yeni nesil zararlı yazılımlarla savaşta · 2013. 4. 28. · yeni nesil zararlı yazılımlar o...
TRANSCRIPT
Yeni Nesil Zararlı Yazılımlarla Savaşta Dinamik Analiz Cephesi
2012
Yakup Korkmaz
2
Ajanda
o Yeni Nesil Zararlı Yazılımlar o TDSS (TDL4, Olmarik) o Duqu-Stuxnet o SpyEye o Dinamik Analiz Hizmetleri/Araçları o Dinamik Analiz Sonuçları o Dinamik Analiz Sonuçlarının Yorumlanması o Sonuç
3
Yeni Nesil Zararlı Yazılımlar
o Zararlı yazılım = para
o İstismar (exploit) kit fiyatları: o Eleonore $2000, o Phonix $2200, o Blackhole $1500
o Uzun ömürlü zararlı yazılım daha pahalı...
o 0. gün açıklığı? o Tespit zorluğu? o Hızlı yayılma?
4
Yeni Nesil Zararlı Yazılımlar
Yeni nesil zararlı yazılımların özellikleri
o Polymorphism / metamorphism / self-modification o Gizleme (obfuscation) o Şifreleme / Çoklu şifreleme (oligomorphism) o Kendini denetim (self-checking) o Gizleme (stealth) teknikleri o Yetkili ve yetkisiz çalışma
5
Yeni Nesil Zararlı Yazılımlar
o Nasıl tespit ve analiz edilebilir?
o Geleneksel teknikler ?
o İmza tabanlı tanıma o Çok fazla imza (poly/metamorphic, self-modifying)
o Statik analiz o Çok yorucu (self-modifying) veya mümkün değil (self-
checking, obfuscation)
o Dinamik ve davranış tabanlı zararlı yazılım analizi gerekli !
6
TDSS (TDL4, Olmarik)
o Bootkit = Rootkit + Boot Özelliği o TDL4, ilk geniş ölçüde yayılan 64bit Windows’u hedefleyen
zararlı yazılım
7
TDSS (TDL4, Olmarik)
o Ne yapıyor? o HIPS atlatma o Yetki yükseltme, gerekli ise MS10-092 kullanarak o Rootkit sürücü yükleme o MBR’ı değiştirir o Gizli ve şifreli bir dosya sistemi oluşturma o Int 13h göndererek sistemi yeniden başlatma o Kernel sürücüsü yükleme
o BCD’yi (x64) değiştirerek, Patch Guard ve kernel-mode kod imzalamayı atlatma
8
TDSS (TDL4, Olmarik)
o Boot işlemi sonrası enfeksiyon
9
Duqu - Stuxnet
o Some interesting charachteristics:
o Connects to C&C server via the previously infected system o Has routines to bypass proxies o Does not copy itself unless instructed to do so by the C&C o Deletes itself after 30 days not to be detected
o Duqu: Uzak Erişim Truva Atı
o SCADA sistemleri ile ilgili kritik bilgi toplamak için dizayn edildiği düşünülmektedir
o Word’de MS11-087 0. gün açıklığını istismar eder
o Gerçek bir sertifika ile imzalanmış sürücü kullanır
10
Duqu - Stuxnet
Duqu’nun ilginç özellikleri
o C&C sunucusuna önceden bulaştığı sistem üzerinden bağlanır o Proxy atlatmak üzere işlemler kullanır o C&C tarafından emredilmedikçe kendisini kopyalamaz o 30 gün sonra kendisini siler o User-mode rootkit kabiliyeti
11
Duqu - Stuxnet
Stuxnet’in bazı özellikleri
o Özel olarak SCADA sistemlerine saldırmak üzere tasarlanmıştır
(genelde Siemens) o 4 adet 0. gün Windows açıklığı kullanır
o MS10-092 açıklığını istismar ederek yetki yükseltme o Yayılmak için MS10-046, MS10-061 ve MS08-067 açıklıklarını
istismar eder o Cihaz sürücüsü iki gerçek sertifika tarafından imzalanmıştır o User-mode and kernel-mode rootkit kabiliyeti
12
SpyEye
o SpyEye: Truva atı botneti
o Online bankacılık ve kredi kartı bilgilerini çalar o Çaldığı bilgileri C&C sunucusuna gönderir o Oluşturma kiti kullanarak kolayca oluşturulabilir o Ana rakibi Zeus zararlı yazılımı
o Bulaştığı sistemlerde Zeus’u silme özelliği («Kill Zeus»)
13
SpyEye
SpyEye’ın bazı özellikleri
o Özet (hash) kullanarak karmaşık sözcük gizleme tekniği o Karmaşık kod gizleme tekniği o Windows Defender’ı kapatma o Otomatik çalıştırma kütük anahtarı oluşturma o Bir çok kod enjeksiyonu o Parola korumalı PKZip arşivinde konfigürasyon dosyası
14
Dinamik Analiz Hizmetleri/Araçları
Dinamik analiz yöntemleri ve ortamları
o Kernel tabanlı yaklaşım o Kutu-dışı (out-of-the-box) yaklaşımı
o Sanallaştırma o Emülator o Fiziksel
o Analiz ortamının yeniden başlatılması o Ağ simülasyonu
15
Dinamik Analiz Hizmetleri/Araçları
o Norman Sandbox o Anubis o GFI (CW) Sandbox o Comodo Camas o ThreatExpert o Xandora o Cuckoo o Minibis o Malbox
16
Dinamik Analiz Sonuçları
T
D
L
4
D
U
Q
U
S
T
U
X
N
E
T
S
P
Y
E
Y
E
Anubis
33 0 42 2
GFI/CW Sandbox 15 0/30 19 18
Norman 0 0 0 0
Comodo Camas 13 0 0 25
17
Dinamik Analiz Sonuçlarının Yorumlanması
Sadece sınırlı sayıda işlem tespit edilebilmektedir
o Dosya yazma/okuma işlemleri
o Kütük anahtar/değer oluşturma/değiştirme işlemleri
o Process oluşturma ve enjeksiyon işlemleri
o Modül yükleme/kaldırma işlemleri
o Ağ hareketleri (sınırlı)
18
Dinamik Analiz Sonuçlarının Yorumlanması
Hak yükseltme işlemleri tespit edilememektedir
o Stuxnet: MS10-073 (Win32k.sys), MS10-092 (Task Scheduler)
o Duqu: MS10-087 (MS Word) o TDL4: MS10-092 (Task Scheduler)
19
Dinamik Analiz Sonuçlarının Yorumlanması
Kernel-mode işlemler tespit edilememektedir
o Kernel sürücüleri
o Stuxnet, DUQU, TDL4 (printProvider)
20
Dinamik Analiz Sonuçlarının Yorumlanması
64 bit and bootkit tespit desteği bulunmamaktadır
o Windows 7 and 64 bit destek eksikliği
o TDL4, disk sürücüsüne IOCTL_SCSI_PASS_THROUGH_DIRECT
kullanarak doğrudan erişim
o TDL4, yeniden başlatme desteği eksikliği
21
Sonuç
o Dinamik analiz hizmetleri/araçları yararlıdır
o Sınırlarının farkında olun
o Yalnız bir hizmet/araç kullanarak analiz etmek
mantıklı/yeterli değildir