Dinamik Analiz Araçlarının Modern Malware ile İmtihanı

Report
Dinamik Analiz Araçlarının Modern
Malware ile İmtihanı
Osman Pamuk, Yakup Korkmaz, Ömer
Faruk Acar, Fatih Haltaş
Şubat 2012
İçerik
o
o
o
o
o
o
o
Amaç
Otomatik Dinamik Analiz Araçlarının Kullanım Hedefleri
Seçilen Otomatik Dinamik Analiz Araçları
Otomatik Dinamik Analiz Araçlarının Genel Sorunları
Seçilen Malwareler
Genel Karşılaştırma
Modern Malwareleri İncelemede Zayıf Kalan Noktaları
o Sadece belli fonksiyonların takibi
o Çekirdek işlemlerinin izlenememesi
o 64 bit atlatma ve bootkit özelliğinin izlenememesi
o Sonuç
2
Amaç
o Hangi malware özellikleri otomatik dinamik araçlar
sonucunda tespit edilebiliyor?
o Hangileri edilemiyor?
o Güncel malware örneklerinin dinamik analiz
sonuçlarını nasıl yorumlamalıyız?
3
Kullanım Hedefleri
o Bir yazılımın kötü niyetli olup olmadığını anlamaya
yardımcı olmak
o Kötü niyetliyse daha önceden bilinen bir malware
ailesine üye mi tespit etmeye yardımcı olmak
o Yapılması muhtemel detaylı incelemelere yardımcı
olmak
4
Örnek Dinamik Analiz Araçları
o
o
o
o
o
o
o
o
o
Norman Sandbox
Anubis
GFI (CW) Sandbox
Comodo Camas
ThreatExpert
Xandora
Cuckoo
Minibis
Malbox
5
Anti Analiz Yöntemleri
o Analiz ortamının tespit edilmesi
o Mantık Bombaları
o Analiz Performansı
8
Örnek Malwareler
o
o
o
o
o
o
o
o
o
DUQU
STUXNET
RUSTOCK
TDSS (TDL4, Olmarik)
ZeroAccess (Max++)
SPYEYE
ZEUS
VERTEXNET
NGRBOT
9
Genel Karşılaştırma
T
D
L
4
Z
E
R
O
A
C
C
E
S
S
Z
E
U
S
2
33
39
41
3
18
15
16
16
0
2
0
0
0
0
0
13
25
13
4
30
S
T
U
X
N
E
T
V
E
R
T
E
X
N
E
T
N
G
R
B
O
T
R
U
S
T
O
C
K
0
42
34
25
25
GFI/CW Sandbox
0/30
19
12
17
Norman SandBox
0
0
0
Comodo Camas
0
0
16
D
U
Q
U
Anubis
S
P
Y
E
Y
E
10
Zayıf Noktalar (1)
Sadece belli işlemlerin takibi:
o Dosya okuma yazma işlemleri
o Registry okuma yazma işlemleri
o Process oluşturma ve injection işlemleri
o Modül yükleme işlemleri
o Network işlemleri (kısıtlı)
11
Zayıf Noktalar (2)
Hak Yükseltme Yöntemlerinin takibi:
o Stuxnet: MS10-073 (Win32k.sys), MS10-092 (Task Scheduler)
o TDL4: MS10-092 (Task Scheduler)
12
Zayıf Noktalar (3)
13
Zayıf Noktalar (4)
Çekirdek Alanında Gerçekleştirilen İşlemler:
o Çekirdek sürücüleri
o Stuxnet, DUQU, TDL4 (printProvider), RUSTOCK, ZeroAccess,…
14
Zayıf Noktalar (5)
64 bit koruma atlatma ve bootkit:
o Windows 7 ve 64bit desteğinin eksikliği
o TDL4, IOCTL_SCSI_PASS_THROUGH_DIRECT ile direk sabit diskin
sürücüne erişim
o TDL4, restart desteğinin olmaması
15
Sonuç Olarak
o Otomatik dinamik analiz araçları faydalı araçlar
o Eksiklikleri var ve bunun farkında olmak lazım
o Yalnız birinden rapor almak mantıklı değil
16

similar documents