Practical Malware Analysis Lab01-01 Çözümü

Kitaptaki Lab Sorularını Kitabın istediği formatta Çözülecektir. Seri Şeklinde devam edecektir. Bütün labların Çözümlerini paylaşacağim.

Bütün Arkadaşlara başarılar Dilerim...

Kitabın bizden istediği sorulara bakacak olursak:



Elimize bir program gectiğinde ilk yapmamız gereken VirusTotal gibi sitelerden taratmak olması gerekiyor Vt gibi sitelerde zararlı yazılımların Hash kayıtları tutulmaktadır elimizdeki programın hash değerini alıp taratabiliriz. Önerilende budur.

Not Elinizdeki program kritik bilgiler içeriyorsa upload etmek sakınca oluşturmaktadır virus totalin çalışma prensibinden kaynaklı. Upload edilen dosyalar Virus totalin ortakları arasında analiz edilmesi için dağıtıldığını da belitmek gerekir.

Virus Total sonucu


Virus Totale de %100 güvenmemek gerekiyor program obfuscated edilmiş olabilir bir diğer değişle FUD lanmış da olabilir

Şimdi Header larına bakalım ne zaman derlendiği bizim için ipucu vermektedir. Birbirleriyle İlişkilendirmemize olanak sağlıyor. Tarihe Dikkat (2010?12?19 16:16:19 civarında). Dikkat etmek gerekir ki Bu değerlerde değiştirilebiliniyor :)







Şimdi ise bakmamız gereken bir diğer husus ise Yazıldığı dil ve herhangi bir paketlemeye maruz kalıp kalmadığını tespit etmektir Kullandığımız araç PEİD


Eğer Paketlemeden emin olmak için ve test etmek için ise kırmızı ile yuvarlak içine aldığım yere tıklayıp Aşağı yödeki oklara tıklayıp daha net görebiliriz



Sırada ise .EXE nin ve .DLL çağırdığı fonksiyonları İncelememiz gerekiyor Programın az çok ne yapabileceği hakkında bilgi edinmek adına.





Lab01-01.exe nin çağırdığı fonksiyonları KERNEL32.dll ve MSVCRT.dll-e sahip Lab01-01.dll de çağırıdğı dll ler KERNEL32.dll, MSVCRT.dll ve WS2_32.dll


KERNEL32.dll bellek, dosyalar ve donanım erişimi ve kullanımı gibi temel işlevleri içeren ortak bir DLL'dir. Lab01?01.exe için dikkat edilmesi gereken en önemli işlevler şunlardır: FindFirstFileA ve FindNextFileAbu, kötü amaçlı yazılımın dosya sisteminde arama yapacağını, açıp değiştireceğini belirtir.

Öte yandan, Lab01?01.dll de dikkat edilmesi gereken fonsiyon SleepCreateProcessA

SleepCreateProcessA Bu fonksiyon tehlikeli oluşturduğu durum Process durdurabilmesi mesela Vt de temiz çıktı ancak program çalıştırldıktan sonram bir fidye virusu indirip çalıştırtabilir. Bu durumlarda Kaynak Kodlarını görmemiz gerekmektedir hangi işlemi beklettiği ne zaman aktif edeceğini vs. ancak kaynak kodlarını incelersek durumu anlayabiliriz.


WS2_32.dll ağ işlevselliği sağlar, ancak bu durumda ad yerine sıra ile içe aktarılır, hangi işlevlerin kullanıldığı açık değildir.

Başka bir Statik Analiz yöntemlerinden biride STRİNG Taramasıdır. Belli Başlı Anahtar kelimeleri taratak program hakkında daha fazla bilgi toplamamıza olanak sağlayacaktır. Örnek Keylo Dİye yazdığımızda keylogger olup olmadığı hakkında bilgi sahibi olabiliriz. Keylog ile ilgili labı çözdüğümüzde daha da detaylı bahsedeceğim. Kullanacağımız program ise BinText



Kırmızı ok ile gösterdiğim string taramasında bir ip adress ile karşılaştık ip adress daha programı çalıştırmadan olası bağlantı kurabileceği ip adressini keşfetmiş olduk kırmızı ile altını çizdiğim ise dll ler ve bazı tehlikeli fonsiyonlar.



Sonuçlar
- Virustotal sonucu olumsuz çıktı. Daha önceden Bu programı analiz edenler olumsuz not düşmüştür.
- Derlenme zamanlarının birbirine yakın olması şüphe uyandırmaktadır.
- Exe ve Dll in Kullandığı Fonsiyonlar ve kullanılan Dll ler şüphe uyandırmakla birlikte Kernel32.dll dosyasına benzer Kerne132.dll kullanması.
- Exe ve Dll de zararlı bir İP Adresse rastlanması


Not !!!
Sonuçlar buraya kadar yaptığımız analiz sadece Verilen Labın Çözümüdür. İleri Lablarda başka araçlarla Daha da detaylandırarak Anlatacağım.