Otomatik analiz sistemlerini atlatma ve alınabilecek olası önlemler

Abstract

Her geçen gün artan zararlı yazılım türü ve sayısı ile etkin bir mücadele için otomatik analiz sistemlerinin kullanımı büyük önem arz etmektedir. Otomatik analiz sistemleri ile şüpheli dosyalar güvenli ve kontrollü bir ortamdan çalıştırılarak zararlı yazılım olup olmadıkları ve eğer zararlı yazılım iseler ne tür özelliklere sahip oldukları gibi bilgilere hızlıca erişile bilinmektedir. Diğer taraftan zararlı yazılım yazarları da hazırladıkları uygulamaların, daha çok sisteme bulaşma ve bulaştığı sistemde daha uzun süre kalabilme adına otomatik analiz sistemleri tarafından tespit ve analiz edilebilme riskini azaltmaya çalışmaktadırlar. Bunun için zararlı yazılım yazarları, çeşitli otomatik analiz sistemi tespiti yöntemleri kullanmakta ve hazırladıkları zararlı yazılım eğer bu tür bir sistemde çalışıyor ise normalden farklı davranış sergileyerek analiz sistemini aldatmaya ve atlatmaya çalışmaktadırlar. Bu sebeple, zararlı yazılımlar ile mücadele de önemli bir rolü olan otomatik analiz sistemlerini etkisiz hale getiren ve devamlı olarak güncellenen otomatik analiz sistemi tespit yöntemlerine karşı yeni çözüm yöntemlerinin geliştirilmesi gerekmektedir. Bu ihtiyaç doğrultusunda da, bu çalışmamızda, otomatik analiz sistemi tespit yöntemleri ile mücadele yöntemleri araştırılmıştır. Bu bağlamda, otomatik analizsistemitespitetmeyöntemleriaraştırılmışvebuyöntemlerinkullanımıherkeseaçık otomatik analiz sistemlerinde test edilerek, otomatik analiz sistemlerinin bu yöntemlere karşı yeterli düzeyde önlem almadığı tespit edilmiştir. Otomatik analiz sistemlerini tespit etme yöntemlerini engellemek için mevcut teknikler incelenmiş ve bunlara ilaveten yeni teknikler geliştirilmiştir. Bu tekniklerinin kullanılarak yapılan testlerde, otomatik analiz sistemi sonuçlarının önemli ölçüde iyileştirilebildiği ispatlanmıştır.Yazarlık Beyanı ii Öz iii Teşekkür iv Şekil Listesi vii Tablo Listesi viii Kısaltmalar ix 1 Giriş 1 2 Zararlı Yazılım 4 2.1 Zararlı Yazılım Nedir? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 2.2 Zararlı Yazılım Çeşitleri . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2.2.1 Virus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2.2.2 Solucan (Conficker) . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2.2.3 Truva Ati (Trojan) . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 2.2.4 Reklam Zararlı Yazılımı (Adware) . . . . . . . . . . . . . . . . . . 6 2.2.5 Bot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 2.2.6 Fidyeci (Ransomware) . . . . . . . . . . . . . . . . . . . . . . . . . 6 2.2.7 Arka Kapı (Backdoor) . . . . . . . . . . . . . . . . . . . . . . . . . 7 2.2.8 Tarayıcı Gaspçısı (Browser Hijacker) . . . . . . . . . . . . . . . . . 7 2.2.9 Rootkit (Kok Kullanici) . . . . . . . . . . . . . . . . . . . . . . . . 7 2.2.10 Tus Kaydedici (Keylogger) . . . . . . . . . . . . . . . . . . . . . . . 7 2.2.11 Casus Yazilim (Spyware) . . . . . . . . . . . . . . . . . . . . . . . . 7 2.3 Zararlı Yazılım Analizi . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 2.3.1 Statik Analiz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 2.3.2 Dinamik Analiz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 3 Kum Havuzu 10 3.1 Kum Havuzu Yöntemleri . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 3.1.1 Kullanıcı Modu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 3.1.2 Çekirdek Modu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 3.1.3 Tam Sistem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 3.2 Kum Havuzu Nasıl Çalışır? . . . . . . . . . . . . . . . . . . . . . . . . . . 12 3.3 Kum Havuzu Çeşitleri . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133.3.1 Cuckoo Sandbox . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 3.3.2 Anubis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 3.3.3 Comodo Otomatik Analiz Sistemi . . . . . . . . . . . . . . . . . . . 14 3.3.4 Threat Expert . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 3.3.5 Payload Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 4 Kum Havuzu Tespit Yöntemleri 16 4.1 Sanallaştırma ve Emülasyon Ortamlarının Tespiti . . . . . . . . . . . . . . 17 4.1.1 Virtualbox . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 4.1.2 Vmware Workstation . . . . . . . . . . . . . . . . . . . . . . . . . . 19 4.1.3 Qemu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 4.1.4 İşlemci Kontrolü . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 4.1.5 Disk Kontrolü . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 4.2 Kum Havuzu Modüllerinin Tespiti . . . . . . . . . . . . . . . . . . . . . . 22 4.2.1 Kancalanan Windows API Fonksiyonları . . . . . . . . . . . . . . . 22 4.2.2 DLL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 4.3 Kum Havuzu İzleri . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 4.3.1 Özel Dosyalar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 4.3.2 ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 4.3.3 Çalışma Zamanı . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 4.3.4 Port Numarası . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 4.3.5 Kullanıcı Kontrolü . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 5 Kum Havuzu Tespit Araçları 29 5.1 Pafish . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 5.2 Sems Tespit Aracı . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 5.3 Sems Tespit Aracı ile Gerçekleştirilen Kum Havuzu Tespit Testleri . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 6 Kum Havuzu Tespit Yöntemlerini Aşma Teknikleri 37 6.1 Sanal Makine İzlerinin Kaldırılması . . . . . . . . . . . . . . . . . . . . . . 37 6.2 İnternet ve Port Kontrolü . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 6.3 DLL Dosyalarının Gizlenmesi . . . . . . . . . . . . . . . . . . . . . . . . . 40 6.3.1 DLL Referans Sayısı . . . . . . . . . . . . . . . . . . . . . . . . . . 40 6.3.2 Modülleri Saklamak . . . . . . . . . . . . . . . . . . . . . . . . . . 41 6.3.3 Farklı DLL Adları . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 6.4 Fiziksel Kısımların Gizlenmesi . . . . . . . . . . . . . . . . . . . . . . . . 42 6.5 Çalışma Zamanı Yönteminin Atlatılması . . . . . . . . . . . . . . . . . . 43 7 Sanallaştırma Ortamı Tespitlerini Atlatma Tekniklerinin Testi 44 7.1 Test Ortamı . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 7.2 Test Edilen Örnekler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 7.3 Test Değerlendirme Kriterleri . . . . . . . . . . . . . . . . . . . . . . . . . 45 7.4 Test Sonuçları . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 8 Sonuç 48 8.1 Sonuç . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 8.2 Neler Yapılabilir? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5