Saturday, December 14, 2019

TUBITAK Zararlı Yazılım Analizi Platformu


TÜBİTAK BİLGEM Siber Güvenlik Enstitüsü zararlı yazılım analizi platformunu duyurdu.



"Cuckoo kurmuşlar ya bişi diil" tarzı küçümsemeler yapanlar olacaktır elbette ama bunu genel şuursuzluklarına veriyorum. Kendine "DDoS uzmanı" diyenlerin "sunucunun fişini çekin" önerisinde bulunduğu ve "uzman" arkadaşların "eniştemin görücesinin Erzurumlu bir bacanağı var. Onun da çalıştığı yerde dahi heykır bir çocuk varmış. Heykır çocuk diyesiymiş ki yakında Türkiye'nin önemli kurumlarına çok büyük saldırı olacakmış." türü kıllandırmalarının olduğu bir ortamda bu tür gereksiz yorumları duymamayı çabuk öğrenip işin özüne odaklanmanın bir yolunu bulmanız gerekiyor. Aksi takdirde önemli adımları kaçırabilirsiniz.

Bence TÜBİTAK'ın Cuckoo kurması önemli bir adım. Her şeyden önce Türkiye'de zararlı yazılım faaliyetlerinin şimdiye kadar olmadığı kadar yakından takip edilmesine imkan sağlayacaktır. Buraya zararlı yazılım numuneleri yüklendikçe trendler ve istatistikler da gelişecek. Platformun aktif olarak kullanıldığını ve ilgi gördüğünü varsayarsak, bundan bir kaç yıl sonra "Salı öğleden sonraları Türkiye'deki kamu kurumlarının en çok fidye yazılım saldırısına maruz kaldıkları zamandır" gibi çok faydalı istatistikler de gelişecektir.
Bu projede çalışan herkese teşekkür ederim.

Platformu nasıl kullanıyoruz? 
https://zar.sge.gov.tr adresini ziyaret ettiğimizde bizi aşağıdaki ekran karşılıyor;



 Deneme amaçlı bir Wannacry fidye yazılım örneği yükledim.



Analiz biraz zaman aldığı için daha önce yüklenmiş başka bir zararlı yazılım örneğinin sonuç raporuna bakacağız. Yüklenen zararlı yazılım örneklerini "Uploaded Samples" sekmesinden "Analysis Report" olarak ilgili örneğin karşısında bulabilirsiniz.

Şüpheli dosyaları yükledikten sonra analiz raporunda bazı noktalara bakmakta fayda var.

Öncelikle raporun "İmzalar" başlığı bizim için önemli. İncelediğim örnekte (https://zar.sge.gov.tr/UploadedSamples/RaporGoster?cuckooTaskId=4390) aşağıdaki imzalar görünüyor;
Bunlar;
  • Yüklenen dosyanın Virustotal üzerinde birden fazla antivirüs tarafından zararlı olarak tanımlanması. 
  • Uygulamanın içerisinde şifreli veya sıkıştırılmış veri bulunması
  • İnternet tarayıcısından bilgi çalması
  • Windows başlatıldığında çalışacak biçimde kurulması.
"Statik Analiz" ve "Davranış Özeti" kısımları ise bize zararlı yazılımın davranışları hakkında bilgi verirken aynı zamanda bu zararlı yazılımı başka sistemler üzerinde tespit etmemizi sağlayacak önemli ipuçları veriyor. 

Zararlı yazılım analizi konusunda işinize yarayabilecek bazı araçları ele aldığım bir sunumu https://www.slideshare.net/AlperBasaran/zararl-yazlm-analizi-zet adresinden indirebilirsiniz. 
Virustotal'in tek başına kullanımı konusunda https://sibersavascephesi.com/mac-virusu-ve-virustotal-kullanimi/ adresindeki yazının faydası olacaktır. 

Kolay kullanılan, amaca hizmet eden bir uygulama gibi duruyor, devamının da aynı şekilde gelmesini dilerim. 


"Heykır" arkadaşlara ufak bir not:
Aşağıda görüldüğü gibi bazı XSS girişimleri olmuş. 

Sayfada giriş fonksiyonu olmadığı için XSS bulunsa bile ne işe yaracağını ben anlayamadım. Fikrinizi almak isterim gerçekten. Sonuçta aşağıdaki gibi bir şey olacak, XSS'in oturum çerezlerini çalmak için kullanılabileceğini biliyoruz ama, dediğim gibi sayfada giriş ekranı yok. Anlamadım gerçekten... Yardımcı olabilir misiniz?