Dinamik Analiz Araçlarının Modern Malware ile İmtihanı Osman Pamuk, Yakup Korkmaz, Ömer Faruk Acar, Fatih Haltaş Şubat 2012
İçerik Amaç Otomatik Dinamik Analiz Araçlarının Kullanım Hedefleri Seçilen Otomatik Dinamik Analiz Araçları Otomatik Dinamik Analiz Araçlarının Genel Sorunları Seçilen Malwareler Genel Karşılaştırma Modern Malwareleri İncelemede Zayıf Kalan Noktaları Sadece belli fonksiyonların takibi Çekirdek işlemlerinin izlenememesi 64 bit atlatma ve bootkit özelliğinin izlenememesi Sonuç
Amaç Hangi malware özellikleri otomatik dinamik araçlar sonucunda tespit edilebiliyor? Hangileri edilemiyor? Güncel malware örneklerinin dinamik analiz sonuçlarını nasıl yorumlamalıyız? Elimize geçen farklı malware örneklerini otomatik dinamik analiz araçlarla incelerken dikkat etmemiz gereken noktalar neler. Otomatik dinamik analiz araçlarının, malwarelerin ne tür özelliklerini yakalamakta başarılı, ne tür özelliklerini yakalamakta başarısız olduğuna ünlü birkaç malware incelemesi üzerinden dikkat çekmek.
Kullanım Hedefleri Bir yazılımın kötü niyetli olup olmadığını anlamaya yardımcı olmak Kötü niyetliyse daha önceden bilinen bir malware ailesine üye mi tespit etmeye yardımcı olmak Yapılması muhtemel detaylı incelemelere yardımcı olmak Her gün yüzlerce yeni malware veya eski malware lerin yeni versiyonları ortaya çıkmakta. 2009 yılı için symantec’e 4,300, mcAfee’ye 12,300 sample gelmekte. Bunların içinden malicious (kötü niyetli) olanlarını ve daha önce bilinen bir aileye üye olanlarını hızlı bir şekilde tespit edebilmek gerekmekte.
Örnek Dinamik Analiz Araçları Norman Sandbox Anubis GFI (CW) Sandbox Comodo Camas ThreatExpert Xandora Cuckoo Minibis Malbox
Dinamik Analiz Teknikleri Function Call Monitoring Function Parameter Analysis Information Flow Tracking Instruction Trace Autostart Extensibility Points
Uygulama Stratejileri Kullanıcı ve/veya çekirdek uzayında analiz Emulator içinde analiz Sanal Makine içinde analiz Analiz ortamını sıfırlama Ağ simulasyonu
Anti Analiz Yöntemleri Analiz ortamının tespit edilmesi Mantık Bombaları Analiz Performansı
Örnek Malwareler DUQU STUXNET RUSTOCK TDSS (TDL4, Olmarik) ZeroAccess (Max++) SPYEYE ZEUS VERTEXNET NGRBOT
Genel Karşılaştırma DUQU STUXNET VERTEXNET NGRBOT RUSTOCK SPYEYE TDL4 DUQU STUXNET VERTEXNET NGRBOT RUSTOCK SPYEYE TDL4 ZEROACCESS ZEUS Anubis 42 34 25 2 33 39 41 GFI/CW Sandbox 0/30 19 12 17 3 18 15 16 Norman SandBox Comodo Camas 13 4 30
Zayıf Noktalar (1) Sadece belli işlemlerin takibi: Dosya okuma yazma işlemleri Registry okuma yazma işlemleri Process oluşturma ve injection işlemleri Modül yükleme işlemleri Network işlemleri (kısıtlı)
Zayıf Noktalar (2) Hak Yükseltme Yöntemlerinin takibi: Stuxnet: MS10-073 (Win32k.sys), MS10-092 (Task Scheduler) TDL4: MS10-092 (Task Scheduler)
Zayıf Noktalar (3)
Zayıf Noktalar (4) Çekirdek Alanında Gerçekleştirilen İşlemler: Çekirdek sürücüleri Stuxnet, DUQU, TDL4 (printProvider), RUSTOCK, ZeroAccess,…
Zayıf Noktalar (5) 64 bit koruma atlatma ve bootkit: Windows 7 ve 64bit desteğinin eksikliği TDL4, IOCTL_SCSI_PASS_THROUGH_DIRECT ile direk sabit diskin sürücüne erişim TDL4, restart desteğinin olmaması
Sonuç Olarak Otomatik dinamik analiz araçları faydalı araçlar Eksiklikleri var ve bunun farkında olmak lazım Yalnız birinden rapor almak mantıklı değil