. ÖĞRETİM
Kritik Finansal Sistemlerde Yazılım Değişiklik ve Takip Yönetim Sistemi Mehmet Vacit BAYDARMAN BİLGİ TEKNOLOJİLERİ.
|
Dersi Özeti Kursun içeriğini özeti Alt başlıkları Proje Kurs esnasında kullanmayı planladığımı editörler HTMLe giriş Temel etiketler Notepad+’da.
BİLGİSAYAR VİRÜSLERİ.
Bir bilgisayardan bir diğerine yayılmak ve bilgisayarın çalışmasına müdahale etmek amacıyla tasarlanmış küçük programlardır.
KIRKLARELİ ÜNİVERSİTESİ
Ahmet Keleşoğlu Eğitim Fakültesi
KÖTÜ AMAÇLI YAZILIMLAR
ANTİVİRÜS NEDİR? SİBER GÜVENLİK FAHRİYE SİNEM BAŞKAN
Mobil Uygulama Geliştirme Teknikleri
İÇERİK YÖNETİM SİSTEMİ Öğr. Gör. Emine TUNÇEL Kırklareli Üniversitesi Pınarhisar Meslek Yüksekokulu.
ÖMER ÜNALDI EDUROAM.
BİLGİSAYAR TEMEL KAVRAMLAR
İÇERİK YÖNETİM SİSTEMİ Öğr. Gör. Emine TUNÇEL Kırklareli Üniversitesi Pınarhisar Meslek Yüksekokulu.
Web Tasarımı 2.Hafta. HTML Nedir  Hyper Text Markup Language (Hiper Metin İşaretleme Dili) web sayfalarını oluşturmak için kullanılan standart metin.
Bilgi İşlem Organizasyonu Güz Dönemi Server Çeşitleri ve Aralarındaki Farklar – Burak Eray KAYIŞ.
Doküman Yönetim Sistemi (DYS) Kurulumu ve Ayarları
ACTIONSCRIPT TEMELLERİ
Bilgiye Ulaşma ve Biçimlendirme
Bilgi İşlem Organizasyonu
Web Tarayıcıları ve Arama Motorları
JavaScript Çalışma Soruları
BİLGİSAYAR VİRÜSLERİ.
PROXY SERVER YASİN ÇAKIR
VİRÜS ÇEŞİTLERİ VE BULAŞMA YÖNTEMLERİ. VİRÜS NEDİR? Bilgisayar virüsleri, aslında "çalıştığında bilgisayarınıza değişik şekillerde zarar verebilen" bilgisayar.
Web Tarayıcıları ve Arama Motorları
İNTERNET PROGRAMCILIĞI 2
Uzm. Rıdvan YAYLA – Bilecik Üniversitesi Müh. Fak. Bilg. Müh. Bölümü
Amazon Web Servisleri ve Javascript Dilinin Birlikte Kullanımı
Öğretim Görevlisi Alper Talha Karadeniz Veri Tabanı 1
Genel PHP Akademik Bilişim 2003 Adana, Şubat 2003 Hidayet Doğan
FIRAT ÜNİVERSİTESİ MÜHENDİSLİK FAKÜLTESİ BİLGİSAYAR MÜHENDİSLİĞİ
Sunum transkripti:

http://www.mertsarica.com | http://twitter.com/mertsarica Zararlı JavaScript Analizi http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica İÇERİK JavaScript nedir ? Kullanım amaçları Analiz yöntemleri ve araçlar Angler istismar kiti Sonuç http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica BEN KİMİM ? Sızma Testi Uzmanı Çoğunlukla mesai saatlerinde Zararlı Yazılım Analisti Çoğunlukla boş zamanlarımda Öğretim Görevlisi Bahçeşehir Üniversitesi (Siber Güv.) Blog Yazarı https://www.mertsarica.com Güvenlik TV http://www.guvenliktv.org Sertifika Kolleksiyoncusu CISSP , SSCP , OSCP , OPST , CREA, CEREA http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica MESLEĞİM 2007 yılından bu yana Finansbank’ın Bilgi Teknolojileri iştiraki olan IBTech firmasında Kıdemli Sızma Testi Uzmanı olarak çalışmaktayım. http://www.ibtech.com.tr http://www.finansbank.com.tr http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica JAVASCRIPT NEDİR ? Platform bağımsız, nesne yönelimli bir programlama dilidir. Yaygın olarak internet tarayıcılarında kullanılmaktadır. Java ile benzerlikleri de olsa ayrı dünyaların dilleridir. ECMAScript adı altında endüstri standardı haline gelmiştir. <script> alert(‘Hello World!’); </script> http://www.mertsarica.com | http://twitter.com/mertsarica

NEDEN JAVASCRIPT ANALİZİ ? JavaScript sayesinde internet tarayıcısında ve/veya eklentilerinde yer alan zafiyetler istismar edilebilir. Özellikle istismar kitleri, JavaScript kodlarını hedef sistemde zararlı yazılım çalıştırmak için kullanmaktadırlar. (TeslaCrypt) JavaScript, istemci tarafında yorumlandığı için çoğunlukla art niyetli kişiler tarafından gizlenmektedir. (obfuscated) http://www.mertsarica.com | http://twitter.com/mertsarica

KİM, NEDEN, NEREDE KULLANIYOR ? Hedeflenmiş saldırılarda ve istemci tarafındaki zafiyetleri istismar etmek için kullanılmaktadır. (2009 – Aurora) Botnet ağı oluşturmak amacıyla istismar kiti geliştiricileri tarafından kullanılmaktadır. Sızma testi uzmanları tarafından hedef kullanıcının sistemine sızmak (Tarayıcı zafiyeti, BeEF vs.) amacıyla kullanılmaktadır. Kullanıcıya ait parmak izi oluşturmak amacıyla kullanılmaktadır. http://www.mertsarica.com | http://twitter.com/mertsarica

KİM, NEDEN, NEREDE KULLANIYOR ? http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica ARAÇLAR http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica EN BASİT YÖNTEM Bir sitede bulunan şüpheli JS dosyasını analiz etmek için wget, Burp Suite / Fiddler / Charles vb. araçlarından faydalanabilirsiniz. Remnux üzerinde yer alan wget ile bir sitenin içeriğini diske kaydetmek için; wget "http://www.zararlisite.com" –user-agent="Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) " Fiddler çalıştırıldığı anda internet tarayıcısına kendini proxy olarak tanımlar ve tüm trafiği kayıt altına alır. Burp Suite için internet tarayıcısının proxy ayarları manuel olarak tanımlanmalıdır. http://www.mertsarica.com | http://twitter.com/mertsarica

ANALİZ YÖNTEMLERİ (STATİK) JavaScript dosyasını indirip Notepad++ gibi bir araçla statik olarak analiz edebilirsiniz. Kodlar gizlenmiş (obfuscated) ise hayat kısa, genç yaşta gözlerinizi bozmak istemeyebilirsiniz.  Statik analizde Kahu Security’nin araçları hayatınızı kolaylaştıracaktır. Basit analizler için Script Deobfuscator ve JavaScript Deobfuscator, ileri seviye için Revelo araçlarını kullanabilirsiniz. Gizlenmiş kodlara karşı JSDetox aracını kullanabilirsiniz. http://www.mertsarica.com | http://twitter.com/mertsarica

ANALİZ YÖNTEMLERİ (STATİK) http://www.mertsarica.com | http://twitter.com/mertsarica

ANALİZ YÖNTEMLERİ (DİNAMİK) Can dostunuz OllyDbg/ImmDbg/IDA işinize yaramayacaktır.  SpiderMonkey ile REMnux üzerinde JS dosyasını analiz edebilirsiniz. Chrome’da Chrome DevTools ile dinamik analiz gerçekleştirebilirsiniz. Firefox’ta ise Firebug eklentisi ile dinamik analiz gerçekleştirebilirsiniz. Seç, beğen, kullan.  http://www.mertsarica.com | http://twitter.com/mertsarica

FIREBUG HATA AYIKLAYICISI Firebug, Firefox internet tarayıcısı için geliştirilmiş bir hata ayıklama eklentisidir. Bu eklenti ile istenilen fonksiyonlara kesme noktası koyularak (breakpoint) JavaScript kodu adım adım analiz edilebilirsiniz. JS kodunu analiz etmeden önce Firebug’ın JS kodu çalışmadan önce devreye girebilmesi için debugger; komutu kullanılmalıdır. OllyDbg gibi kısa yol tuşları ile kod üzerinde ilerleyebilirsiniz.  F8: Run F10: Step Over F11: Step Into Shift + F11: Step Out http://www.mertsarica.com | http://twitter.com/mertsarica

ÖZETLE JAVASCRIPT ANALİZİ Okunaklı olmayan, gizlenmiş (obfuscated) JavaScript kodunu, okunaklı hale getirmek mümkün olabilir. Gizleme fonksiyonunun çözülmesinde, paketleyicilerde (packers) izlenen yöntem izlenebilir. Gizlenmiş JavaScript kodunun açıldıktan sonra eval() veya document.write() fonksiyonlarını çağırması gerekmektedir. Internet tarayıcısı için özel olarak geliştirilmiş hata ayıklayıcılardan faydalanarak açılmış koda kesme noktaları sayesinde erişim sağlanabilir. http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica ANGLER İSTİSMAR KİTİ Angler istismar kitindeki gizlenmiş (obfuscated) JavaScript kodu içinde yer alan adresi birlikte bulalım. http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica SONUÇ JS analizi, artan siber tehditler nedeniyle siber güvenlik uzmanları için her geçen gün daha da önem kazanmaktadır. PDF gibi ofis dosyalarında da JavaScript’in kullanılabilmesi, atak yüzeyini arttırmaktadır. Hem analiz hem de static analiz için faydalanabileceğiniz çok sayıda araç olduğunu unutmayın. http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica mert.sarica@gmail.com https://www.mertsarica.com https://twitter.com/mertsarica http://www.mertsarica.com | http://twitter.com/mertsarica