Dinamik Analiz Araçlarının Modern Malware ile İmtihanı

Slides:



Advertisements
Benzer bir sunumlar
Edirne Bölge Müdürlüğü
Advertisements

ProMIS Açık hesap çalışan firmaların kendi bünyelerinde oluş- turdukları tahsilat sorunlu ve kötü niyetli müşteri istihbaratlarının ortak bir platformda.
“Zararlı Yazılım Analizi ve APT”
Konu: Windows Sistem Araçları
Ses Kayıt Sistemi.
İŞLETİM SİSTEMİ KATMANLARI (Çekirdek, Kabuk ve diğer temel kavramlar)
2013 yılının ilk yarısında, dünya çapında bilgisayarların ortalama %17’sinde kötü amaçlı yazılıma rastlandı.
WINDOWS 2000 KURULUMU Kurulum Önyükleme disketleri oluşturmak için Windows 2000 çalıştırıyor olmanız gerekmez. \Bootdisk adındaki dizin Windows 2000 Kurulum.
Windows işletim sistemi ve sürümlerinin incelenmesi
İşletim Sistemlerine Giriş – 2 Kaynakların Paylaşımı
Sanallaştırma Teknolojileri
Bellek Yönetimi Process H 2 KB
Bilgisayar 1 Dr İsmail Marulcu Dr. Ismail Marulcu
KÜTÜPHANELERDE HALKLA İLİŞKİLER ve PAZARLAMA ANKARA ÜNİVERSİTESİ KÜTÜPHANESİ ÖRNEĞİ Tuna CAN & E.Erdal AYDIN
Windows 8.1 yükleme yolları
1 DİNAMİK WEB SAYFASI. 2 Personel ve Öğrenciler ile tüm internet kullanıcılarına hizmet verebilecek, Ziyaretçilerin kolay anlaşılabilir bir ara yüz ile.
Dr. Zeynep Yöntem Ekodenge
Windows Server 2012 R2 Hyper-V Yenilikler – Bölüm 2
BDEM 105.
Windows Server 2012 R2 Hyper-V Yenilikler – Bölüm 1
KONU:Sistem sorun giderme ve geri yükleme
14.Gün MATEMATİK 1.KİTAP RASYONEL SAYILAR ANTRENMANLARLA
Windows 7 kurulum için en az 512 MB ram belleğe ihtiyaç duyuyor
WİNDOWS 7 KURULUM.
TEST – 1.
NİLGÜN DÜZEN Bilgisayarınızda kayıtlı olan dosyalarınız sizin çok değerli olabiliyor.Bazen bütün anılarınızı, bazen yılların birikimini, bazen.
55 CHAPTER SİSTEM YAZILIMI. © 2005 The McGraw-Hill Companies, Inc. All Rights Reserved. 5-2 Sistem yazılımı Teknik detayları çözer Kullanıcı, uygulama.
İŞLETİM SİSTEMLERİ Öğr. Gör. S.Serkan TAN.
8 ? E K S İ L E N EKSİLEN _ 5 5 ÇIKAN FARK(KALAN) 8.
DİJİTAL ÖLÇÜ BİRİMLERİ
Microsoft Visual Studio 2010 Kurulum & Tanıtım
Bilgisayar Programlama
ŞAHİN KURT WİNDOWS 7 KURULUMU
VİRÜS VE TEMİZLEME Virüslerin Etkileri Antivirüs Programları
HAZIRLAYANLAR: FATİH TAŞKIRAN EMRE BENDER
GÜVENLİ İNTERNET KULLANIMI
DAEMON TOOLS.
DAEMON TOOLS ALİ İNAL 10/AA 86.
Donanım ve Yazılım Altyapısı Bileşeni
WİNDOWS 2003 SERVER KURULUMU ENTERPRİSE EDİTİON. WİN – SET Abidin BAŞ – Cihad KAYALI Bu bölümde hangi sürümü yükleyeceğimizi belirliyoruz.
 Bilgisayar kullanan her kişinin en büyük sorunu virüslerdir. Hemen hemen her kullanıcının sürekli olarak virüslerden yakındığını görürsünüz. Birçok.
Windows Kurulumu Resimli
Bilgisayarın kullanılmasını sağlayan her türlü program yazılım olarak adlandırılır. YAZILIM Başlıca iki yazılım çeşidi vardır. Bu yazılımlar, sistem yazılımı.
YOUNİS İ.M.ALJARADAT  KURULUM  DİL SEÇME  KOŞUL KABULÜ  SÜRÜCÜ ÖZELLİKLERİ  DOSYALAR  KURULUM  KULLANICI  ETKİNLEŞTİRME  AYARLAR.
Bölüm 13: I/O Sistemleri Giriş/Çıkış Donanımı
GCS MENA Top CS Competitiveness through Speed, Quality and Differentiation 1 / 48 GCS MENA Top CS Competitiveness through Speed, Quality and Differentiation.
NetKafem Kullanımı Basit, Maliyeti Düşük, İşlevleri Güçlü
Hafta2 Bilgisayar Donanımı Dersi
NLİTE İLE SİSTEM KURULUM CD’Sİ OLUŞTURMA
Dosya sistemi, bilgisayarın sabit disk üzerindeki verileri düzenlemek için kullandığı temel yapıdır. Disk depolamanın temel birimidir. Disklerin kullanılabilmesi.
Bilişim Teknolojileri 5.ve 6. Sınıflar için ders notu
ANTİVİRÜS NEDİR? SİBER GÜVENLİK FAHRİYE SİNEM BAŞKAN
Ünite II: Bilgisayarı Kullanma ve Yönetme Basit Düzenlemeler Yapma Dosyaları Düzenleme Yazdırma.
SUNUCU İŞLETİM SİSTEMLERİ
BİT’İN TEMEL KAVRAMLARI
Defraggler.
Virüsler ve Diğer Zararlı Yazılımlar
Windows Server 2016’yı sevmek için 10 neden
BİT’İN GİZLİLİK VE GÜVENLİK BOYUTLARI
VİRÜS ÇEŞİTLERİ VE BULAŞMA YÖNTEMLERİ. VİRÜS NEDİR? Bilgisayar virüsleri, aslında "çalıştığında bilgisayarınıza değişik şekillerde zarar verebilen" bilgisayar.
TEMEL BİLGİSAYAR TEKNOLOJİLERİ 03- İŞLETİM SİSTEMİ
Kaynakların Paylaşımı
Reservation Assistant

Uzay ve Uzay Çalışmaları.
Windows işletim sistemi ve sürümlerinin incelenmesi
BİLİŞİM TEKNOLOJİLERİ
Tam ilişkilendirme ile entegre CAD ve CFD
GÜVENLİ İNTERNET KULLANIMI
Bilgisayar Donanımı Dersi Bilgisayarın Mimarı Yapısı ve Çalışma Mantığı.
Sunum transkripti:

Dinamik Analiz Araçlarının Modern Malware ile İmtihanı Osman Pamuk, Yakup Korkmaz, Ömer Faruk Acar, Fatih Haltaş Şubat 2012

İçerik Amaç Otomatik Dinamik Analiz Araçlarının Kullanım Hedefleri Seçilen Otomatik Dinamik Analiz Araçları Otomatik Dinamik Analiz Araçlarının Genel Sorunları Seçilen Malwareler Genel Karşılaştırma Modern Malwareleri İncelemede Zayıf Kalan Noktaları Sadece belli fonksiyonların takibi Çekirdek işlemlerinin izlenememesi 64 bit atlatma ve bootkit özelliğinin izlenememesi Sonuç

Amaç Hangi malware özellikleri otomatik dinamik araçlar sonucunda tespit edilebiliyor? Hangileri edilemiyor? Güncel malware örneklerinin dinamik analiz sonuçlarını nasıl yorumlamalıyız? Elimize geçen farklı malware örneklerini otomatik dinamik analiz araçlarla incelerken dikkat etmemiz gereken noktalar neler. Otomatik dinamik analiz araçlarının, malwarelerin ne tür özelliklerini yakalamakta başarılı, ne tür özelliklerini yakalamakta başarısız olduğuna ünlü birkaç malware incelemesi üzerinden dikkat çekmek.

Kullanım Hedefleri Bir yazılımın kötü niyetli olup olmadığını anlamaya yardımcı olmak Kötü niyetliyse daha önceden bilinen bir malware ailesine üye mi tespit etmeye yardımcı olmak Yapılması muhtemel detaylı incelemelere yardımcı olmak Her gün yüzlerce yeni malware veya eski malware lerin yeni versiyonları ortaya çıkmakta. 2009 yılı için symantec’e 4,300, mcAfee’ye 12,300 sample gelmekte. Bunların içinden malicious (kötü niyetli) olanlarını ve daha önce bilinen bir aileye üye olanlarını hızlı bir şekilde tespit edebilmek gerekmekte.

Örnek Dinamik Analiz Araçları Norman Sandbox Anubis GFI (CW) Sandbox Comodo Camas ThreatExpert Xandora Cuckoo Minibis Malbox

Dinamik Analiz Teknikleri Function Call Monitoring Function Parameter Analysis Information Flow Tracking Instruction Trace Autostart Extensibility Points

Uygulama Stratejileri Kullanıcı ve/veya çekirdek uzayında analiz Emulator içinde analiz Sanal Makine içinde analiz Analiz ortamını sıfırlama Ağ simulasyonu

Anti Analiz Yöntemleri Analiz ortamının tespit edilmesi Mantık Bombaları Analiz Performansı

Örnek Malwareler DUQU STUXNET RUSTOCK TDSS (TDL4, Olmarik) ZeroAccess (Max++) SPYEYE ZEUS VERTEXNET NGRBOT

Genel Karşılaştırma DUQU STUXNET VERTEXNET NGRBOT RUSTOCK SPYEYE TDL4   DUQU STUXNET VERTEXNET NGRBOT RUSTOCK SPYEYE TDL4 ZEROACCESS ZEUS Anubis 42 34 25 2 33 39 41 GFI/CW Sandbox 0/30 19 12 17 3 18 15 16 Norman SandBox Comodo Camas 13 4 30

Zayıf Noktalar (1) Sadece belli işlemlerin takibi: Dosya okuma yazma işlemleri Registry okuma yazma işlemleri Process oluşturma ve injection işlemleri Modül yükleme işlemleri Network işlemleri (kısıtlı)

Zayıf Noktalar (2) Hak Yükseltme Yöntemlerinin takibi: Stuxnet: MS10-073 (Win32k.sys), MS10-092 (Task Scheduler) TDL4: MS10-092 (Task Scheduler)

Zayıf Noktalar (3)

Zayıf Noktalar (4) Çekirdek Alanında Gerçekleştirilen İşlemler: Çekirdek sürücüleri Stuxnet, DUQU, TDL4 (printProvider), RUSTOCK, ZeroAccess,…

Zayıf Noktalar (5) 64 bit koruma atlatma ve bootkit: Windows 7 ve 64bit desteğinin eksikliği TDL4, IOCTL_SCSI_PASS_THROUGH_DIRECT ile direk sabit diskin sürücüne erişim TDL4, restart desteğinin olmaması

Sonuç Olarak Otomatik dinamik analiz araçları faydalı araçlar Eksiklikleri var ve bunun farkında olmak lazım Yalnız birinden rapor almak mantıklı değil