Dinamik Malware Analizi

Dinamik Malware Analizi

Dinamik Analizde zararlı yazılımı çalıştırmak riskli olduğundan bu yöntem izole bir ortamda gerçekleştirilmelidir. Bu analiz yönteminde dosyanın davranışları ve sistemde etki ettiği yerler incelenebilir (memory , regisrty , file system , cpu intsructions..)

Dinamik Analiz Teknikleri

Zararlı yazılım sisteminize bulaşacağından çalıştırmadan önce makinenizin snapshot’ını almayı unutmayınız.

Process Monitor aracındaki filtre kısmından ‘LAB1.exe’ yi sadece onun işlemlerini görebilmek için filtreleyelim.

‘WriteFile’ ve ‘RegSetValue’ ifadelerinide filtreleyelim.

Bu ifadeler genellikle zararlı yazılımların dosyayı diske yazmak veya kayıt defterinde değişiklikler yapmak için çağırdığı değerlerdir.

Burada Temp klasörünün altına ‘rnsetup0.exe’ oluşturduğunu görüyoruz. İnternet üzerinden otomatik indirme başlatıp sisteme farklı zararlı dosyalar yüklüyor ve farklı ip lerle iletişim kuruyor olabilir.

HKEY_CURRENT_USER\Software \Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\”UNCAsIntranet” = “01000000”

HKCU\Software\Microsoft\Windows\CurrentVersion \Internet Settings\ZoneMap\”AutoDetect” = “1”

İnternet güvenlik ayarlarını azaltmak için kayıt defterindeki bilgileri değiştirir.

Process Explorer ile analiz ettiğimizde ‘LAB1.exe’ nin altında ‘rnsetup0.exe’ nin çalıştığını görüyoruz.

Daha sonra zararlı yazılım gerektiğinde güncelleme almak için ‘rnupdate0.exe’ adında process oluşturuyor. ‘rnsetup1.exe’ ile farklı bir dosyayı sisteme yüklüyor.

Zararlı çalışmaya devam ettiğinde ‘rpsystray.exe’ , ‘downloader2.exe’ , ‘realdownloader264.exe’ ve ‘realsched.exe’ adında dört process oluşuyor.

Sağ tuşa tıklayıp Properties dediğimizde process ile ilgili detaylı bilgileri burada görebiliriz.

Zararlı yazılımlardaki string ifadeler okunabildiklerinde zararlının hakkında bilgi verebilirler.

‘realsched.exe’ RealNetworks Scheduler olarak bilinen işlem RealPlayer , RealNetworks’e aittir. ‘realsched.exe’ C:\Program Files klasöründe ya da kullanıcının Documents klasörünün bir alt klasöründe bulunur. Burada kullanıcının profil klasörünün altında yani C:\Users\user\AppData\Local\Temp klasöründe bulunuyor. Bazı zararlı yazılımlar ‘realsched.exe’ dosya adını kullanır. Bu şekilde sisteme bulaşabilirler.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir