Zararlı yazılım analizi yapıldıktan sonra sürecin sonuçlarını açıklayan rapor içerisinde hangi bilgilerin dahil edilmesi gerektiğine ilişkin bilgiler aşağıdaki şekilde özetlenebilir. Klasik bir zararlı yazılım analizi raporu aşağıdaki alanları kapsamaktadır.
Analizin Özeti:
Okuyucunun analiz edilen yazılımın doğası, bilinen başka bir zararlının farklı varyasyonu, yetenekleri ve diğer ilgili özellikleri hakkında bilgi edinmesi gereken temel çıkarımların olduğu bölümdür.
Kimlik (Identification):
Dosyanın adı, boyutu, türü, Hash bilgileri, kullanılan farklı isimleri (biliniyor ise), anti-virüs – sandbox algılama özelliklerini kapsar.
Zararlı yazılım analizi yapıldıktan sonra sürecin sonuçlarını açıklayan rapor içerisinde hangi bilgilerin dahil edilmesi gerektiğine ilişkin bilgiler aşağıdaki şekilde özetlenebilir. Klasik bir zararlı yazılım analizi raporu aşağıdaki alanları kapsamaktadır.
Karakteristik Bilgisi:
Dosyalara bulaşma yöntemleri, kendini koruma, yayma, veri sızdırma ve saldırgan ile etkileşim halinde olması vb. bilgilerin bulunduğu bölümdür.
Bağımlı olduğu durumlar:
İngilizce “Dependencies” olarak geçen zararlının bağlı olduğu durumların anlatıldığı bölümdür.
Desteklenen işletim sistemi sürümleri, özel DLL dosyaları, çalıştırılabilir dosyalar, URL bilgileri ve script gibi ilgili zararlının işlevselliği ile alakalı dosyalar ve ağ kaynakları örnek olarak verilebilir.
Davranışsal ve Kod Analizi Bulguları:
Zararlı yazılım analistinin davranışsal, statik ve dinamik kod analizi gözlemlerine genel bakışının anlatıldığı bölümdür.
Destekleyici Çıktılar:
Log, ekran görüntüleri, fonksiyon listesi ve analizi destekleyen diğer bilgiler
Olay Önerileri:
Zararlı yazılımın diğer sistemlerde ve/veya ağlarda tespit etmek için gerekli göstergeler (IOC Bilgileri)
Zararlı yazılım analizi tekrarlanabilir bir sürece tabii tutulmalıdır. Bunun yapılabilmesi için analist tarafından loglar kaydedilmeli, ekran görüntüleri alınmalı ve inceleme sırasında notlar alınmalıdır. Bu veriler, benzer yeteneklere sahip başka bir analistin eşdeğer sonuçlara ulaşmasını sağlayacak yeterli ayrıntıya sahip olacağı bir analiz raporu oluşturulmasına izin verecektir.
Tersine mühendislik ve zararlı yazılım analizi işlemleri sırasında gözlemleri takip etmenin en kullanışlı yolu zihin haritası (mind map) kullanılmasıdır. Böylelikle alınan notlar, bağlantılar, ekran görüntüleri kolay şekilde görülebilir, incelenebilir ve adreslenebilir.
Referans:
https://www.sans.org/blog/how-to-track-your-malware-analysis-findings/