Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

Zararlı Yazılım Analizi İçin Lab Ortamı Hazırlamak

Zararlı Yazılım Analizi İçin Lab Ortamı Hazırlamak @BGASecurity | Mücahit Ceylan - Halil Dalabasmaz

  • Loggen Sie sich ein, um Kommentare anzuzeigen.

Zararlı Yazılım Analizi İçin Lab Ortamı Hazırlamak

  1. 1. ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK Yazar:MücahitCeylan Mentör:HalilDalabasmaz Baskı:2018
  2. 2. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity İÇİNDEKİLER Giriş..................................................................................................................................4 Lab Ortamının Önemi........................................................................................................4 Analiz Yapılacak Ortama Karar Verilmesi ...........................................................................5 Sanallaştırma Uygulamasının Seçimi ......................................................................................... 5 İşletim Sistemi Seçimi ve Gereksinimleri ................................................................................... 6 Analiz Edilecek Ortam......................................................................................................................6 Ağı İzleyen Ortam ............................................................................................................................8 Sanal Network Oluşturma ve Snapshot alma .....................................................................8 Analiz Çeşitleri................................................................................................................11 Örnek Zararlı Yazılım Bulma ............................................................................................12 Otomatik Analiz Araçları ve Sandbox’lar..........................................................................12 Online Analiz Araçları ............................................................................................................. 13 Malware Sandbox Araçları...................................................................................................... 15 Basit Statik Analiz ...........................................................................................................15 Hashcalculator - “https://hashcalc.soft112.com/”.......................................................................17 Md5sum - “http://www.pc-tools.net/win32/md5sums/”............................................................17 PE Viewer - ...................................................................................................................................18 Bintext - “https://bintext.soft32.com” .........................................................................................19 Strings - “https://docs.microsoft.com/en-us/sysinternals/downloads/strings”..........................20 Dependecy Walker - “http://www.dependencywalker.com”....................................................21 Detect It Easy - “http://ntinfo.biz/index.html”.............................................................................22 Resource Hacker - “http://www.angusj.com/resourcehacker/”..................................................23 PE Insider - “http://cerbero.io/peinsider/” ..................................................................................25 PEiD (PE identifier) - “http://www.softpedia.com/get/Programming/Packers-Crypters- Protectors/PEiD-updated.shtml” ..................................................................................................25 PEstudio - “https://www.winitor.com/”.......................................................................................26 ILSPY - “http://ilspy.net/”.............................................................................................................27 CFF Explorer - “http://www.ntcore.com/exsuite.php” ................................................................28 Basit Dinamik Analiz .......................................................................................................29 1- Ağ Trafiği Analiz Araçları..................................................................................................... 29 apateDNS - “https://www.fireeye.com/services/freeware/apatedns.html”...............................29 Netstat...........................................................................................................................................30 Tcpview - “https://docs.microsoft.com/en-us/sysinternals/downloads/tcpview”....................31 Netcat - “https://eternallybored.org/misc/netcat/”....................................................................31 INetSim - “http://www.inetsim.org/”..........................................................................................33 Wireshark - “https://www.wireshark.org/download.html”.........................................................35 2- Dosya Ve Kayıt Defteri Analizi Araçları ................................................................................ 36 Regshot - “https://sourceforge.net/projects/regshot/”...............................................................36 CaptureBat - “https://www.honeynet.org/node/315” ................................................................37 3- Process Analiz Araçları........................................................................................................ 38 System Internal Suite (procmon - autoruns - processexplorer) “https://docs.microsoft.com/en- us/sysinternals/downloads/sysinternals-suite”............................................................................38 Process Hacker - “http://processhacker.sourceforge.net/”.........................................................40
  3. 3. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity İleri Analiz Araçları..........................................................................................................41 IDA - “https://www.hex-rays.com/products/ida/support/download.shtml” .............................41 radare2 - “https://github.com/radare/radare2”..........................................................................44 Hopper - “https://www.hopperapp.com/download.html”..........................................................45 Ollydbg - “http://www.ollydbg.de/”.............................................................................................46 Immunity Debugger - “https://www.immunityinc.com/products/debugger/”..........................48 x64dbg - “https://sourceforge.net/projects/x64dbg/files/snapshots/”.....................................49 API Monitor - “http://www.rohitab.com/apimonitor”.................................................................50 Bellek Dökümü Analizi ....................................................................................................52 Bellek Dökümü Alan Yardımcı Programlar ............................................................................... 52 ● Vmware ................................................................................................................................52 ● DumpIt - “https://www.fireeye.com/services/freeware/memoryze.html”........................52 ● Memoryze - “https://www.fireeye.com/services/freeware/memoryze.html” ..................53 ● Process Explorer ve Process Hacker ....................................................................................54 ● LordPE - “http://www.softpedia.com/get/Programming/File-Editors/LordPE.shtml” .......55 ● OllyDump - “https://tuts4you.com/download.php?view.88”.............................................55 Bellek Dökümü Analiz Araçları................................................................................................ 56 Volatility - “http://www.volatilityfoundation.org/24”.................................................................56 Mandiant Redline - “https://www.fireeye.com/services/freeware/redline.html” ....................57 Anti Analiz Tekniklerini Engellemek İçin Kullanılan Programlar ........................................58
  4. 4. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Giriş Bu doküman Windows işletim sistemi üzerinde çalışan zararlı yazılımları inceleme konusuna merak duyan ve zararlı yazılım analizi yapabilmek için lab ortamı hazırlamak isteyen kişiler için kılavuz niteliğindedir. Doküman içerisinde lab ortamının hazırlanabilmesi için gerekli sanallaştırma uygulamalarından, bu uygulamaların neden gerekli olduğundan, geliştirdiği uygulamaya analiz yapılmasını istemeyen zararlı geliştiricisinin nasıl bir yaklaşım sergilediğinden bahsedilmiş ayrıca analiz sırasında kullanılacak olan uygulamaların temel işlevleri ve aynı amacı taşıyan alternatifleri üzerinde durulmuştur. Lab Ortamının Önemi Analiz aşamasına geçilmeden önce, analizi yapılacak olan yazılımın bir “zararlı” olduğu unutulmamalıdır. Sistemlere zarar verme, bilgi ve verileri çalma gibi kötücül amaçlara sahip olan bu uygulamaların gerçek sistemlerden ve ağdan olabildiğince izole edilmiş, sanal bir lab ortamında incelenmesi gerekmektedir. Sanal bir lab ortamı oluşturmak için ise; Virtualbox, Vmware gibi bir sanallaştırma uygulamaları kullanılır. Bu uygulamaların yardımıyla, zararlının çalışacağı ortamı farklı mimari (32/64 bit) ve farklı işletim sistemlerinde (Windows XP, Windows 7, Windows10 vb.) simule ederek zararlının farklı ortamlardaki farklı davranışlarını inceleyebiliriz. Yine bu sanallaştırma uygulamalarının birden fazla sistemi aynı anda çalıştırabilme özelliği sayesinde; zararlı yazılımın ağ içerisindeki davranışlarını incelemek amacıyla ağa dahil ikinci bir sanal cihaz oluşturularak sanal bir ağ oluşturulabilir. İkinci olarak kurulan sistem üzerinde sahte ağ servislerinin simule edildiği ve ağ trafiğinin dinlenildiği programlar barındırılır. Bu sayede birden fazla fiziksel cihaza olan ihtiyacı sanallaştırma uygulamaları tek cihaza indirger. Aynı zamanda sanallaştırma uygulamalarında bulunan ‘Snapshot’ özelliği (sistemin sanal sunucudaki yedeğini alma özelliği) sayesinde çalıştırılan zararlı yazılımın bulunduğu sistemi, zararlının çalıştırılmadan önceki zamana geri döndürme amacıyla kullanılmaktadır. Bu şekilde zararlıyı sistemden kaldırma, temiz lab ortamına dönüşü kolaylaştırır ve zaman kaybetmeden tekrar tekrar analiz edebilme olanağı verir. Ayrıca bu özellik ile sistemi ilk haline getirmenin yanı sıra, zararlının analizi sırasındaki aşamalarda analizi kolaylaştırma amacıyla gerekli görülen farklı zamanlarda snapshot alınarak analiz süreci hızlandırılmaktadır. İhtiyacımız olan bu özellikleri barındırdığı ve sistemimizin güvenliğini sağladığı için sanal bir lab ortamı analiz sürecinde çok önemli bir yere sahiptir.
  5. 5. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Analiz Yapılacak Ortama Karar Verilmesi Bir zararlı yazılımın amacına ulaşabilmesi için çalışabileceği bir işletim sistemine ihtiyaç duyması gibi, bir zararlı yazılım analizinin de başarıya ulaşabilmesi için zararlının davranışlarını incelemek amacıyla analiz programlarının bulunduğu bir işletim sistemine ve bu ortamı fiziksel ortamdan izole edecek bir sanallaştırma uygulamasına ihtiyaç vardır. Sanallaştırma Uygulamasının Seçimi Öne çıkan sanallaştırma uygulamaları ve başlıca özellikleri şu şekilde listelenebilir: ● VMware Workstation Pro – Yüksek performanslı bir şekilde çalışan ve Windows işletim sistemlerini çalıştırmak için en iyi seçenek olarak karşımıza çıkan sanallaştırma uygulamasıdır. ● VMware Workstation Player – Pro olan versiyonun daha hafif sürümüdür. Hızlı şekilde sanal makine kurulumu sağlar ancak zararlı yazılım analizinde bizim için çok önemli olan ‘Snapshot’ özelliği bulunmamaktadır. ● KVM – Linux işletim sistemi üzerinde çalışan sanallaştırma uygulamasıdır. Zararlı yazılım geliştiren kişiler, çalışan programın sanal makinede çalışıp çalışmadığını kontrol eden kod parçaları ekleyerek, programları sanal makinede çalışıyorsa analiz edilmesini zorlaştırmak amacıyla programlarında farklı önlemler alırlar. Bu noktada Vmware ve Virtualbox gibi sanallaştırma uygulamalarına önlem alınırken, KVM programı genelde göz ardı edilmektedir. Bu sebeple Anti-VM (Anti-Virtual Machine) yöntemlerin kullanıldığı zararlı yazılımlarda, KVM analiz işleminde oldukça kullanışlı olabilmektedir. ● ESXi – Vmware ESXi sanallaştırma yapan bir programdan ziyade içinde sanallaştırma yapmaya imkân sağlayan bir işletim sistemidir. Böylelikle kaynakların kullanımı daha az olur ve çok sayıda sanal işletim sisteminin aynı anda çalışmasına imkân verir. ● VirtualBox - Sanallaştırma yapmaya olanak sağlayan, ücretsiz, snapshot gibi özelliklerin kullanımına imkan sağlayan bir programdır. Ücretsiz ve kullanışlı yönü sebebiyle çoğu kişi için tercih sebebidir. Doküman içerisinde sanallaştırma uygulaması olarak Vmware Workstation 12 Pro versiyonu kullanılmıştır. Tercihe bağlı olarak VirtualBox gibi farklı bir sanallaştırma uygulaması ile de aynı lab ortamı hazırlanabilir.
  6. 6. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity İşletim Sistemi Seçimi ve Gereksinimleri Sanallaştırma uygulaması seçildikten sonra, sanallaştırma uygulaması ile çalıştırılacak olan ve zararlı yazılımın analizinin yapılacağı ortam olan işletim sistemi seçilmelidir. Burada zararlının çalıştırılıp, analiz edileceği ortam için seçim yapılırken, ağ trafiğini dinleyen ve sahte servis sunan ikinci bir ortam için de seçim yapılacaktır. Analiz Edilecek Ortam Günümüzde çoğu zararlı yazılım bulaştığı sistemde yakalanma ihtimalini azaltmak veya başka amaçlar için iki bölümden oluşur. Birinci bölüm yükleyici (loader) olarak adlandırılan sistemde ilk olarak çalışan, ikinci bölümün yüklenmesini ve çalıştırılmasını sağlayan bölümdür. İkinci bölüm ise zararlı yazılımın amacını gerçekleştirdiği stage olarak adlandırılan kısımdır. Buna örnek olarak zararlının çalıştırıldığı işletim sistemi mimarisi 32 bit ise 32 bit bir çalıştırılabilir dosya, 64 bit ise 64 bit çalıştırılabilir dosya bırakırlar. Bu sebepten ötürü tersine mühendislik yaklaşımında bulunulacak olan zararlı yazılımı incelemek isteyen analist, 32 bit işlemci mimarisine 64 bit sistemlerden daha çok hakimse 32 bit işletim sistemini tercih etmelidir. Windows ailesinin en güncel işletim sistemi olan Windows 10 işletim sistemi, önceki sürümlere oranla sahip olduğu daha kompleks yapı yüzünden oldukça fazla kaynak tüketimine sahiptir ve güncel yapısı itibariyle düşük versiyonları hedef alan zararlı yazılımların tamamı bu işletim sisteminde çalışmayabilir. Bu sebepten ötürü spesifik amaçlar dışında analiz sürecinde Windows 10 tavsiye edilmemektedir. Ayrıca Windows 10 işletim sistemi içerisinde, arka planda yer alan interneti kullanan servisler önceki sürümlere oranla daha gürültülü çalışır. Daha önceki sistemlerde opsiyonel olarak sunulan güncellemeler, Windows 10 üzerinde böyle değildir. Up-to-date ve güvenlik felsefesiyle hareket eden Windows 10 arka planda birçok internet kullanan servis çalıştırır. Zararlı analizi yapmak isteyen bir kişi, network analizi sırasında zararlıya ait olmayan ve paketin analizini zorlaştıracak bir sürü gereksiz veriyle karşılaşır. Bu da zararlının yaklaşımını bulmamızı zorlaştırır. Windows 7 ve Windows XP arasında seçim yapılması ise sahip olduğunuz donanım (işlemci, RAM) gücünüz ile alakalıdır. Windows 7, Windows XP ye oranla daha çok kaynak tüketmektedir. Ayrıca İşletim sistemi olarak Windows XP tercih edilmesi durumunda Service Pack 3 olmalıdır. İşletim sistemleri içinde barındırdığı eksiklikler ve hatalar, sonradan gelişen uygulamalara cevap veremediği veya desteklemede yetersiz kaldığı için yama eklemeleri yapılarak bu durumlara çözüm getirilir. XP üzerinde sonradan geliştirilen zararlı yazılımların sistem üzerinde cevap alabilmesi için Service Pack 3 güncellemesi almış olmalıdır. Aksi halde zararlı yazılımların birçoğu sistem üzerinde çalışmaz ve dinamik analizi yapılamaz. Dokuman içerisinde analiz edilecek olan ortam olarak Windows 7 (32 bit versiyon) tercih edilmiş. 2.0 GB bellek alanı, 1 işlemci ve isteğe bağlı olarak 35 GB hard disk alanı tercih edilmiştir.
  7. 7. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Bellek sıkıntısı yaşayanlar için, daha düşük (256MB- 1 GB) değerlerle Windows XP analiz yapılacak makine olarak kullanılabilir. Hard disk için ise 20 ile 30 GB arası bir değer yeterlidir. İndirilecek olan Windows işletim sistemi sanal makine üzerinde çalışacağı ve zararlı yazılımların ürün anahtarını ele geçirme ihtimali taşıdığı için aktif edilmeden kullanılır. Şekil üzerinde Windows product key yazan kısım boş bırakılmıştır.
  8. 8. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Ağı İzleyen Ortam Zararlı yazılım bulunan işletim sistemi ile aynı sanal ağda yer alarak, ağ trafiğini incelemek ve zararlı yazılım bulunduğu sisteme sahte servis sunmak amacıyla ikinci bir sanal işletim sistemi seçilir. Inetsum ve wireshark programlarının yüklü olarak gelmesi sebebiyle doküman içerisinde “REMnux” işletim sistemi kullanılmıştır. REMnux zararlı yazılım analizi ile uğraşan kişiler için üretilmiş, içerisinde programları barındıran bir Linux dağıtımıdır. Hazır olarak atanmış parolası “malware” dir. “https://remnux.org/” adresi içerisinde yer alan “.OVA” uzantılı sanal diski indirip, sanallaştırma yapılan cihaz içerisine import ederek doğrudan kullanılabilmektedir. Sanal Network Oluşturma ve Snapshot alma Zararlı yazılımın gerçek bir ağa dahil olmasını engellemek için kurulmuş olan Windows işletim sistemi ve gözlemci olarak çalışan REMnux işletim sistemi ortak bir sanal ağ yapılandırması içerisinde yer alır. Bunun için network manager olarak host only seçeneği seçilerek, sanal makinelerin internet çıkışı engellenebilir. Ancak host makine ile etkileşiminin de kesilmesi için custom bir network oluşturmak daha akılcı bir çözümdür. Bunun için Vmware içerisinde “Edit - Virtual Network Editor” seçeneği seçilir. Çıkan ekran üzerinde “Add Network” butonuna basılarak yeni bir network arayüzü şekildeki gibi oluşturulur.
  9. 9. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity vmnet2 ismini verdiğimiz network arayüzüne isteğe bağlı olarak 10.10.10.0 subnet maskı verilerek verilecek olan ip aralığı belirlenmiştir. Ayrıca “Connect a host virtual adapter to this network” seçeneği aktif edilmeyerek sanal cihazların host makine ile ağ üzerindeki ilişkisi kesilmiştir. Oluşturulan network arayüzü her iki işletim sistemi için de “VM-Settings-Network Adaptor” seçeneğinden seçilerek, ip adresine bakılarak ağa dahil olup olmadığı bakılır.
  10. 10. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Windows 7 için ipconfig komutu ile 10.10.10.130 ip adresine sahip olduğu görülmektedir. REMnux için ifconfig komutu ile 10.10.10.128 ip adresine sahip olduğu görülmektedir. Snapsot Vmware üzerinde yer alan snapshot alma, daha önceden alınmış snapshot’a geri dönme ve alınmış olan snapshot’ları yönetme butonları ile kurulmuş olan işletim sistemi üzerinde hızlı geri dönüşler yapabilirsiniz. Analiz işlemleri için kullanılacak olan programlar yüklendikten sonra sistemin zararlı bulaştırılmadan önceki hali snapshot alarak saklanmalıdır. Snapshot butonları
  11. 11. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Analiz Çeşitleri Analiz sırasında izlenecek yöntemler temel olarak statik analiz, dinamik analiz ve memory analizi olmak üzere üçe ayrılmıştır. Analiz sürecindeki önemli nokta detaylara boğulmadan, sonuç alamadığımız noktada belki başka bir program ile sonuca ulaşabileceğimiz ihtimalini değerlendirerek, sonuca farklı yollardan ulaşabileceğimizi bilmektir. Statik analiz: Kötü niyetli yazılımı çalıştırmadan yapılan analiz yöntemlerini kapsar. Basit statik analiz ve ileri statik analiz olarak ikiye ayrılır. Basit statik analiz: Dosya formatının tespiti, içerisinde geçen kelimelerin derinlemesine kod analizi yapmadan incelenmesi, analiz edilecek zararlının antivirüsler karşısındaki tepkisinin ölçülmesi, hash değeri alınmış halinin daha önceki zararlı hashleri ile kıyaslanması ve uygulamanın packed ya da obfuscated edilmiş olup olmadığının programlar yardımıyla tespit edildiği kısımdır. İleri statik analiz: IDA pro, radare2 gibi programlar kullanarak low level seviyede (disassembly edilmiş kod, binary kod vb) geçen kelimeler, bağlantılı kütüphaneler, fonksiyonlar gibi özelliklerin incelenerek zararlı yazılımın işleyişinin analiz edildiği kısımdır. Dinamik Analiz: Oluşturulmuş olan lab ortamında zararlı yazılımı çalıştırarak, sistem üzerinde yaptığı değişiklikleri inceleme üzerine yapılan analiz çeşididir. Basit ve ileri dinamik analiz olmak üzere ikiye ayrılır. Basit dinamik analiz: Çalıştırılan uygulamanın davranışsal analizinin yapıldığı kısımdır. Uygulamanın ağ üzerindeki davranışlarını, dosya ve kayıt defteri üzerinde yaptığı değişiklikleri, oluşturulan processlerin incelendiği kısımdır. İleri dinamik analiz: Zararlı yazılımın çalıştırılır durumdayken incelendiği, debug edildiği kısımı kapsar. İşlemci komutları, cpu, register üzerindeki verilerin değişimi incelenir. Fonksiyon çağrımlarını izleme (function call hooking/trace), fonksiyon parametrelerini izleme gibi teknikler kullanılır. Bellek Dökümü (Memory) Analizi: Zararlı yazılımın çalıştırıldıktan sonra hafızada kaplayan yerinin kopyalanarak diske kaydedilmesi ve diske kaydedilmiş bu hafıza alanının programlar yardımıyla incelenmesini oluşturan kısımdır.
  12. 12. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Örnek Zararlı Yazılım Bulma Döküman içerisinde kullanılan zararlı yazılım örnekleri, https://ctftime.org/writeups adresinde geçmiş CTF’lerde yer alan reverse engineering sorularından ve zararlı yazılım analizi konusunda en bilindik kitap olan “Practical Malware Analysis” kitabının https://github.com/mikesiko/PracticalMalwareAnalysis-Labs adresindeki Lab sorularından oluşmuştur. Zararlı yazılım analizi ile vakit geçirmek isteyenler için internet üzerinde örnek zararlı yazılımlar paylaşan siteler de bulunmaktadır. Bunlardan bazıları: ● https://malwaretips.com ● https://virusshare.com ● http://www.virusign.com/ ● http://malshare.com ● http://dasmalwerk.eu/ ● https://www.hybrid-analysis.com/recent-submissions?filter=file Otomatik Analiz Araçları ve Sandbox’lar Malware sandbox, zararlı yazılımların çalıştırılarak, davranışsal analizlerinin otomatik olarak programlar yardımıyla yapılıp, rapor olarak sunulduğu ortamlardır. Bu ortamlar; verilen örnekleri çalıştırarak arka planda dosya sisteminde, registry kayıtlarında, bellekte ne değişiklik yapıyor, ağ üzerinden hangi adresler ve protokollerle konuşuyor, hangi süreçleri ve API leri çağırıyor gibi maddeleri başlıklar halinde toplayarak rapor halinde sunarlar. Sandbox ortamı iki ana yapıdan oluşur: ● İlki analiz yapılacak olan sanal ortam ile haberleşmeyi sağlayan controller’ların bulunduğu raporu sunan ortamdır. ● İkincisi analizi yapılacak olan programın ve analiz programlarının çalıştırıldığı analiz edilecek sanal lab ortamıdır. Analiz programları network trafiğini analiz eden programlar, dosya ve kayıt defterinde meydana gelen değişikliği kayıt eden programlar, process ve memory alanını incelemeye yarayan programları kapsar. Aynı zamanda web üzerinden antivirüs firmalarının sunmuş olduğu imza tabanlı zararlı yazılım örnekleri ile çalıştırılacak olan programın hash’ini alarak kıyaslama yaparak raporda daha önceden tespit edilmiş bir zararlı olup olmadığını bizlere sunar.
  13. 13. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Online Analiz Araçları İncelenilmesi istenen zararlı yazılımın online servis sunan sitelere yüklenmesi ile analizin servisi sunan sistem tarafından yapılmasıdır. İmza tabanlı (hash değeri vb) özelliklere bakılarak zararlı yazılımın daha önceden bilinen bir zararlı yazılım olup olmadığı bilgisini sunar. ● Virustotal: En bilindik zararlı yazılım tespit aracıdır. Antivirüs firmaları tarafından daha önce upload edilen uygulamanın zararlı olarak belirtilip belirtilmediğini, belirtilmiş ise davranışlarının nasıl olduğunu sunar. ● any.run: Projesi, zararlı olduğundan şüphelendiğiniz uygulamaları 32bit ya da 64 bit bir Windows7 cihaz üzerinde uzaktan kontrol edebildiğiniz ve bir dakika boyunca oluşturulan aktiviteleri gözlemleyebileceğiniz çok kullanışlı bir zararlı yazılım analizi projesidir. Bu aktiviteler uygulama tarafından oluşturulan HTTP ve DNS isteklerini, yapılan bağlantıları, tehdit olarak görülen ağ aktivitelerini ve oluşturulmuş PCAP dosyası gibi network aktiviteleri ile dosya yapısında meydana gelen değişiklikleri ve dosyanın çalıştırılması sonucu process tree’sinde meydana gelen değişiklikleri kapsar.
  14. 14. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Şekil üzerinde bir network trojanının kurmaya çalıştığı bağlantılar, drop ettiği PE dosyası ve oluşturulan bu çalıştırılabilir dosyasının process’inin “PROCESS DETAILS” kısmında detaylı incelemesi verilmiştir. ● hybrid-analysis: Dosyanın upload edilmesi sonucu, çalıştırılacağı ortama göre (windows, linux, android) analiz edilmesini sağlar. Analiz sonucunu ve antivirüs taramalarından elde ettiği tepkileri sunar. ● threat expert: Uygulamaların davranışsal analizini incelemek için otomatize edilmiş programlarla inceleme yapan online zararlı yazılım analizi servisidir.
  15. 15. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Malware Sandbox Araçları Online servislerin dışında, sisteminize kurup daha ayrıntılı rapor almanıza olanak sağlayan sandbox’lar mevcuttur. Bunların açık kaynak olup, oldukça popüler olanı cuckoo sandbox’dur. ● cuckoo - “https://cuckoosandbox.org/” ● Buster Sandbox Analyzer - “http://bsa.isoftware.nl/” Basit Statik Analiz Statik analiz süreci uygulama çalıştırılmadan yapılan analiz sürecini kapsar. Analiz ortamını hazırlamak amacıyla gerekli programları indirmek için, sanal network adaptörü vmnet2 den NAT ayarına alınmalıdır. Gerekli uygulamalar indirildikten sonra tekrar vmnet2 ile yapılandırılan ağa geçiş yapılır. Bu bölümde aynı amacı taşıyan birden fazla uygulamadan bahsedilmiştir ancak amaca ulaşmak için farklı uygulamalardan aynı sonuçlar alınabileceği unutulmamalıdır. İndirilmiş olan programlar C dizini altında “AnalizProgramlari” adlı bir klasör içerisinde toplanmış ve bu dizinin yolu “Ortam Değişkeni” olarak kaydedilmiştir. Böylelikle istenilen programların “cmd” programı ile belirtilen dizine gitmeden doğrudan çalıştırılması sağlanmıştır. Bunun için: ● Ortam değişkenine uygun klasörü eklemek için “Bilgisayar” klasörüne sağ tık seçeneği ile özellikler açılır. ● “Gelişmiş Sistem Ayarları” seçilir. ● “Ortam Değişkenleri” seçeneğine tıklanılır.
  16. 16. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity ● “Path” yazılı sistem değişkeni seçilerek “Düzenle” seçeneğine tıklanılır. ● noktalı virgül “;” konularak cmd üzerinde doğrudan çalıştırmak istenen yol eklenilir. ● Tamam seçeneğine tıklanılarak çıkış yapılır. Bundan sonra C: dizini altındaki “AnalizProgramlari” adlı klasörün altında yer alan exe’ler doğrudan komut satırından çağrılabilmektedir.
  17. 17. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Hashcalculator İncelenmek istenen uygulamanın hash değerlerini hesaplar. Böylelikle analist bu hash değerlerini internette araştırarak, incelenecek olan yazılımın daha önceden başkaları tarafından incelenip incelenmediğini, incelendiyse zararlı bir yazılım olup olmadığını bilgisine ulaşır. Md5sum Linux tarafında hazır olarak gelen ve terminal üzerinde “md5sum dosyaadı” şeklinde çalıştırmaya alışık olduğumuz md5 hash’i almaya yarayan program Windows tarafında hazır olarak gelmemektedir. Komut satırında hash almaya alışık olanlar için oluşturulmuştur. “md5sums.exe bin” komutu kullanılarak “bin” isimli dosyanın md5 hashi alınmıştır.
  18. 18. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity PE Viewer - PE dosya formatında yer alan ‘section’lara ait bilgilerin yer aldığı, bu ‘section’lardaki dataların hexadecimal formatta bizlere sunulduğu inceleme aracıdır. Şekil üzerinde incelenmek istenen 131.exe adlı programın “Time Data Stamp” kısmında 2016/04/24 tarihinde oluşturulduğu bilgisi yer almaktadır. Aynı zamanda image dosyasının 32 bit işlemci mimarisine ait olduğu gözlemlenmektedir. .rdata section’ı incelendiği zaman import ve export edilmiş librarylere ulaşılır.
  19. 19. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Bintext Hedef program içerisinde geçen stringleri ve stringlerin konumunu bulmamıza olanak sağlayan programdır. Şekil üzerinde analiz edilen .exe içerisinde “But detected Debugger, NtGlobalFlag, OllyDebug, IDA” gibi kelimelerin olması analiz edilmeye çalışılan program içerisinde anti analiz teknikleri uygulandığı ipucunu edinmemize olanak sağlar. Ayrıca .exe içerisinde yer alan stringler arasında bulunan “.dll” isimleri, fonksiyon isimleri, değişken isimleri incelenmek istenen programın işleyişi hakkında tahmin yürütmemize olanak verir.
  20. 20. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Strings Linux tarafında kullanmaya alışık olduğumuz, çalıştırılabilir dosya içerisinde geçen stringleri ekrana basmaya yarayan bir diğer programdır. Komut satırı üzerinde çalışmaktadır.
  21. 21. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Dependecy Walker PE dosya formatı içerisinde .rdata section’ı içerisinde yer alan dynamic olarak import edilmiş .dll ve fonksiyonları gösterir. Şekil üzerindeki zararlı KERNEL32.DLL ve ADVAPI32.DLL kütüphanelerini import etmiştir. kernel32 dll’i içerisinde CreateFile gibi fonksiyonların kullanıldığı gözlemlenerek, bu yazılımın sistem üzerinde dosya oluşturduğu çıkarımı yapılabilir. Yine ADVAPI32.DLL kütüphanesi servis yöneticisi, registry kayıtları gibi ileri Windows yapılarına ulaşmak için kullanılan bir kütüphanedir.
  22. 22. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Detect It Easy Programın packed edilip edilmediği hangi programlama dili ile yazılıp, hangi compiler ile derlendiği, programın boyutu, entry pointi, import edilmiş kütüphaneleri gibi bilgileri sunan analiz aracıdır. Şekil üzerindeki exe programının UPX packer kullanarak paketlendiği, C/C++ kodu olduğu gözlemlenmektedir. “Import” seçeneğine tıklandığında import edilen kütüphaneler gözükmektedir.
  23. 23. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Şekil üzerindeki InternetOpenA fonksiyonu WININET.dll’i üzerinde çağrılan ve internet ulaşımı sağlayan bir fonksiyondur. Resource Hacker PE dosyasının .rsrc section’ı içerisinde yer alan, çalıştırılacak olan dosyanın kullandığı kaynakları barındıran kısmı görüntüememizi sağlar. “.rsrc” section’ı içerisinde executable tarafından kullanılan resimler, simgeler, menüler ve stringler bulunur. (Stringler ana program içerisinde de burada da bulunabilir.) Şekil üzerindeki örnek Windows işletim sistemi üzerinde hazır olarak gelen calculator (Hesap Makinesi) programının kullandığı kaynakları görüntülemektedir. Şekil üzerindeki kaynağa sağ tıklayarak bu kaynağı dışarı resim olarak aktarabileceğimiz gibi, kaynağı değiştirmemiz de mümkündür. UYGULAMA - Resource Hacker İncelenmek istenen Lab01-04.exe adlı zararlı yazılım programı Resource Hacker programına sürükle bırak yapılır. “.rsrc” yani kaynaklar section’ı program yardımıyla incelenir.
  24. 24. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Binary formattaki bu kaynağı incelediğimiz takdirde, “This program cannot be run in DOS mode” şeklindeki header bilgisi dikkatimizi çeker. Bu header bilgisi her PE içerisinde yer alan DOS header’in error mesajıdır. Bundan dolayı incelediğimiz zararlı yazılımın kaynaklar bölümünde başka bir program olduğu gözlemlenmektedir. Sağ tıklama ile “Dosyayı *bin” formatında kaydet seçeneği ile, bu kısım dışarıya aktarılır ve dışarıya aktarılmış dosya Dependency Walker programı ile incelenir. Burada yer alan kodun URLDownloadToFile fonksiyonu kullandığı ve internet bağlantısı yaparak indirme işlemi gerçekleştirdiği gözlemlenir.
  25. 25. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity PE Insider PE dosyalarını incelemek için oluşturulmuştur. Section’lar hakkında diğer PE inceleme programlarının sunduğu bilgileri sunar. Şekil üzerinde .net ile yazılmış bir programın kullanmış olduğu methodlar listelenmiştir. PEiD (PE identifier) Packer ve compiler tespiti için oluşturulmuş oldukça popular bir araçtır. Ayrıca çeşitli plugin’lere sahip olan PEiD uygulamalarda kullanılmış olan kriptolama algoritmalarını da tespit etme amacıyla kullanılır. Programın FSG ile paketlendiği tespit edilmiştir.
  26. 26. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity PEstudio Oldukça kullanıcı dostu olan bir PE analiz aracıdır. Analiz yapan kişi için işleri kolaylaştırır. Tehlikeli olabilecek şüpheli görülen yerlerde uyarı verir. Analiz edilecek programın “Virüstotal” sitesinde uyarı verip vermediği raporunu sunar. PEstudio programının sunduğu Virustotal raporu. Tehlikeli olarak görülen ve kullanılmış .dll fonksiyonları.
  27. 27. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Resources içerisinde executable bir dosya olduğu uyarısı. ILSPY .NET uygulamalarını decompiler etme amacıyla kullanılır. Açık kaynaklıdır. Şekil üzerinde web proxy uygulaması olan Fiddler uygulamasının ILSpy kullanılarak decompiler edilmiş hali gösterilmiştir.
  28. 28. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity CFF Explorer CFF Explorer, PE üzerinde düzenleme yapmak için oluşturulmuş bir araçtır. Resource section’ını değiştirme, import ekleme, imza tarama gibi amaçlar için kullanılır. Oldukça kullanışlı olan bu program ile hedef program hakkında tespit yapabilir, içerisinde barındırdığı HexEditor, disassembly seçeneklerini kullanabilir ya da UPX ile packlenmiş programları kolayca unpack edebilirsiniz.
  29. 29. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Basit Dinamik Analiz Dinamik analiz süreci, zararlı uygulamanın çalıştırıldıktan sonraki davranışlarının ağ trafiği bazında, dosya ve kayıt günlüğü üzerinde yapılan değişiklikler bazında ve oluşturulan/öldürülen processler bazında yapılan incelemelerini kapsar. Çalıştırılan uygulamanın kod işleyişinin adım adım takip edilmesi ve yaptığı değişiklerin kod bazında takip edilmesi de bu sürece dahil ve belki de en önemli noktasıdır. 1- Ağ Trafiği Analiz Araçları Gerçek network ortamından izole edilmiş sistemde zararlı yazılım davranışlarını analiz edebilmek için sahte servisler oluşturmamıza ve ağ trafiğini dinlememize yarayan araçlar mevcuttur. apateDNS apateDNS programı DNS spoofing yapma amacıyla üretilmiş bir programdır. Zararlı yazılımın yaptığı DNS isteklerini 53 numaralı UDP portunu dinleyerek ekrana basar. Ayrıca yapılan bu isteklere cevap olarak programı kullanan kişinin belirttiği adresi verir. İstek belirtilmezse, hazırda kullanılan Gateway/DNS sunucusuna istek gönderilir. DNS Reply seçeneği isteklere sahte yönlendirme yaparken, NXDOMAIN seçeneği ise domain adresine bağlanmaya çalışan zararlının başarısız olduğunu düşündürerek başka bir domain adresi denemesi için kullanılır.
  30. 30. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Netstat Network bağlantılarını, routing tablosunu, arabirim istatiskleri ve benzer ağ bağlantısı bilgileri ile ilgili ayrıntılı bilgiler verebilen bir konsol komutudur. Linux ve Windows tarafında hazır olarak kurulu olarak gelir. Çeşitli parametreler içermektedir. “-a” gelen ve giden bağlantıları gösterir, “-n” gelen ve giden bağlantıların sayısal değerini (ip adresi vb.) gösterir, “-e” gelen ve giden paketi, “-r” yönlendirme tablosunu gösterir. Şekil üzerinde “netstat -an” komutu çalıştırılarak sisteme gelen ve giden bağlantıların ip adresleri, uç bağlantı noktaları gözlemlenmiştir.
  31. 31. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Tcpview Bir sysinternal aracı olan Tcpview microsoft tarafından netstat programının daha bilgilendirici ve kolay bir şekilde kullanım alternatifi olması için üretilmiştir. Process ismi, pid değeri, protokolü, local ve remote adres ile port bilgileri gözlemlenir. Netcat Netcat port dinlemek ya da gelen/giden bağlantı başlatmak için kullanılan oldukça popüler olan bir araçtır. Zararlı yazılım analizi sürecinde zararlının göndereceğe isteği ekrana basan netcat yazılımı tıpkı bir server gibi hareket etmiş olur. Netcat çeşitli paremetreleri alan komut satırı programıdır. Analiz sürecinde “-l” (dinleme modu) ve “-p port numarası” (Dinlenilecek olan port ) olarak kullanılır. Zararlı yazılımın dosya indireceği ya da shell açacağı göz önüne alınırsa, bağlantı kurmaya çalıştığı yeri localhost yani kendi ip adresimiz yapabilmek için “ApateDNS” programı ile DNS sorgusuna cevap olarak kendi ip adresimiz verilir. Zararlı yazılımlar ağırlıklı olarak 80 numaralı http ve 443 numaralı https portunu kullanır. Bu yüzden örnek kullanımlar şu şekildedir: ● “nc -l -p 80” ● “nc -l -p 443”
  32. 32. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Örnek Kullanım Şekil üzerinde apateDNS programı DNS sorgusuna cevap olarak local ip adresini döner. Böylelikle “comp.eng.ankra.edu.tr” adresi için DNS cevabı 127.0.0.1 olur. 127.0.0.1 adresinin 80 portuna ulaşmaya çalışılırken yapılan isteği netcat programı ekrana basar. (GET /HTTP/1.1)
  33. 33. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity INetSim Zararlı yazılımlar her zaman 80 ve 443 portunu kullanmaz. Bu noktada zararlı yazılımın network üzerindeki davranışlarını ayrıntılı bir şekilde izlemek için INetSim adında birçok servisi (HTTP, HTTPS, FTP, IRC, DNS, SMTP vb.) sahte şekilde simüle eden program kullanılır. INetSim programı Remnux adlı linux işletim sisteminde kurulu olarak gelir. Vmnet2 ortak ağına bağlı olan windows ve remnux işletim sistemleri için sırasıyla: ● Windows tarafında DNS server olarak 127.0.0.1 atanır. ● ApateDNS programı çalıştırılarak DNS isteklerine cevap olarak Remnux işletim sisteminin sahip olduğu ip adresi verilir. Linux Cihazın ip Adresi ApateDNS programının DSN sorgularına cevap olarak Linux makinenin ip adresini yollaması
  34. 34. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity ● Remnux işletim sisteminde “/etc/inetsim” dizini altındaki inetsim.conf dosyası üzerinde ayarlamalar yapılır. ● Remnux üzerinde “inetsim” komutu ile servisler aktif edilir ve Windows tarafında test etmek için herhangi bir web sayfası açılır.
  35. 35. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Wireshark Ağ üzerindeki paketleri canlı olarak yakalamaya yarayan, derinlemesine analiz edilmesine olanak sağlayan iyi ya da kötü niyetle kullanılabilecek oldukça populer açık kaynaklı bir paket analiz aracıdır. Zararlı yazılım incelemesinde, trafiğin yönlendirildiği makinede (öncelikli tercih) ya da zararlının bulaştırıldığı makinede ağ trafiğini yakalayarak, analiz etme amacıyla kullanılır. Gelen bağlantı üzerine sağ tıklama yapılarak “Follow TCP Stream” seçeneği seçilerek yakalanan paketler hakkında önemli bilgiler öğrenilir. Remnux işletim sistemi üzerinde çalıştırılan wireshark programı ile gelen TCP ve HTTP bağlantılarının görüntülenmesi
  36. 36. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity 2- Dosya Ve Kayıt Defteri Analizi Araçları Zararlı yazılımlar sistem üzerinde dosya açar, siler, payload bırakır, internet üzerinden indirme işlemi yapar ya da kayıt defterinde değişikler yapar. Windows kayıt defteri, sistem donanımları, kurulu programlar, ayarlar, her bir kullanıcıya ait hesap profili gibi önemli bilgileri içermektedir. Bu bölümdeki analiz yöntemleri sistem dosyalarında yapılan değişiklikleri kapsar. Regshot Regshot programı ile zararlı çalıştırılmadan önce 1.Shot alınır. Zararlı çalıştırıldıktan sonra ise 2. Shot alınır. Daha sonra compare tuşuna basarak zararlı çalışmadan önce ve çalıştıktan sonra sistemde ne gibi değişikler olduğu ekrana basılır. Şekil üzerindeki zararlı yazılım msgina32.dll adlı bir .dll drop etmiştir.
  37. 37. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity CaptureBat Terminal uygulaması olan CaptureBat, dosya, kayıt defter ve process üzerinde olan değişiklikleri öğrenmek için kullanılır. -c parametresi silinen ya da değiştirilen dosyaları yakalamaya, -n parametresi network aktivitelerini yakalamaya, -l parametresi ise sonuçları bir .txt dosyasına yazmaya olanak verir.
  38. 38. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity 3- Process Analiz Araçları Process analizi yapılırken, bu processler genelde sistem üzerinde (Kayıt defteri, dosya, memory ve network) değişiklik yaptığı için bu bölümdeki araçlar sadece processler üzerinde meydana gelen değişiklikleri değil, processlerin sonuçlarını da incelemeye yöneliktir. System Internal Suite (procmon - autoruns - processexplorer) Microsoft tarafından sistem sorunlarına çözüm bulunması amacıyla paylaşılmış programlar bütününü kapsar. Daha önceden bahsedilen TcpView, Strings gibi araçlar da bu toolkit’e dahildir. ● Procmon Registiry, file, network, process ve thread analizi yapma amacıyla kullanılan bu program sistem çağrılarından, sistemde meydana gelen değişikliklere kadar derinlemesine analiz yapmayı sağlar. Birçok event arasından ulaşılmak istenen bilginin bulunması zorlaştığı için basit bir şekilde… …butonlarını aç kapa yaparak sırasıyla registiry, file, network ve process hakkındaki etkinlikleri aktif ederek kapatabilirsiniz. Detaylı filtreleme özelliği ile belirli bir programa ait çıktıları almak gibi ya da belirli bir kayıt defterine ait fonksiyonu çağıran etkinlikleri sıralamak gibi aramalar yapabilirsiniz. process id değeri 640 olan etkinlikleri listelemek için filtreleme oluşturma
  39. 39. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity ● Process Explorer Çalışan process’leri ve hangi klasörden çalıştıklarını bizlere sunar. Görev yöneticisinden daha ayrıntılı bilgiler sunar. Process’lerin tree şeklindeki yapısını, hangi .dll process’i açıldı ve yüklendi gibi bilgileri bizlere sunar. Ayrıca çalışmakta olan bir process’in bellek dökümünü almaya yarar. Sonlandırılmış processleri kırmızı renkte, yeni başlayan processleri yeşil renkte göstermesi gibi özellikleri ile kullanıcı dostudur. Alt ekranda ilişkili olan .dll ler gösterilir. Şekil üzerinde chrome uygulamasının process’ine müdahale edilip edilmediğini anlamak için process özelliklerine gidilerek disk içerisindeki ve memory içerisindeki stringsleri aynı mı diye kontrol edilmiştir. (Image = disk, Memory = bellek)
  40. 40. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity ● autoruns İşletim sistemi başladığı zaman sistem tarafından otomatik olarak başlatılan programları, herhangi bir sistem programına import edilmiş .dll’leri, otomatik olarak başlayan servisleri, tarayıcı için yardımcı uygulamaları (BHO) listelemeye yarayan programdır. Zararlı yazılımın tespitinde ve silinmesinde oldukça kullanışlıdır. Process Hacker Process Explorer gibi çalışan bir görev yöneticisidir. Ancak process explorer den çok daha yeteneklidir. Belirtilen string’i bellekte aratma, servisoluşturma ve dll inject etme ya da unload etme gibi özellikleri de vardır.
  41. 41. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity İleri Analiz Araçları İleri statik analiz süreci, disassembly(disassembler) yapan programlar yardımıyla, analiz edilecek programın makine kodundan assembly koduna çevrilme ve çevrilen assembly kodunun incelenmesi sürecini kapsar. İleri dinamik analiz süreci ise assembly seviyesinde uygulamanın çalıştırılması ile işleyişini takip eden programları kapsar. IDA, Radare2 ve Hopper günümüzde en çok kullanılan disassembly araçlarına örnek verilebilirken; Immunity Debugger, Ollydbg, x64dbg gibi programlar en popüler debugger araçlarına örnek verilebilir. IDA Zararlı yazılım analistleri, tersine mühendislikle uğraşan kişiler ve zafiyet araştırmacıları tarafından en çok tercih edilen disassembly aracıdır. Hatta IDA sadece disassembler olarak değil debugger olarak da kullanılabilmektedir. Ayrıca bu özelliklerinin yanı sıra, birçok dosya formatını disassembly etmek için desteklemesi, grafik olarak kod akışını sunması, yapılan çalışmaları kaydedebilmesi, fonksiyon isimlendirmesine izin vermesi, modifiye yapılabilmesi, stack analizine olanak vermesi ve local variable’ların tanımlanmasından yorum satırları eklenmesine ve birçok plugin (eklenti) desteklemesiyle bir disassembly’den daha fazlasıdır. Ücretli ve bu yüzden internet üzerinde izinsiz çok sayıda crack’li versiyonu bulunan bir program olan IDA Pro’nun, kısıtlı kullanım amaçlı üretilmiş versiyonu olan “ Free” ve demo amaçlı üretilmiş sadece x86 mimarisini içeren ”Demo” versiyonlarını “https://www.hex- rays.com/products/ida/support/download.shtml” adresinden indirebilirsiniz. Ancak kısıtlı ve 5.0 versiyonunda bırakılmış olan free versiyonu, ciddi analiz süreçlerinde tercih edilmemelidir. Ida sahip olduğu pluginler ile alaniz sürecini kolaylaştırır. ● BinDiff - Binary düzeyde karşılaştırma yaparak, zararlı yazılımlar arasında benzer fonksiyonları, eksik fonksiyonları ne kadar benzer olduğu gibi kıyaslamalar yapmaya yarayan güçlü bir eklentidir. ● IDAPython - python scriptleri yazmaya olanak sağlayan IDA eklentisidir.
  42. 42. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Grafik modune ve text koduna geçişler için boşluk tuşuna basılabileceği gibi ilgili yere sağ tıklama ile graph mode seçimi yapılarak da geçiş yapılabilir. Graph Mode IDA Strings sekmesi, gidilmek istenen yer hakkında ipucu verebilir.
  43. 43. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity “sub_*” ile başlayan yerler fonksiyonları simgeler, iki kez tıklayarak ilgili fonksiyona gidebileceğiniz gibi, “sağ tıklama - rename” seçeneği ile fonksiyona akılda kalıcı incelemenizi kolaylaştıracak isim verebilirsiniz. Hexadecimal formattaki sayıların üzerine geldikten sonra “H” tuşuna basarak ondalık formattaki karşılığını görebilirsiniz. Ayrıca IDA sahip olduğu debugging özelliği ile debugger olarak da kullanılmaktadır. “Debugger” sekmesinde yer alan “Run” seçeneği ile bir uygulama çalıştırılıp debug edilebileceği gibi, “Attach” seçeneği ile çalışmakta olan bir uygulama import edilerek debug edilebilir. Şekil üzerinde “bin.exe” adlı çalıştırılabilir dosyanın IDA programı ile debugging edilme süreci gösterilmiştir. Instruction pointer, stack pointer ve register’larda tutulan değerler ile oluşturulan “Thread”ler gözlemlenmektedir. Bu değerler programın akışı içerisinde isteğe bağlı modifiye edilebilmektedir.
  44. 44. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity radare2 IDA alternatifi olması için üretilmiş, kullanan çoğu kişi tarafından IDA’dan güçlü olduğu öngörülen, ücretsiz disassembly aracıdır. Terminal üzerinde çalışmaktadır. Birçok dosya formatını ve işletim sistemini destekler. “rabin2 -I” komutu analiz yapılacak program hakkında bilgi alınmasını sağlar “rabin2 -S” komutu analiz edilecek programın sectionları hakkında bilgi verir “radare2 dosyaismi” şeklinde analiz edilecek program çalıştırılarak “aaa” komutu girilir. “aaa” komutu binary düzeyde analizlerin yapılmasını sağlar. “V” tuşuna basılarak “hex modu”na geçiş yapılır. Böylelikle ilgili kodda aranan yere (örnek olarak main) gidilerek tekrar V tuşuna basılır ve graph ekranı gözlemlenir.
  45. 45. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Hopper Linux ve Mac Os için üretilmiş, ücretli bir disassembly aracıdır.
  46. 46. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Ollydbg Çalıştırılan uygulamaların assembly seviyesinde debug edilmesini sağlar. Verinin stack’de, register’lar üzerinde ve bellekte nasıl tutulduğu hakkında bilgiler verir. Sahip olduğu plugin’ler (eklentiler) sayesinde yeni özellikler kazanır. “Sağ tıklama - Appearance - Highlighting” seçeneği ile dallanmalar, JMP fonksiyonları gibi özellikleri renklendirebilirsiniz. Registerlar ve instructionlar üzerindeki verileri anlık olarak değiştirebilirsiniz.
  47. 47. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Sahip olduğu OllyDump eklentisi sayesinde bellek dökümü almayı sağlar. “https://low-priority.appspot.com/ollydumpex/” “Sağ tıklama- Search for - All referenced strings” diyerek stringleri görüntüleyebilir, ilgili stringin geçtiği instructiona geçebilir ve breakpoint koyarak detaylı inceleme yapabilirsiniz.
  48. 48. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Immunity Debugger Ollydbg ile aynı şekilde çalışmakta olan Immunity Debugger, Ollydbg programı üzerindeki GUI yapısı ve fonksiyoneliği alarak, üzerine python scriptleri ve API kullanımına izin veren özellikler eklemiştir. Tıpkı Ollydbg programında olduğu gibi birçok eklentiyi destekler. Ancak bu eklentiler genelde Ollydbg için yazılmış eklentilerin Immunity Debugger için uyarlanmış halidir. Örnek bir CTF çözümü
  49. 49. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity PyCommand listesi ve Python Shell’i, exploit yazma ve debug sürecini hızlandırır. x64dbg Kullanıcı dostu görüntüsüyle, açık kaynak bir debugger aracıdır.
  50. 50. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Örnek x64dbg arayüzü API Monitor API Monitor, uygulamalar ve servisler tarafından yapılan API çağrılarını gözlemleye ve kontrol etmeye olanak sağlayan güçlü bir programdır. Sahip olduğu breakpoint özelliği ile istenilen noktalarda uygulamaların yaptığı API çağrılarına müdahale edilerek programın işleyişinde değişiklikler yapılabilir. API monitor programı ile sahip olduğu API filtreleme özelliğini kullanarak bir programın çalışması sırasında filtrelenen çağrıları listeleyebilir, bu API çağrısına gönderilen parametreleri ve dönen değerleri inceleyebilir hatta değiştirebilirsiniz. Bu anlamda bir zararlının bilgisayar içerisindeki davranışlarını gözlemlemenin yanı sıra kullanılan bir tarayıcının yaptığı API çağrılarını dinleyerek sniffing yapma, lisanslı bir programın davranışlarını inceleyerek lisansı geçersiz kılma ya da bir uygulamanın ekrana bastığı çıktısını değiştirme gibi çok daha farklı amaçlar için de kullanılmaktadır. API Filter sekmesinde Ctrl+F5 ile filtrelenmek istenen çağrılar ya da bu çağrıların içerdiği fonksiyonlar aratılabilir.Şekil üzerinde Windows Internet Explorer programının kullandığı kütüphane filtrelenmiştir. Daha sonra “Running Procesess” kısmından çalışmakta olan bir process’e sağ tıklayarak monitoring işlemi başlatılabileceği gibi “File” - “Monitor New Process” seçeneğinden monitoring edilmek üzere bir dosya çalıştırılabilir.
  51. 51. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Şekil üzerinde “API Filter” sekmesinden “ntCreateFile” filtrelemesi ile çalıştırılmış dosyanın “Monitored Process” ekranında cmd.exe programı çalıştırdığı, “Summary” ekranında filtrelenmiş olan fonksiyonun çağrılma sıraları ve gönderilen parametreleri, “Parameters” ekranında ise yapılan bu çağrılar arasından seçili olanının detaylı raporu yer almaktadır. Breakpoint konulmak istenilirse, Summary kısmında yer alan ilgili çağrıya sağ tıklama ile giderek istenilen özellikte breakpoint konularak monitoring edilen program yeniden çalıştırılır.
  52. 52. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Bellek Dökümü Analizi Bellek dökümü analizi, çalışan programın bellek üzerindeki yerinin kopyalanarak disk üzerine kaydedilmesi ve daha sonra disk üzerindeki bu anlık ekran görüntüsünün incelenmesi aşamalarını kapsar. Bellek analizi yapılmasındaki amaç, zararlı yazılımın hedef aldığı sistem hakkında daha hızlı analiz yapmak, temel işlemleri, ağ bağlantılarını, yüklenen modülleri vb. göstermektir. Aynı zamanda çalışır durumda bulunan programların bellekteki dökümünü incelenerek, paketlenmiş uygulamaların unpack edilmesi için kullanılır. Bellek Dökümü Alan Yardımcı Programlar Programlar yardımıyla bellek dökümü almak oldukça kolaydır. Bellek dökümü almak için kullanılan programları; bütün sistemin bellek dökümünü alan ve ilgili process’in bellek dökümünü alan programlar olarak ikiye ayırabiliriz. 1- Bütün Sistemin Bellek Dökümünü Alan Programlar: Üzerinde çalışılmakta olan işletim sisteminin tamamının bellek üzerinde kapladığı yeri alırlar. Memoryze, Dumplt, FastDump gibi programlar kullanılır. Sistemin o anki bellek tüketimi, dosya boyutuyla eş değerdir. ● Vmware Sanallaştırma uygulamaları, üzerlerine kurulmuş olan sistemleri bellek dökümü olarak tutar. Sanallaştırma uygulaması ile kurulmuş olan Windows işletim sisteminin bulunduğu dizine gidilerek, *.vmem dosyası analiz edilmek için doğrudan kullanılabilir. ● DumpIt Komut satırı üzerinden “DumpIt.exe” programının çağrılması ile bütün sistemin bellek dökümü alınabilir.
  53. 53. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity ● Memoryze Komut satırı üzetinden “MemoryDD.bat” komutunun çağrılması ile sistem üzerinde bellek dökümü alınır. Alınan bellek dökümü ilgili programın “Audits” klasörü altında yer alır.
  54. 54. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity 2- İlgili Process’in Bellek Dökümünü Alan Programlar: Bütün sistemin bellek dökümünü almak yerine, istenilen process’in bellek dökümünü alan yardımcı programlar da vardır. Görev yöneticisini kullanarak da bellek dökümü alabileceğiniz gibi, bu programlara LordPE, Process Explorer, Process Hacker, OllyDump örnek verilebilir. ● Process Explorer ve Process Hacker İlgili process’e sağ tıklama yapılarak, dump seçeneği seçilir. Full dump seçeneği process’in sanal bellek dökümüne ait threat aktiviteleri, stack objeleri, heap durumu, yüklenmiş kütüphaneler gibi bütün bilgilerini içerir. Mini dump ise çık kısıtlı process bilgilerini tutar.
  55. 55. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity ● LordPE LordPE executable bir programın bellek üzerindeki dökümünü dump etmeye yarayan ücretsiz ve kullanışlı bir programdır. Çalışan uygulamaların hangi “.dll” leri kullandığını gösterir. LordPE programı aynı zamanda PE editlenmesine ve dump edilmiş programların onarılmasına olanak sağlar. Ayrıca LordPE programı bu özellikleri sayesinde paketlenmiş programları unpack etmede kullanılır. “dump full…” seçeneği ile seçili olan programın bellek dökümü alınır. ● OllyDump OllyDbg programı için üretilmiş ilgili process’in bellek dökümünü almaya yarayan bir eklentidir.
  56. 56. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Bellek Dökümü Analiz Araçları Alınmış olan bellek dökümlerini incelemeye yarayan programları kapsar. Volatility veya Mandiant Redline uygulamaları analiz sürecinde kullanılabilir. En popüler ve kullanışlı analiz aracı Volatility’dir. Volatility Volatility, bellek analizi için oluşturulmuş açık kaynak bir programdır. Linux, Windows, Mac ve Android sistemler için analiz yapmamızı sağlar. Python üzerine yazılmıştır ve raw dumps, crash dumps, vmware dumps (.vmem), virtual box dumps gibi pek çok bellek dökümünü analiz etmeye yaramaktadır. Zararlının bulaştırıldığı işletim sistemi yerine, zararlı bulaştırılmamış bir işletim sistemi üzerinde (örnek olarak volatility programının hazır olarak geldiği Remnux işletim sistemi) analiz sürecinde kullanılır. Birçok parametresi bulunan volatility programı sahip olduğu özellikler ile zararlı yazılımın analiz edilme sürecini çok hızlandırır. Volatility İçin Örnek Kullanım: “-f” parametresi ile bellek dökümü alınmış dosya ve “imageinfo” komutu ile de bellek dökümü alınmış dosyanın hangi işletim sistemine ait olduğu bilgisi elde edilmek için kullanılır. Örnetk kullanım : “volatility -f ZAFIYETLI-PC.raw imageinfo” Suggested Profie kısmında gördüğümüz üzere inceleme yapacağımız bellek windows makineye aittir.
  57. 57. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Volatility Analize Yardımcı Bazı Parametreler: ● pslist - Çalışmakta olan processleri listeler ● connection - Ağ bağlantılarını listeler ● connscan - kapatılmış ama bellekten silinmemiş bağlantıları da listeler ● Sockets - çalışan soketleri ve hangi processlere ait olduğunu listeler ● Memdump - pid değeri ile belirtilen işlemin bellek dökümünü verir ● Malfind - bellekte yer alan zararlı kod parçacıklarını tespit eder ● cmdscan - cmd arayüzüne girilmiş komutları listeler ● iehistory - internet explorer geçmişini görüntüler Mandiant Redline Windows için üretilmiş, kullanıcı dostu grafik arayüzü ile incelenmek istenen bellek dökümünde şüpheli görülen metadata, kayıt defteri, event logları, servisler, görevler ve internet geçmişi bilgilerini bize sunar. Şekil üzerinde injection gerçekleşen memory section’ları gösterilmiştir
  58. 58. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Anti Analiz Tekniklerini Engellemek İçin Kullanılan Programlar Zararlı uygulama geliştiricileri tarafından, kötücül uygulamaların analizini zorlaştırma amacıyla uygulanan teknikler vardır. Başlıca teknikler ve bu teknikleri engelleyen programlar şunlardır: 1. Anti Debugging: Debug edilme sürecini engellemek adına API kullanımı, PEB yöntemi ile flag kontrolü, breakpoint tespiti, debuggera müdahale, debugger zafiyetlerini kullanma, zaman süreci farkı gibi tekniklerle debugger kullanılıp kullanılmadığı tespiti yapılır. Önlemek için; ● Adım adım dinamik kod analizi yaparken kontrolün yapıldığı yeri bularak, sorunu çözebilir, ● OllyAdvanced eklentisi kullanılabilir, ● HideDebugger eklentisi kullanılabilir, ● Phantom eklentisi kullanılabilir, ● IDA için ise idastealth eklentisi kullanılabilir. 2. Anti - Vm: Proseslerde, Registry, Hafızada, Dosyalarda ve Donanım bilgilerinde sanallaştırma ile ilgili kalıntılar aranır. Ayrıca komut çıktılarından da (I/O portları vb.) VM kullanılılp kullanılmadığı tespit edilir. Engellemek için; ● Adım adım dinamik kod analizi yaparken kontrolün yapıldığı yeri bularak, sorunu çözebilir, ● ScoopyNG aracı kullanılabilir, ● Yardımcı sanal makine uygulamalarını kaldırabilirsiniz. (VMWare Tools, VirtualBox Guest Additions vs.) 3. Anti disassembly: 4. Obfuscation : Karmaşıklaştırma, gizleme anlamı taşıyan teknik ile kaynak koduna çevrilebilen programların statik analiz sürecinde analiz edilmesi engellenmeye çalışılır. ● .NET uygulamalar için De4dot kullanılabilir. 5. Packed: Paketleme işlemi dosya boyutunu küçülterek ve küçültme algoritmasını yine paketlenmiş dosya üzerinde barındırarak, çalıştırılmadan önce statik analizi yapıldığı süreçte incelenmesini, içerisindeki kodlara ve stringlere ulaşılmasını zorlaştırmayı amaçlar. Peid, Detect It Easy gibi programlar yardımıyla paketleme yöntemleri tespit edilir. Unpack araçları kullanılarak unpack işlemi yapılır. Popüler paketleme programları şunlardır;
  59. 59. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity ● UPX, PECompact, ASPack, Petite, WinUpack, Themida. Packed edilmiş bir uygulamayı manuel olarak unpack etmek için; ● Uygulama debugger kullanılarak çalıştırılır, OEP yani orjinal girdi noktası tespit edilir. ● çalışmakta olan uygulama dump edilir. (Lord PE, ollydump, process explorer vb.) ● IAT değerini düzeltmek için orjinal program ImpREC programı ile açılır, bunun OEP değeri girilir, importlar elde edilir ve dump edilmiş programın üzerine FixDump seçeneği ile kaydedilir.
  60. 60. [ZARARLI YAZILIM ANALİZİ İÇİN LAB ORTAMI HAZIRLAMAK] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity BGA Bilgi Güvenliği A.Ş. Hakkında BGA Bilgi Güvenliği A.Ş. 2008 yılından bu yana siber güvenlik alanında faaliyet göstermektedir. Ülkemizdeki bilgi güvenliği sektörüne profesyonel anlamda destek olmak amacı ile kurulan BGA Bilgi Güvenliği, stratejik siber güvenlik danışmanlığı ve güvenlik eğitimleri konularında kurumlara hizmet vermektedir. Uluslararası geçerliliğe sahip sertifikalı 50 kişilik teknik ekibi ile, faaliyetlerini Ankara ve İstanbul ve USA’da sürdüren BGA Bilgi Güvenliği’nin ilgi alanlarını “Sızma Testleri, Güvenlik Denetimi, SOME, SOC Danışmanlığı, Açık Kaynak Siber Güvenlik Çözümleri, Büyük Veri Güvenlik Analizi ve Yeni Nesil Güvenlik Çözümleri” oluşturmaktadır. Gerçekleştirdiği başarılı danışmanlık projeleri ve eğitimlerle sektörde saygın bir yer edinen BGA Bilgi Güvenliği, kurulduğu günden bugüne alanında lider finans, enerji, telekom ve kamu kuruluşlarına 1.000'den fazla eğitim ve danışmanlık projeleri gerçekleştirmiştir. BGA Bilgi Güvenliği, kurulduğu 2008 yılından beri ülkemizde bilgi güvenliği konusundaki bilgi ve paylaşımların artması amacı ile güvenlik e-posta listeleri oluşturulması, seminerler, güvenlik etkinlikleri düzenlenmesi, üniversite öğrencilerine kariyer ve bilgi sağlamak için siber güvenlik kampları düzenlenmesi ve sosyal sorumluluk projeleri gibi birçok konuda gönüllü faaliyetlerde bulunmuştur. BGA Bilgi Güvenliği AKADEMİSİ Hakkında BGA Bilgi Güvenliği A.Ş.’nin eğitim ve sosyal sorumluluk markası olarak çalışan Bilgi Güvenliği AKADEMİSİ, siber güvenlik konusunda ticari, gönüllü eğitimlerin düzenlenmesi ve siber güvenlik farkındalığını arttırıcı gönüllü faaliyetleri yürütülmesinden sorumludur. Bilgi Güvenliği AKADEMİSİ markasıyla bugüne kadar “Siber Güvenlik Kampları”, “Siber Güvenlik Staj Okulu”, “Siber Güvenlik Ar- Ge Destek Bursu”, “Ethical Hacking yarışmaları” ve “Siber Güvenlik Kütüphanesi” gibi birçok gönüllü faaliyetin destekleyici olmuştur.

×