Embed Size (px)
DESCRIPTION
Dinamik Analiz Araçlarının Modern Malware ile İmtihanı. Osman Pamuk, Yakup Korkmaz, Ömer Faruk Acar, Fatih Haltaş. Şubat 2012. İçerik. Amaç Otomatik Dinamik Analiz Araçlarının Kullanım Hedefleri S eçilen Otomatik Dinamik Analiz Araçları - PowerPoint PPT Presentation
Citation preview
Dinamik Analiz Araçlarının Modern Malware ile İmtihanı
Şubat 2012
Osman Pamuk, Yakup Korkmaz, Ömer Faruk Acar, Fatih Haltaş
2
İçerik
o Amaço Otomatik Dinamik Analiz Araçlarının Kullanım Hedeflerio Seçilen Otomatik Dinamik Analiz Araçlarıo Otomatik Dinamik Analiz Araçlarının Genel Sorunlarıo Seçilen Malwarelero Genel Karşılaştırmao Modern Malwareleri İncelemede Zayıf Kalan Noktaları
o Sadece belli fonksiyonların takibio Çekirdek işlemlerinin izlenememesio 64 bit atlatma ve bootkit özelliğinin izlenememesi
o Sonuç
3
Amaç
o Hangi malware özellikleri otomatik dinamik araçlar sonucunda tespit edilebiliyor?
o Hangileri edilemiyor?
o Güncel malware örneklerinin dinamik analiz sonuçlarını nasıl yorumlamalıyız?
4
Kullanım Hedefleri
o Bir yazılımın kötü niyetli olup olmadığını anlamaya yardımcı olmak
o Kötü niyetliyse daha önceden bilinen bir malware ailesine üye mi tespit etmeye yardımcı olmak
o Yapılması muhtemel detaylı incelemelere yardımcı olmak
5
Örnek Dinamik Analiz Araçları
o Norman Sandboxo Anubiso GFI (CW) Sandboxo Comodo Camaso ThreatExperto Xandorao Cuckooo Minibiso Malbox
8
Anti Analiz Yöntemleri
o Analiz ortamının tespit edilmesi
o Mantık Bombaları
o Analiz Performansı
9
Örnek Malwareler
o DUQUo STUXNETo RUSTOCKo TDSS (TDL4, Olmarik)o ZeroAccess (Max++)o SPYEYEo ZEUSo VERTEXNETo NGRBOT
10
Genel Karşılaştırma
DUQU
STUXNET
VERTEXNET
NGRBOT
RUSTOCK
SPYEYE
TDL4
ZEROACCESS
ZEUS
Anubis 0 42 34 25 25 2 33 39 41
GFI/CW Sandbox 0/30 19 12 17 3 18 15 16 16
Norman SandBox 0 0 0 0 2 0 0 0 0
Comodo Camas 0 0 16 0 13 25 13 4 30
11
Zayıf Noktalar (1)
Sadece belli işlemlerin takibi:
o Dosya okuma yazma işlemleri
o Registry okuma yazma işlemleri
o Process oluşturma ve injection işlemleri
o Modül yükleme işlemleri
o Network işlemleri (kısıtlı)
12
Zayıf Noktalar (2)
Hak Yükseltme Yöntemlerinin takibi:
o Stuxnet: MS10-073 (Win32k.sys), MS10-092 (Task Scheduler)
o TDL4: MS10-092 (Task Scheduler)
13
Zayıf Noktalar (3)
14
Zayıf Noktalar (4)
Çekirdek Alanında Gerçekleştirilen İşlemler:
o Çekirdek sürücüleri
o Stuxnet, DUQU, TDL4 (printProvider), RUSTOCK, ZeroAccess,…
15
Zayıf Noktalar (5)
64 bit koruma atlatma ve bootkit:
o Windows 7 ve 64bit desteğinin eksikliği
o TDL4, IOCTL_SCSI_PASS_THROUGH_DIRECT ile direk sabit diskin sürücüne erişim
o TDL4, restart desteğinin olmaması
16
Sonuç Olarak
o Otomatik dinamik analiz araçları faydalı araçlar
o Eksiklikleri var ve bunun farkında olmak lazım
o Yalnız birinden rapor almak mantıklı değil
