1 / 14

Dinamik Analiz Araçlarının Modern Malware ile İmtihanı

Dinamik Analiz Araçlarının Modern Malware ile İmtihanı. Osman Pamuk, Yakup Korkmaz, Ömer Faruk Acar, Fatih Haltaş. Şubat 2012. İçerik. Amaç Otomatik Dinamik Analiz Araçlarının Kullanım Hedefleri S eçilen Otomatik Dinamik Analiz Araçları

adonis
Download Presentation

Dinamik Analiz Araçlarının Modern Malware ile İmtihanı

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Dinamik Analiz Araçlarının Modern Malware ile İmtihanı Osman Pamuk, Yakup Korkmaz, Ömer Faruk Acar, Fatih Haltaş Şubat 2012

  2. İçerik • Amaç • Otomatik Dinamik Analiz Araçlarının Kullanım Hedefleri • Seçilen Otomatik Dinamik Analiz Araçları • Otomatik Dinamik Analiz Araçlarının Genel Sorunları • Seçilen Malwareler • Genel Karşılaştırma • Modern Malwareleriİncelemede Zayıf Kalan Noktaları • Sadece belli fonksiyonların takibi • Çekirdek işlemlerinin izlenememesi • 64 bit atlatma ve bootkit özelliğinin izlenememesi • Sonuç

  3. Amaç • Hangi malware özellikleri otomatik dinamik araçlar sonucunda tespit edilebiliyor? • Hangileri edilemiyor? • Güncel malware örneklerinin dinamik analiz sonuçlarını nasıl yorumlamalıyız?

  4. Kullanım Hedefleri • Bir yazılımın kötü niyetli olup olmadığını anlamaya yardımcı olmak • Kötü niyetliyse daha önceden bilinen bir malwareailesine üye mi tespit etmeye yardımcı olmak • Yapılması muhtemel detaylı incelemelere yardımcı olmak

  5. Örnek Dinamik Analiz Araçları • Norman Sandbox • Anubis • GFI (CW) Sandbox • ComodoCamas • ThreatExpert • Xandora • Cuckoo • Minibis • Malbox

  6. Anti Analiz Yöntemleri • Analiz ortamının tespit edilmesi • Mantık Bombaları • Analiz Performansı

  7. Örnek Malwareler • DUQU • STUXNET • RUSTOCK • TDSS (TDL4, Olmarik) • ZeroAccess (Max++) • SPYEYE • ZEUS • VERTEXNET • NGRBOT

  8. Genel Karşılaştırma

  9. Zayıf Noktalar (1) Sadece belli işlemlerin takibi: • Dosya okuma yazma işlemleri • Registry okuma yazma işlemleri • Process oluşturma ve injection işlemleri • Modül yükleme işlemleri • Network işlemleri (kısıtlı)

  10. Zayıf Noktalar (2) Hak Yükseltme Yöntemlerinin takibi: • Stuxnet: MS10-073 (Win32k.sys), MS10-092 (TaskScheduler) • TDL4: MS10-092 (TaskScheduler)

  11. Zayıf Noktalar (3)

  12. Zayıf Noktalar (4) Çekirdek Alanında Gerçekleştirilen İşlemler: • Çekirdek sürücüleri • Stuxnet, DUQU, TDL4 (printProvider), RUSTOCK, ZeroAccess,…

  13. Zayıf Noktalar (5) 64 bit koruma atlatma ve bootkit: • Windows 7 ve 64bit desteğinin eksikliği • TDL4, IOCTL_SCSI_PASS_THROUGH_DIRECT ile direk sabit diskin sürücüne erişim • TDL4,restart desteğinin olmaması

  14. Sonuç Olarak • Otomatik dinamik analiz araçları faydalı araçlar • Eksiklikleri var ve bunun farkında olmak lazım • Yalnız birinden rapor almak mantıklı değil

More Related