6.7 C
İstanbul
13/12/2024
Image default
Zararlı Yazılım Analizleri

Zararlı Yazılım Analiz Raporu Hazırlık Aşaması

Zararlı yazılım analizi yapıldıktan sonra sürecin sonuçlarını açıklayan rapor içerisinde hangi bilgilerin dahil edilmesi gerektiğine ilişkin bilgiler aşağıdaki şekilde özetlenebilir. Klasik bir zararlı yazılım analizi raporu aşağıdaki alanları kapsamaktadır.

Analizin Özeti:

Okuyucunun analiz edilen yazılımın doğası, bilinen başka bir zararlının farklı varyasyonu, yetenekleri ve diğer ilgili özellikleri hakkında bilgi edinmesi gereken temel çıkarımların olduğu bölümdür.

Kimlik (Identification):

Dosyanın adı, boyutu, türü, Hash bilgileri, kullanılan farklı isimleri (biliniyor ise), anti-virüs – sandbox algılama özelliklerini kapsar.

Zararlı yazılım analizi yapıldıktan sonra sürecin sonuçlarını açıklayan rapor içerisinde hangi bilgilerin dahil edilmesi gerektiğine ilişkin bilgiler aşağıdaki şekilde özetlenebilir. Klasik bir zararlı yazılım analizi raporu aşağıdaki alanları kapsamaktadır.

Karakteristik Bilgisi:

Dosyalara bulaşma yöntemleri, kendini koruma, yayma, veri sızdırma ve saldırgan ile etkileşim halinde olması vb. bilgilerin bulunduğu bölümdür.

Bağımlı olduğu durumlar:

İngilizce “Dependencies” olarak geçen zararlının bağlı olduğu durumların anlatıldığı bölümdür.

Desteklenen işletim sistemi sürümleri, özel DLL dosyaları, çalıştırılabilir dosyalar, URL bilgileri ve script gibi ilgili zararlının işlevselliği ile alakalı dosyalar ve ağ kaynakları örnek olarak verilebilir.

Davranışsal ve Kod Analizi Bulguları:

Zararlı yazılım analistinin davranışsal, statik ve dinamik kod analizi gözlemlerine genel bakışının anlatıldığı bölümdür.

Destekleyici Çıktılar:

Log, ekran görüntüleri, fonksiyon listesi ve analizi destekleyen diğer bilgiler

Olay Önerileri:

Zararlı yazılımın diğer sistemlerde ve/veya ağlarda tespit etmek için gerekli göstergeler (IOC Bilgileri)

Zararlı yazılım analizi tekrarlanabilir bir sürece tabii tutulmalıdır. Bunun yapılabilmesi için analist tarafından loglar kaydedilmeli, ekran görüntüleri alınmalı ve inceleme sırasında notlar alınmalıdır. Bu veriler, benzer yeteneklere sahip başka bir analistin eşdeğer sonuçlara ulaşmasını sağlayacak yeterli ayrıntıya sahip olacağı bir analiz raporu oluşturulmasına izin verecektir.

Tersine mühendislik ve zararlı yazılım analizi işlemleri sırasında gözlemleri takip etmenin en kullanışlı yolu zihin haritası (mind map) kullanılmasıdır. Böylelikle alınan notlar, bağlantılar, ekran görüntüleri kolay şekilde görülebilir, incelenebilir ve adreslenebilir.

Referans:

https://www.sans.org/blog/how-to-track-your-malware-analysis-findings/

Related posts

SMAUG Fidye Yazılımı

Serdar H.

DeathStalker’dan PowerPepper

Mustafa Okay Maktav

TYCOON RANSOMWARE!

Mustafa Okay Maktav

Bu web sitesi, kullanıcı deneyimini iyileştirmek amacıyla çerezler kullanmaktadır. Kabul Et Daha Fazlası