Windows 7 Ortamında Zararlı Yazılım Analizi

[WINDOWS 7 ORTAMINDA ZARARLI YAZILIM ANALİZİ]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
WINDOWS 7 ORTAMINDA
ZARARLI YAZILIM ANALİZİ

- İstanbul Şehir Üniversitesi -
Bilgi GüvenliğiMühendisliği Yüksek Lisans
Programı BilgisayarAdli Analizi Dersi
NOT: Eğitmenlerimizden Huzeyfe Önal’ın İstanbul Şehir Üniversitesi
2016 bahar döneminde Yüksek Lisans Programı Adli Bilişim Dersi
öğrencileri tarafından hazırlanmıştır.
Hazırlayan: Hasan Ekşi
Tarih: 29.05.2016

Windows 7 Ortamında
Zararlı Yazılım Analizi
Giriş
SANS tarafından verilen “FOR610: Reverse Engineering of Malware” eğitimi zararlı yazılım
analizi için Windows XP ortamını kullanıyor (SANS Institute, 2013). Microsoft’a göre ise
Windows XP’nin desteği 4 yıldan beri yok ve uzatılmış destek (extended support) kullananlar
içinse Nisan 2014 itibariyle sonlanıyor olacak(Microsoft, 2013).
Güncellemelere erişmek ve yeterli güvenliği sağlamak için gerek kişisel gerekse kurumsal
kullanıcıların yeni versiyona geçmesi gerekicek. Zararlı yazılım uzmanları da kullanıcılar gibi
peyderpey yeni işletim sistemine geçmek durumunda kalacaklar. Kurumsal kullanıcılar artık
iyice oturmuş olan Windows 7 veya bunu yerine en son versioyn olan Windows 8’i
kullanabilirler.
Techrepublic.com’un yaptığı araştırmaya göre, şirketler yavaşça windows 7’ye geçerken, %85
lik büyük bir kısmı Windows 8’e geçme planı yok veya hiç bir planı yok (Tech Republic, 2013).
Bu değerlendirme de kullanılan test araçları Windows 7 x64 üzerinde denenip, çalışıyor olup
olmaıdğı veya çalışmıyorsa ne gibi modifikasyonlar yapılarak çalıştırılabileceği üzerinde
duracağız.
Test Ortamı
Test Aracının Dizaynı
Harmless_Malware.exe adında, zararlı yazılımların kullandığı Windows system API call ve
fonksiyonlarını kullanan, C++ dilinde yazılmış ve derlenmiş bir zararlı yazılmış. Appendix A da
bulunan kaynak koduna bakarak sizlerde aynı sonuçları üretebilir ve control edebilirsiniz.
Bu program aşağıdaki özelliklere sahiptir.
1. Çalıştırıldığı konumu belirler ve kendisini registry’deki “Run” anahtarına ekler. Bu
sayede system çalıştığında otomatik olarak başlar.
2. Standart bir EICAR antivirus test yazı dizisini avtest.txt adında bir dosyaya yazmaya
çalışır. Bu dropper dediğimiz davranışı test edecektir.
3. www.sans.org URL sine gitmeye çalışıp homepage’I getirmeye çalışacak.
Yukarıda saydığımız bu 3 madde ile dosya sistemi modifikasyonu, network komünikasyonu
ve devamlılık gibi her bir zararlı için önemli olan fonksiyonaliteler test edilmiş olacak.
Bu test programı MSDN online Windows API destek sayfalarından destek ile olulturulmuş
olup herkese açıktır.
X86 mimasirinde çalışan programlar hem x86 hem de x64 üzerinde çalışabildiği için zararlı
yazılım yazan kişilerce x86 tercih sebebi olacaktır çünki buy olla iki tür sisteme de hitap
edebilecektir. x64 üzerinde koşturulan x86 programları WoW64 sistemini kullanarak geri
uyumluluk sağlayabiliyor. (Microsoft - DevCenter (A), 2013).

Zararlı yazılım derlendikte sonra UPX packer kullanılarak bu zararlı yazılımın paketlenmiş
versiyonu olulturulmuştur. Bu sayede sadece paketlenmiş executable’lar üzerinde çalışan
test ve teknikleri kullanabiliyor olacağız.
Ve bu sayade aşağıdaki executable artık çalışmaya hazır.
Windows 7 x64 Ortamının Oluşturulması
Bu aşamada artık Windows 7 x64 ortamının hazırlanması için gerekli çalışmalara yapmaya
başlamış bulunuyoruz. Normalde bu tür işlemler için FOR610 eğitiminde VMware kullanılıyor
ve bu şekilde hızlıca geriye dönüp tekrar tekrar çalıştırabiliyoruz. Bu da test sırasında zaman
kazandırıyor. Ancak bu sefer VMware üstüne işletim sistemini yüklemeye çalışırken
aşağodaki hatayı aldım.
“ Bu sanal makina 64 bit işletim sistemleri için tasarlanmıştır. Ancak 64 bit operasyonu
mümkün değildir. Detaylı bilgi için http://vmware.com/info?id=152. 64 bit desteği olmadan
devam etmek istiyor musunuz?”

Devam etmeyi seçtiğiniz zaman da Windows 7 x64 yükleme işleminin bir noktasında
aşağıdaki uyarıyı verdi.
“Bilgi mesajı: 64 bit uygulaması yüklenmeye çalışııyor ancak bu cpu 64 bit uyuygulamaları
desteklemiyor”

Anlaşıldığı kadarıyla test ortamı olarak kullanmaya çalıştığımmakine ile ilgil bir problem ve
yükleme işleminin bir parçası olan winload.exe çalıştırılırken hata veriyor. VMware’den
aldığımyöntem ise yapılabilir görünmüyordu ve bu noktada ya başka bir makina üzerinde
VMware kurulumu yapıp onun üstüne testlerimizi gerçekleştirecektik. Yada gerçek makina
üzerine kuracaktık. VMware ile ilgili bir problem yaşamamak adına ikincisini seçip gerçek bir
makina üzerine Windows 7 yi kurduk
Özel zararlı yazılım testi
Zararlı yazılım analizi toolkit ten içerisinden seçtiğimiz ve FOR610 eğitiminde de kullanılalan
araçları kullandık. Bu araçların Windows 7 ile uymluluğuna ilişkin bilgileri aşağıda
bulabilirsiniz.
Tool Fonksiyonelite Karşılaşılansorunlar
BinText Tamamenfonsiyonel Yok
ProcessMonitor Tamamenfonsiyonel Yok
ProcessHacker Tamamenfonsiyonel Yok
Autoruns Tamamenfonsiyonel Yok
PEiD Tamamenfonsiyonel Yok
Capture BAT Yarım fonsiyonel Networktrafiği
Regshot Tamamenfonsiyonel Yok
Lord PE Fonsiyonelgörünüyor Muhtemel sıkıntılarmevcut
CHimpREC Testyapılamadı Yükleme ve fonksiyonelite
problemleri
Ollydbgv2 Fonsiyonelgörünüyor Yok
IDA Pro Fonsiyonelgörünüyor Yok
Not:
Fonksiyonel görünüyor yazmamızın sebebi gerekli ve yeterli tüm testleri yapamıyor
olmamızdan dolayı emin olamadığımızdan ve kod analizinin kendi özelinde karmaşık bir
yapısının olması sebebiyledir. Aşağıdaki detaylandırılmış analizde daha detaylı bilgi
bulacaksınız.
BinText – Tamamen fonksiyonel
(BinText, 2013)
Bu araç paketlnmemiş executable üzerinde çalıştı ve aşağıda gördüğünüz üzere çeşitli yazı
dizilerini ve static değişkenleri başarıyla görüntüledi. Bunlara örnek olarak aşağıdakiler
verilebilir:
- SOFTWAREMicrosoftWindowsCurrentVersionRun
- Bad_Entry
- avtest.txt
- Suspect File
- www.sans.org

Sonuçların daha da detayına inersek ekran alıntısında da görüldüğü üzere program
tarafından gerçekleştirilmiş API call larine görebiliriz. Program içinde kullanılmış API call’larını
başarıyla görüntiledi. Bu analizi en başında yapan birisi programın neler yapmak istediği
hakkında bir fikir sahibi olabilir.

Şimde de paketlenmiş executable üzerinde çalıştırıyoruz ve ekran alıntılarından da
gördüğümüz üzere paketlenmiş programın bazı fonksionlarının çalıştığına dair ipuçlarını elde
ediyoruz. Aslına bakarsak olması gerektiğinden daha da fazla API call olduğunu görüyoruz.
Bu sonuçlara bakacak olursak Bintext aracı beklenileni yerine getirmiş diyebiliriz.

Process Monitor – Tamamen fonksiyonel
(Process Monitor, 2013)
Process Monitor yapılan bütün windows API fonksiyonlarının call’larını loglar ve arayüzü
sayesinde bu loglar üzerinde filtreleme olanağı sağlar. Aşağıdaki ekran alıntısında da
görüleceği üzere CreateFile fonksiyonunu filtrelemesi sonucu çıkan sonuçları görebilirsiniz.
Arka planda milyonlarda call yapılıyor olabilir ancak biz burada sadece CreateFile call’uyla
ilgilendiğimizden arayğz üzerinden filtreleyerek istediğimiz çıktıyı alabilir ve kaydedebiliriz.
Buna ek olarak Process Monitor’un normalde gerçekleşmesi beklenen bütün call’larıda
başarılı bir şekilde yakaladığını söyleyebiliriz.
Process Hacker – Tamamen Fonksiyonel
(Process Hacker, 2013)
Process Hacker’I Windows’ta çoğumuzun yakından tanıdığı task manager’ın gelişmiş
versiyonu olarak düşünebiliriz. Process Hacker x86 ve x64 bit işlemleri başarıyla tanımlayıp
detayları beklenildiği şekilde sunmuştur.
Aşağıdaki ekran alıntısında da görüleceği üzere arka planda çalışan programımızı
görebiliyoruz. Buna ek olarak ilgili program ile ilgili detaylarıda gösterebiliyor. Ek olarak,
direct olarak bir programı sonlandırma fonksiyonu da başarı ile çalışmıştır.

Aşağıda network sekmesi altında programımızın www.sans.org’a yaptığı bağlantıyı
gösterdiğini görebiliyoruz.
Ek olarak, hafıza üzerinden dizileri başarıyla çekebildiğimizide testlerimizde görmüş olduk.

Autoruns – Tamamen fonksiyonel
(Autoruns, 2013)
Aşağıda gördüğümüz üzere, Autorun başlangıçta çalışması için eklediğimiz anahtarı başarıyla
gösteriyor. Bu yazılım üzerinden auto-run fonksiyonlarınıda çağırığ değişiklikler
yapabiliyoruz. Bu anahtar x86 programı tarafından eklendiği için, bu registry anahtarının
Wow6432Node u altına eklendiğini görebiliyoruz.

PEiD – Tamamen fonksiyonel
(PEiD, 2013)
Paketlenmiş executable PEiD programına yüklenmiş ve gerçekten tanımlayabiliyor mu diye
test edilmiştir. Aşağıda görüldüğü üzere başarıyla detayları vermis ve beklendiği şekilde
çalışmıştır.

Regshot – Tamamen Fonksiyonel
(Regshot, 2013)
Regshot kullanıcılara dosya sistemi ve registery nin bir resmini çekip, başka bir program
çalıştırıldıktan sonra ikinci bir resim çekip bu iki resim arasında ki farklılıkları görmesini sağlar.

Harmless_Malware.exe’yi çalıştırmadan önce ve sonrasını test ettiğimizde beklediğimiz gibi
sistemüzerindeki değişiklikleri yakaladığını gördük.
LordPE – Fonksiyonel Görünüyor
(LordPE, 2013)
LordPE çalışan uygulamaları hafıza üzerinden dump yapıp bu dump üzerindeki PE başlıklarını
değiştirmemize olanak sağlar. Aşağıda görüldüğü üzere LordPE düzgün bir şekilde uygulama
ve ilintili DLL leri listelemiş.
Çalışan process hafızadan bir dosyaya dump edilebilir ve bu dosyayı BinText ile
incelediğimizde paketlenmemiş versiyon ile olan benzerlikler rahatça görülebilir.
Dump edilmiş process doğal olarak çalışmayacaktır, büyük ihtimal yanlış başlık bilgisine sahip
olduğu için. Başlık bilgisini kendimiz manuel olarakta düzeltebiliriz ancak dosyayı manuel
olarak düzeltemiyorsanız bu işimize yaramaz.LordPE’nin bozuk başlıkları düzeltme
noktasında bazı sıkıntılar mevcut.

Ollydbg – Fonksiyonel Görünüyor
(Ollydbg, 2013)
Executable dosyaların incelenmesinde kod işleyiş sırası, hardware, ve debug ayarları ile ilgili
bir çok problemle karşılaşıyorsunuz. Ollydbg’ın bazı önemli fonksiyonlarını yerine getirip
getiremediği noktasında da çeşitli testleri yaptık.
Bu testler Ollydbg v2 üzerinde yapıldı cünki v1 ile ilgili bir sürü hatayla karşılaşıldı.
Ollydbg v2 çalıştırıldı ve test programı yüklendi – Başarılı
Modüller arası call listesi yüklendi ve beklenen API lar göründü – Başarılı

Temel seviye testlerin başarıyla geçildiği görüldü. Kullanıcı başarıyla yükleme işlemi yapabildi,
durma noktası koyabildi ve kodun çeşitli bölgelerini analiz etme imkanı sunuldu.Ollydbg v2
ile uyumlu bir çok eklenti mevcut.
IDA Pro – Appears functional
(IDA Pro, 2013)
Ekran alıntısında da görüldüğü üzere Test executable IDA Pro’ya başarıyla yüklendi. Başarılı
bir ayrıştırma sonucu da registry anahtarları, test dosyası çıktısı ve beklenen API call’ları
analiz için gösteriyor.

IDA Pro oldukça kompleks bir program olduğundan dolayı daha fazla test yapılacak çok alan
olduğu söylenebilir.
Sonuç
Testlerden çıkardığımız sonuçlara göre x86 mimarisinde derlenen bir zararlı yazılımı
Windows 7 (x64) ortamındaki programların büyük çoğunluğu üzerinden başarıyla analiz
edebiliyoruz. Buda zararlı yazılımcıların bu şekilde davranarak olabildiğince fazla bilgisayara
erişebilmelerine imkan sağlıyor.
Özellikle davranış analizi yapan programların başarılı olduğu gözlemlenmiştir. Büyük ihtimal
ile zararlı bağımsız bir şikilde direkt olarak windows API üzerinden yaklaştıklarından dolayı.
Kod analizi Geriye mühendisliğin en karışık tarafı olduğundan doğal olarak verdiği çıktılar
tutmayabiliyor. Özllile PE başlıklarının düzeltilmesi aşamasında problemler ortaya çıkabiliyor.
Bütün bunlara rağmen Ollydbg v2 yi debugger olarak ve IDA Pro yu ise
ayrıştırıcı(disassembler) olarak kullandığımızda başarılı bir kod analizi yapmamız için bir
neden yok.
LordPE dışında hafızadan dump alabilmemize yardım edecek başka araçlar olsa da LordPE
işini iyi yapıyor diyebiliriz. Buna ek olarak Ollydbg v2 ye yükleyebileceğiniz bir eklenti ile bunu
da yapabilirsiniz.
Gerçekten başarılı ve kapsamlı bir analiz için gerekli olan araçlar ve bu araçlara bağlı olarak
çalıştırabildiğimiz fonksiyonlar Windows 7 x64 ortamında yeterli seviyede bulunduğunu
düşünüyoruz. Buna bağlı olarak başarılı bir analiz yapılabilir diyebiliriz.

References
SANS Institute (2013). FOR610: Reverse-Engineering Malware Analysis Tools and
Techniques - Laptop requirements.
Retrieved from: http://www.sans.org/course/reverse-engineering-malwaremalware-
analysis-tools-techniques#section_with_details_laptop_description
Microsoft (2013). Windows lifecycle fact sheet.
Retrieved from: http://windows.microsoft.com/en-US/windows/products/lifecycle
Tech Republic (2013). Latest poll results: What percentage of your enterprise is
running Windows XP?
Retrieved from: http://www.techrepublic.com/blog/windows-and-office/latestpoll-
results-what-percentage-of-your-enterprise-is-running-windows-xp/
EICAR (2003). EICAR anti-malware test file.
http://www.eicar.org/86-0-Intended-use.html
MSDN (2013). MSDN library.
http://msdn.microsoft.com/library
Microsoft – Dev Center (A) (2013) – Running 32-bit applications.
http://msdn.microsoft.com/enus/library/windows/desktop/aa384249(v=vs.85).aspx
UPX (2013). Ultimate Packer for eXecutables.
Available from: http://upx.sourceforge.net
BinText (2013). BinText - Finds Ascii, Unicode and Resource strings in a file.
Available from: http://www.mcafee.com/uk/downloads/free-tools/bintext.aspx
Process Monitor (2013). Windows sysinternals - Process Monitor.
Available from: http://technet.microsoft.com/en-gb/sysinternals/bb896645.aspx
Process Hacker (2013). Process Hacker - A free, powerful, multi-purpose tool that
helps you monitor system resources, debug software and detect malware.
Available from: http://processhacker.sourceforge.net/
Autoruns (2013). Autoruns for Windows.
Available from: http://technet.microsoft.com/en-gb/sysinternals/bb963902.aspx
PEiD (2013). [Official site no longer active - Available from various untrusted sources]
Capture BAT (2013). [No longer available from official site - Available from:
http://zeltser.com/reverse-malware/capturebat.html]
Microsoft – Dev Center (B) (2013). System Error Codes (1000 – 1299).
Retrieved from:
http://msdn.microsoft.com/enus/library/windows/desktop/ms681383(v=vs.85).aspx#ERROR
_DRIVER_BLOCKED

Regshot (2013). Regshot - open-source (LGPL) registry compare utility
Available from: http://sourceforge.net/projects/regshot/
LordPE (2013).
[Official site no longer active - Available from various untrusted sources]
CHimpREC (2013).
[Official site no longer active - Available from various untrusted sources]
Ollydbg (2013). OllyDbg is a 32-bit assembler level analyzing debugger for
Microsoft® Windows®
Available from: http://www.ollydbg.de/
IDA Pro (2013). IDA is the Interactive DisAssembler.
Available from: https://www.hex-rays.com
Appendix A –Harmless_Malware.exe Kaynak Kodu
COPYRIGHT NOTICE
This program is free software: you can redistribute it and/or modify
it under the terms of the GNU General Public License as published by
the Free Software Foundation, either version 3 of the License, or
(at your option) any later version.
This program is distributed in the hope that it will be useful,
but WITHOUT ANY WARRANTY; without even the implied warranty of
MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
GNU General Public License for more details.
You should have received a copy of the GNU General Public License
along with this program. If not, see <http://www.gnu.org/licenses/>.
PROGRAM SOURCE – Harmless_Malware.cpp
#include "stdafx.h"
int _tmain(int argc, _TCHAR* argv[])
{
/* Test Sequence: REGISTRY WRITE
***************************************
1. Identify the path to the executable
2. Add a registry key for an autorun
***************************************/
TCHAR current_filepath[MAX_PATH];
HKEY registry_key;
GetModuleFileName(NULL, current_filepath, MAX_PATH);
RegOpenKey(HKEY_LOCAL_MACHINE,
TEXT("SOFTWAREMicrosoftWindowsCurrentVersionRun"),
&registry_key);
RegSetKeyValue(registry_key, 0, TEXT("Bad_Entry"), REG_SZ,
current_filepath, sizeof(current_filepath));

RegCloseKey(registry_key);
/* Test Sequence: FILE WRITE
***************************************
1. Set a variable to the EICAR test string
2. Open & write to the file (avtest.txt)
***************************************/
HANDLE output_file;
DWORD bytes_written = 0;
char data_to_dump[] = "X5O!P%@AP[4PZX54(P^)7CC)7}$EICARSTANDARD-
ANTIVIRUS-TEST-FILE!$H+H*";
output_file = CreateFile(TEXT("avtest.txt"), GENERIC_WRITE, 0, NULL,
CREATE_NEW, FILE_ATTRIBUTE_NORMAL, NULL);
WriteFile(output_file, data_to_dump, strlen(data_to_dump),
&bytes_written, NULL);
CloseHandle(output_file);
/* Test Sequence: INTERNET CONNECTION
***************************************
1. Open internet connection to www.sans.org
2. Request the main page
Note: We are not interpreting the response
***************************************/
HINTERNET internet_session = InternetOpen(TEXT("Suspect File"),
INTERNET_OPEN_TYPE_PRECONFIG, NULL, NULL, 0);
HINTERNET internet_connection = InternetConnect(internet_session,
TEXT("www.sans.org"), INTERNET_DEFAULT_HTTP_PORT, NULL, NULL,
INTERNET_SERVICE_HTTP, 0, 1);
HINTERNET internet_request = HttpOpenRequest(internet_connection, NULL,
TEXT("/"), NULL, NULL, NULL, 0, 0);
HttpSendRequest(internet_request, NULL, 0, NULL, 0);
/* Test Sequence: 10 MINUTE SLEEP
***************************************
1. Sleep for 10 mins allowing time to attach
***************************************/
Sleep(600000);
return 0;
}

BGA Bilgi Güvenliği A.Ş. Hakkında
BGA Bilgi Güvenliği A.Ş. 2008 yılından bu yana siber güvenlik alanında faaliyet göstermektedir.
Ülkemizdeki bilgi güvenliği sektörüne profesyonel anlamda destek olmak amacı ile kurulan BGA Bilgi
Güvenliği,stratejik siber güvenlikdanışmanlığı ve güvenlik eğitimleri konularında kurumlara hizmet
vermektedir.
Uluslararası geçerliliğe sahip sertifikalı 50 kişilikteknik ekibi ile,faaliyetlerini Ankara ve İstanbul ve
USA’da sürdüren BGA Bilgi Güvenliği’ninilgi alanlarını “Sızma Testleri, Güvenlik Denetimi, SOME, SOC
Danışmanlığı, Açık Kaynak Siber Güvenlik Çözümleri, Büyük Veri Güvenlik Analizi ve Yeni Nesil
Güvenlik Çözümleri”oluşturmaktadır.
Gerçekleştirdiği başarılı danışmanlık projeleri ve eğitimlerle sektörde saygın bir yer edinen BGA Bilgi
Güvenliği, kurulduğu günden bugüne alanında lider finans, enerji, telekom ve kamu kuruluşlarına
1.000'den fazlaeğitimve danışmanlıkprojelerigerçekleştirmiştir.
BGA Bilgi Güvenliği, kurulduğu 2008 yılından beri ülkemizde bilgi güvenliği konusundaki bilgi ve
paylaşımlarınartmasıamacı ile güvenlike-postalisteleri oluşturulması,seminerler,güvenliketkinlikleri
düzenlenmesi, üniversite öğrencilerine kariyer ve bilgi sağlamak için siber güvenlik kampları
düzenlenmesi ve sosyal sorumlulukprojeleri gibi birçokkonudagönüllüfaaliyetlerde bulunmuştur.
BGA Bilgi Güvenliği AKADEMİSİ Hakkında
BGA Bilgi Güvenliği A.Ş.’nin eğitim ve sosyal sorumluluk markası olarak çalışan Bilgi Güvenliği
AKADEMİSİ, siber güvenlik konusunda ticari, gönüllü eğitimlerin düzenlenmesi ve siber güvenlik
farkındalığını arttırıcı gönüllü faaliyetleri yürütülmesinden sorumludur. Bilgi Güvenliği AKADEMİSİ
markasıyla bugüne kadar “Siber Güvenlik Kampları”, “Siber Güvenlik Staj Okulu”, “Siber Güvenlik Ar-
Ge DestekBursu” , ”Ethical Hacking yarışmaları” ve “SiberGüvenlikKütüphanesi” gibi birçok gönüllü
faaliyetindestekleyici olmuştur.

Windows 7 Ortamında Zararlı Yazılım Analizi

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Destacado

Destacado (17)

Similar a Windows 7 Ortamında Zararlı Yazılım Analizi

Similar a Windows 7 Ortamında Zararlı Yazılım Analizi (20)

Más de BGA Cyber Security

Más de BGA Cyber Security (20)

Windows 7 Ortamında Zararlı Yazılım Analizi