Dinamik Kötü Amaçlı Yazılım Analizi (veya davranış analizi), kötü amaçlı yazılımların gerçek zamanlı olarak nasıl çalıştığını, sistemle nasıl etkileşime geçtiğini ve ne tür değişiklikler yaptığını anlamak için kullanılır. Bu yöntem, kötü amaçlı yazılımın sistemdeki etkilerini detaylı bir şekilde izleyip belgelemeye olanak tanır.
Dinamik Analizin Temel Adımları ve Araçlar
Sistem Temellendirme (Baseline)
Tanım: Kötü amaçlı yazılım analizinin başlamadan önce bir sistemin mevcut durumunu kaydetme sürecidir. Bu, analiz sonrası değişiklikleri belirlemek için karşılaştırma sağlar.
Adımlar:
Sistem Anlık Görüntüsü: Dosya sistemi, kayıt defteri, açık portlar ve ağ etkinliğinin anlık görüntülerini alın.
Temellendirme Araçları: Process Explorer, Autoruns, Wireshark, Netstat, Sysinternals Suite gibi araçlar kullanarak sistemin mevcut durumunu belirleyin.
Ana Bilgisayar Bütünlüğü İzleme
Tanım: Sistem üzerinde kötü amaçlı yazılımın eylemlerinden sonra yapılan değişiklikleri izleme sürecidir.
Adımlar:
Liman İzleme: Netstat ve TCPView gibi araçlarla açık portları ve dinleyen uygulamaları izleyin.
Süreç İzleme: Process Explorer veya Task Manager kullanarak çalışan süreçleri ve uygulamaları gözlemleyin.
Kayıt İzleme: Regedit ve Autoruns kullanarak kayıt defterindeki değişiklikleri izleyin.
Windows Servislerinin İzlenmesi: Services.msc ve Process Explorer ile servislerde yapılan değişiklikleri takip edin.
Başlangıç Programı İzleme: Autoruns ile başlangıçta yüklenen uygulamaları kontrol edin.
Olay Günlüklerinin İzlenmesi ve Analizi: Event Viewer ile sistem, güvenlik ve uygulama günlüklerini analiz edin.
Kurulum İzleme: Kurulum dosyaları ve değişiklikleri Sysinternals Suite araçlarıyla izleyin.
Dosya ve Klasör İzleme: File Monitor veya benzeri araçlarla dosya ve klasör değişikliklerini takip edin.
Aygıt Sürücüsü İzleme: Device Manager ve DriverView ile sürücü değişikliklerini izleyin.
Ağ Trafiğinin İzlenmesi ve Analizi: Wireshark veya tcpdump ile ağ trafiğini izleyin.
DNS İzleme ve Çözümleme: Wireshark veya dnsdumpster ile DNS sorgularını ve çözümlerini analiz edin.
API Çağrılarının İzlenmesi: API Monitor veya Detours gibi araçlarla API çağrılarını izleyin.
Sanal Ortam ve Analiz Araçları
Sanal Ortam: Kötü amaçlı yazılımı izole bir ortamda çalıştırarak sistemin etkilenmesini engelleyin. Bu, analiz sırasında makinenizin güvenliğini sağlar.
Araçlar:
Sandbox: Kötü amaçlı yazılımın çalışma sırasında nasıl davrandığını gözlemlemek için kullanılır. Örneğin, Cuckoo Sandbox veya Any.Run.
Güvenlik Araçları: Kötü amaçlı yazılımın etkilerini takip etmek için kullanılır. Örneğin, Process Monitor, Procmon, Sysinternals Suite.
Analiz Sonuçlarını İnceleme
Gözlemler: Kötü amaçlı yazılımın oluşturduğu dosyalar, klasörler, erişilen URL’ler, başlatılan indirmeler ve diğer etkinlikler hakkında ayrıntılı gözlemler yapın.
Raporlama: Elde edilen verileri toplayın ve analiz edin. Kötü amaçlı yazılımın etkilerini ve potansiyel tehditleri belgeleyin. Bu bilgileri bir rapor halinde düzenleyin.
Örnek Senaryo:
Bir kötü amaçlı yazılım yürütülebilir dosyasını analiz etmek için aşağıdaki adımları izleyebilirsiniz:
Temellendirme: Kötü amaçlı yazılımı çalıştırmadan önce sistemin mevcut durumunu Sysinternals Suite araçlarıyla kaydedin.
Kötü Amaçlı Yazılımın Çalıştırılması: Kötü amaçlı yazılımı izole bir sanal ortamda çalıştırın.
Gözlem ve İzleme: Kötü amaçlı yazılımın oluşturduğu dosyalar, açtığı bağlantılar ve eriştiği URL'ler hakkında bilgi toplayın.
Değişikliklerin Analizi: Kötü amaçlı yazılımın sistem üzerinde yaptığı değişiklikleri ve etkilerini analiz edin.
Raporlama: Analiz sonuçlarını derleyin ve etkili bir rapor oluşturun.
Dinamik analiz, kötü amaçlı yazılımın gerçek zamanlı olarak nasıl davrandığını anlamak ve etkilerini değerlendirmek için kritik bir adımdır. Bu süreç, kötü amaçlı yazılımların sistemdeki potansiyel etkilerini ve yayılma tekniklerini anlamanıza yardımcı olur.