Selamlar,
Bir süredir Sosyal'de gördüğüm "VirusTotal sonucu nedir?" tarzı paylaşımlar sonrasında, herkesin kendi başına belirli zararlıları tespit edebilmesi veya şüpheli dosyaların davranışlarını gözlemleyebilmesi amacıyla sıklıkla kullandığım ve son derece güvenilir olan 4 farklı bulut dosya tarama servisini ve bunların kullanımını anlatan bir rehber yazma gereği duydum. Belirtmekte fayda var, bu rehber güvenlik konusundaki en kapsamlı rehberlerden birisi olacak.
İçerikler:
- Sonuç
Rehberin sonuna geldik. Genel hatlarıyla olabilecek en basit düzeye inerek detaylı zararlı analizi için işimize yarayacak kaynakları listeledik, inceledik, kullanımlarına göz gezdirdik ve genel hatlarıyla hangi noktalara dikkat etmemiz gerektiğini işledik. Konuyla ilgili soruları makalenin altından sorabilirsiniz. Falcon Sandbox ile ilgili çok daha kapsamlı bir içerik hazırlayacağım, beklemede kalın.
Güvenli, sağlıklı günler dilerim...
- 𝐃𝐮𝐭𝐜𝐡𝐦𝐚𝐧
Bir süredir Sosyal'de gördüğüm "VirusTotal sonucu nedir?" tarzı paylaşımlar sonrasında, herkesin kendi başına belirli zararlıları tespit edebilmesi veya şüpheli dosyaların davranışlarını gözlemleyebilmesi amacıyla sıklıkla kullandığım ve son derece güvenilir olan 4 farklı bulut dosya tarama servisini ve bunların kullanımını anlatan bir rehber yazma gereği duydum. Belirtmekte fayda var, bu rehber güvenlik konusundaki en kapsamlı rehberlerden birisi olacak.
İçerikler:
- Bulut Tarama Servisi Nedir?
- Bulut Tarama Servisi Nasıl Çalışır?
- İnceleyeceğimiz Bulut Tarama Servisleri
- Kaspersky Threat Intelligence Portal
- Avantajları
- Kullanım - Analiz
- VirusTotal
- Avantajları
- Kullanım - Analiz
- MetaDefender Cloud
- Avantajları
- Kullanım - Analiz
- Hybrid Analysis (Falcon Sandbox)
- Avantajları
- Kullanım - Analiz
- Bulut Tarama Servisi Nedir?
Bulut tarama servisi, kullanıcıların genelde bir web arayüzü kullanarak eriştiği, kişisel sistemlerinden bağımsız olarak ilgili servise şüpheli dosyaları yükleyebildiği ve birçok farklı güncel AV motoru tarafından yapılan tarama sonuçlarına erişebildiği servislere verilen genel isimdir. Kullanıcılar bu servislere genelde bir web arayüzü kullanarak erişir, ancak geliştiriciler dilediği taktirde -eğer ilgili servisin geliştiriciler için böyle bir imkanı varsa- API kullanarak ilgili projelerinden zamanlanmış-otomatik atanmış taramalar gerçekleştirebilir.
Bu servislerin en önemli avantajı, kişisel bir bilgisayarın çok üstünde bir işlem gücüne sahip olmaları ve bu sayede aynı anda birçok farklı sezgisel taramayı ve sandbox modülünü çalıştırıp şüpheli dosyayı detaylı şekilde analiz edebilmeleridir.
Bulut tarama servisi, kullanıcıların genelde bir web arayüzü kullanarak eriştiği, kişisel sistemlerinden bağımsız olarak ilgili servise şüpheli dosyaları yükleyebildiği ve birçok farklı güncel AV motoru tarafından yapılan tarama sonuçlarına erişebildiği servislere verilen genel isimdir. Kullanıcılar bu servislere genelde bir web arayüzü kullanarak erişir, ancak geliştiriciler dilediği taktirde -eğer ilgili servisin geliştiriciler için böyle bir imkanı varsa- API kullanarak ilgili projelerinden zamanlanmış-otomatik atanmış taramalar gerçekleştirebilir.
Bu servislerin en önemli avantajı, kişisel bir bilgisayarın çok üstünde bir işlem gücüne sahip olmaları ve bu sayede aynı anda birçok farklı sezgisel taramayı ve sandbox modülünü çalıştırıp şüpheli dosyayı detaylı şekilde analiz edebilmeleridir.
- Bulut Tarama Servisi Nasıl Çalışır?
Farklı servislerin farklı çalışma yapıları olsa da, genel olarak bir bulut tarama servisinde kullanıcı arayüzü, sunucu isteğinin okunduğu arka modül ve sunucu taraflı AV motorları bulunur. Bu AV motorları, en güncel virüs veritabanlarına ilk olarak erişir. Bu sayede public report yani genel rapor oluşturulduğunda en güncel veriler kullanılır.
VirusTotal gibi birçok bulut tarama hizmetinde raporlama sistemi bulunmaktadır.
Bu raporlama sistemi, dosyanın tarama sonucu ne olursa olsun, davranışsal analiz verilerini toplar ve bu verileri AV firmalarına raporlar. Bu veriler ile birlikte, ilk etapta keşfedilemeyen birçok zararlı, davranış analizi sonucunda tespit edilir ve veritabanına eklenir.
Buna örnek olarak FUD (Full Undetected) Crypter'lar gösterilebilir. FUD Crypter dediğimiz araçlar, genelde zararlı kodlara sahip olan veya zararlı işlem potansiyeli barındıran yazılımları şifreleyerek, AV motorlarıyla yapılan ilk etkileşimde karmaşık kod yapısı sebebiyle sezgisel tarama dahil birçok tarama tipinde temiz sonuç alabilmektedir.
Bu araçlar tam anlamıyla istenilen yazılımı şifrelemekte, kaynak kodlarının okunmasını engellemekte-güçleştirmekte-dir. Ancak VirusTotal gibi rapor paylaşan servisler, dosyaları doğrudan davranış analizine sokarak veya ham halleriyle AV servislerine yollamaktadır.
Bu servislerin yaptığı davranış analizleri sonucunda da, yazılım ne kadar şifrelenmiş olursa olsun sonuç olarak zararlı bir işlem yürüttüğünden dolayı tespit edilmekte, ilgili FUD Crypter'ın algoritması çözülmekte ve veritabanına eklenmektedir.
Bulut tarama servisleri, "Information" yani "Bilgi" ile çalışır. Yani olabildiğince çok data, olabildiğince çok bilgi toplayarak raporlar hazırlar ve bunları AV firmalarıyla paylaşarak veritabanlarının geliştirilmesine önemli ölçüde katkı sağlar.
Farklı servislerin farklı çalışma yapıları olsa da, genel olarak bir bulut tarama servisinde kullanıcı arayüzü, sunucu isteğinin okunduğu arka modül ve sunucu taraflı AV motorları bulunur. Bu AV motorları, en güncel virüs veritabanlarına ilk olarak erişir. Bu sayede public report yani genel rapor oluşturulduğunda en güncel veriler kullanılır.
VirusTotal gibi birçok bulut tarama hizmetinde raporlama sistemi bulunmaktadır.
Bu raporlama sistemi, dosyanın tarama sonucu ne olursa olsun, davranışsal analiz verilerini toplar ve bu verileri AV firmalarına raporlar. Bu veriler ile birlikte, ilk etapta keşfedilemeyen birçok zararlı, davranış analizi sonucunda tespit edilir ve veritabanına eklenir.
Buna örnek olarak FUD (Full Undetected) Crypter'lar gösterilebilir. FUD Crypter dediğimiz araçlar, genelde zararlı kodlara sahip olan veya zararlı işlem potansiyeli barındıran yazılımları şifreleyerek, AV motorlarıyla yapılan ilk etkileşimde karmaşık kod yapısı sebebiyle sezgisel tarama dahil birçok tarama tipinde temiz sonuç alabilmektedir.
Bu araçlar tam anlamıyla istenilen yazılımı şifrelemekte, kaynak kodlarının okunmasını engellemekte-güçleştirmekte-dir. Ancak VirusTotal gibi rapor paylaşan servisler, dosyaları doğrudan davranış analizine sokarak veya ham halleriyle AV servislerine yollamaktadır.
Bu servislerin yaptığı davranış analizleri sonucunda da, yazılım ne kadar şifrelenmiş olursa olsun sonuç olarak zararlı bir işlem yürüttüğünden dolayı tespit edilmekte, ilgili FUD Crypter'ın algoritması çözülmekte ve veritabanına eklenmektedir.
Bulut tarama servisleri, "Information" yani "Bilgi" ile çalışır. Yani olabildiğince çok data, olabildiğince çok bilgi toplayarak raporlar hazırlar ve bunları AV firmalarıyla paylaşarak veritabanlarının geliştirilmesine önemli ölçüde katkı sağlar.
- İnceleyeceğimiz Bulut Tarama Servisleri
Bu dev rehberde, 4 farklı bulut tarama servisini genel hatlarıyla inceleyeceğiz. Bunlar;
-- Kaspersky Threat Intelligence Portal
-- VirusTotal
-- MetaDefender Cloud
-- Hybrid-Analysis Falcon Sandbox
Bu dev rehberde, 4 farklı bulut tarama servisini genel hatlarıyla inceleyeceğiz. Bunlar;
-- Kaspersky Threat Intelligence Portal
-- VirusTotal
-- MetaDefender Cloud
-- Hybrid-Analysis Falcon Sandbox
- Kaspersky Threat Intelligence Portal
Kaspersky Threat Intelligence Portal, tehdit istihbaratı sağlamak ve şüpheli dosyaların kullanım oranlarını analiz etmek için geliştirilmiş bir hizmettir. Kaspersky Security Network (KSN)'e bağlı cihazlardaki verilerin de kullanıldığı bu servis, Kaspersky veritabanlarını kullanarak şüpheli dosyaların taramasını gerçekleştirir, sezgisel analizlerini yapar ve dosyanın itibarını ölçer.
- Avantajları
Özellikle KSN entegrasyonu ile çıkan bu servis, kısa sürede dosyayı analiz etmenize, dosya haricinde Hash, IP Adresi, Web sayfası analizi de yapmanıza imkan tanır. Kayıtlı ve premium üyeler için de, özel sezgisel tarama ve davranışsal analiz hizmetlerini açmaktadır. Bu servisin yapısını genel olarak özetlemek istersek;
Şemayı özetleyecek olursak, Global Kaspersky kullanıcılarından toplanan veriler KSN'de depolanır ve KSN üzerinden ilgili veriler talep edilir. Sınıflandırma işleminin ardından 4 farklı denetim aşamsından geçerek tehdit istihbarat ağına yönlendirilir ve burada nihai sonuçlar bir rapor halinde düzenlenerek kullanıcıya bildirilir.
- Kullanım
opentip.kaspersky.com
Taramanın ardından sonuç ekranında karşınıza gelecek olan rapor, nihai sonucu verecektir. Örnek olması amacıyla bellekteki değerleri okuyan ve değiştiren Cheat Engine uygulamasını tarattım. Burada dikkat etmemiz gereken nokta, 4 farklı blok halinde verilen rapor dökümüdür.
1. Blok "Detects": İlgili dosyada Adware ve türevi potansiyel istenmeyen uygulama bulunmamış. Bununla birlikte sistemde enfekteye yol açabilecek bir Malware izine de rastlanmamış.
2. Blok "Suspicious Activities": Davranışsal analizlerin sonucunda bir sandbox ortamında yürütülen dosyada herhangi bir şüpheli aktiviteye rastlanmamış. Burada şüpheli aktivite skalasının 3 farklı değerde olmasına dikkat edin. Önem düzeyi "High" olan aktiviteler genelde sistem kaynaklarına doğrudan müdahale etmeye çalışan, sistem dosyalarına erişim sağlayan ve bu dosyalarda değişiklikler yaparak veri güvenliğini ihlal etme potansiyeline sahip olan aktivitelerdir.
3. Blok "Extracted files": Bu blok, yürütülen dosyanın kendisiyle birlikte kaç farklı dosyayı çıkarttığını gösterir. Bunu bir arşivden dosya çıkarmak gibi düşünebilirsiniz. Neticede yürütülebilir dosyalar da paketlendiği için, sağlıklı çalışmalarını devam ettirmek amacıyla belirli gereken dosyaları arşivleyebilir ve bunları daha sonra çıkarabilir. Kaspersky burada çıkartılan dosyaları da analiz etmekte ve görüldüğü gibi sınıflandırmakta.
4. Blok "Network activities": Belki de en kritik noktalardan birisi. Özellikle ransomware yani fidye zararlılarında enfekte durumuyla birlikte zararlı adreslere bağlantı istekleri yollanarak enfekte edilen bilgisayarın enfekte havuzunda olduğu bilgisi iletilir. Ardından kurbanın istenilen ücreti ödemesi için ilgili kripto cüzdan bilgileri yollanır. Bu aşamalarda genellikle bir ara sunucu kullanılır. Bu blokta da görüldüğü üzere ara sunucular takip edilebilir.
Bu ekranda da taşınabilir yürütülebilir (Portable Executable) bilgisi ve ilgili dosyanın sanal bellek adresleri ile ham veri boyutları görüntülenir. Bu alanın işinize tam olarak yaraması için, bellek bölümlemelerini, sanal bellek dökümlerini ve bellekteki page modüllerini bilmeniz gerekmekte. Yüzeysel analiz yapacak kişiler için dikkat edilecek bir alan değil.
Rapor sayfasının kalanında da ilgili dosyanın içeri aktardığı sistem dosyalarını ve bu dosyalardaki adresleri görebilirsiniz. Buradan yola çıkarak hangi işlemlerin yapılma potansiyeli olduğunu da ölçebilirsiniz.
Kaspersky Threat Intelligence Portal, tehdit istihbaratı sağlamak ve şüpheli dosyaların kullanım oranlarını analiz etmek için geliştirilmiş bir hizmettir. Kaspersky Security Network (KSN)'e bağlı cihazlardaki verilerin de kullanıldığı bu servis, Kaspersky veritabanlarını kullanarak şüpheli dosyaların taramasını gerçekleştirir, sezgisel analizlerini yapar ve dosyanın itibarını ölçer.
- Avantajları
Özellikle KSN entegrasyonu ile çıkan bu servis, kısa sürede dosyayı analiz etmenize, dosya haricinde Hash, IP Adresi, Web sayfası analizi de yapmanıza imkan tanır. Kayıtlı ve premium üyeler için de, özel sezgisel tarama ve davranışsal analiz hizmetlerini açmaktadır. Bu servisin yapısını genel olarak özetlemek istersek;
Şemayı özetleyecek olursak, Global Kaspersky kullanıcılarından toplanan veriler KSN'de depolanır ve KSN üzerinden ilgili veriler talep edilir. Sınıflandırma işleminin ardından 4 farklı denetim aşamsından geçerek tehdit istihbarat ağına yönlendirilir ve burada nihai sonuçlar bir rapor halinde düzenlenerek kullanıcıya bildirilir.
- Kullanım
Kaspersky Threat Intelligence Portal
Kaspersky Threat Intelligence Portal allows you to scan files, domains, IP addresses, and URLs for threats, malware, viruses
opentip.kaspersky.com
Taramanın ardından sonuç ekranında karşınıza gelecek olan rapor, nihai sonucu verecektir. Örnek olması amacıyla bellekteki değerleri okuyan ve değiştiren Cheat Engine uygulamasını tarattım. Burada dikkat etmemiz gereken nokta, 4 farklı blok halinde verilen rapor dökümüdür.
1. Blok "Detects": İlgili dosyada Adware ve türevi potansiyel istenmeyen uygulama bulunmamış. Bununla birlikte sistemde enfekteye yol açabilecek bir Malware izine de rastlanmamış.
2. Blok "Suspicious Activities": Davranışsal analizlerin sonucunda bir sandbox ortamında yürütülen dosyada herhangi bir şüpheli aktiviteye rastlanmamış. Burada şüpheli aktivite skalasının 3 farklı değerde olmasına dikkat edin. Önem düzeyi "High" olan aktiviteler genelde sistem kaynaklarına doğrudan müdahale etmeye çalışan, sistem dosyalarına erişim sağlayan ve bu dosyalarda değişiklikler yaparak veri güvenliğini ihlal etme potansiyeline sahip olan aktivitelerdir.
3. Blok "Extracted files": Bu blok, yürütülen dosyanın kendisiyle birlikte kaç farklı dosyayı çıkarttığını gösterir. Bunu bir arşivden dosya çıkarmak gibi düşünebilirsiniz. Neticede yürütülebilir dosyalar da paketlendiği için, sağlıklı çalışmalarını devam ettirmek amacıyla belirli gereken dosyaları arşivleyebilir ve bunları daha sonra çıkarabilir. Kaspersky burada çıkartılan dosyaları da analiz etmekte ve görüldüğü gibi sınıflandırmakta.
4. Blok "Network activities": Belki de en kritik noktalardan birisi. Özellikle ransomware yani fidye zararlılarında enfekte durumuyla birlikte zararlı adreslere bağlantı istekleri yollanarak enfekte edilen bilgisayarın enfekte havuzunda olduğu bilgisi iletilir. Ardından kurbanın istenilen ücreti ödemesi için ilgili kripto cüzdan bilgileri yollanır. Bu aşamalarda genellikle bir ara sunucu kullanılır. Bu blokta da görüldüğü üzere ara sunucular takip edilebilir.
Bu ekranda da taşınabilir yürütülebilir (Portable Executable) bilgisi ve ilgili dosyanın sanal bellek adresleri ile ham veri boyutları görüntülenir. Bu alanın işinize tam olarak yaraması için, bellek bölümlemelerini, sanal bellek dökümlerini ve bellekteki page modüllerini bilmeniz gerekmekte. Yüzeysel analiz yapacak kişiler için dikkat edilecek bir alan değil.
Rapor sayfasının kalanında da ilgili dosyanın içeri aktardığı sistem dosyalarını ve bu dosyalardaki adresleri görebilirsiniz. Buradan yola çıkarak hangi işlemlerin yapılma potansiyeli olduğunu da ölçebilirsiniz.
- VirusTotal
VirusTotal, en yaygın olarak bilinen bulut tarama hizmetlerinden birisidir. İşbirliği içerisinde olduğu ve sürekli veri paylaştığı yüzlerce AV firması bulunmaktadır. Bu sayede diğer birçok tarama servisine kıyasla en geniş veritabanı ağına erişebilmektedir.
VirusTotal, önceden belirli analizleri gerçekleştirerek standart dosya taramalarını programlayabilmekteydi. Ancak günümüzde, sandbox testleri, related files yani bağlantılı olabilecek dosyaları tespit edebilmesi, benzer zararlıların göründüğü diğer dosyaları tespit edebilmesi sayesinde en gelişmiş tarama servislerinden biri haline gelmiştir.
- Avantajları
Hızlı sandbox, gelişmiş sezgisel taramalar, şüpheli yazılımın eriştiği ve yürüttüğü tüm sistem dosyalarını listeleyebilme, olası riskleri sınıflandırabilme özellikleriyle ilk tercih edilen servislerden biridir.
- Kullanım
Burada dikkat edilmesi gereken nokta, kural setlerinin tespit edilmesidir. Zararsız olarak raporlanmış olsa bile, birçok şüpheli dosya farklı kural setleriyle eşleşebilir. Bu, zararlı olduğu anlamına gelmese de potansiyel olarak eşleştiği zararlı tipine ait davranışları gerçekleştirdiğini belirtir. Bu tarz durumlarda dosyaların kesinlikle kişisel sistemlerde yürütülmemesi gerektiğini bilin.
Detaylar sekmesinde, özellikle eriştiği sistem dosyalarını, değiştirdiği dosyaları ve kayıt defterinde yaptığı hareketleri takip edebilir, dijital imza bilgilerini ve sertifikalarını kontrol edebilirsiniz.
Özellikle Relations sekmesi son derece önemli. Çünkü bu sekme, benzer davranışlar gösteren ve benzer imzalara sahip dosyaları listelemektedir. Aynı zamanda yürütme sonrasında çıkarılan dosyalara göre ilişkilendirmeleri de yapmaktadır. Burada gördüğünüz gibi liste son derece kabarık ve tespitler de bir hayli yüksek. İsimlerden de anlayacağınız üzere, Cheat Engine zararsız olsa da, ana motor kullanılarak bellek değişiklikleri yapılabildiğinden ciddi şekilde istismar edilebiliyor.
Ayrıca VirusTotal Graph özelliği de çoğu zaman hayat kurtarıcı olabiliyor. Yürütülen dosyanın hangi adreslere, hangi IP'lere bağlandığını, veri gönderdiğini ve hangi dosyaları çıkartıp çalıştırdığını gösteren ve bu dosyalarla ilgili tarama sonuçlarını kısa süre içerisinde hazırlayabilen bir grafik arabirimi. Sıklıkla kullandığım bu özellik ile, şüpheli dosya sistemde yürütüldükten hemen sonra aynı bir ağacın dalları gibi sistemde nasıl yayıldığını, nasıl davrandığını analiz edebiliriz.
VirusTotal, en yaygın olarak bilinen bulut tarama hizmetlerinden birisidir. İşbirliği içerisinde olduğu ve sürekli veri paylaştığı yüzlerce AV firması bulunmaktadır. Bu sayede diğer birçok tarama servisine kıyasla en geniş veritabanı ağına erişebilmektedir.
VirusTotal, önceden belirli analizleri gerçekleştirerek standart dosya taramalarını programlayabilmekteydi. Ancak günümüzde, sandbox testleri, related files yani bağlantılı olabilecek dosyaları tespit edebilmesi, benzer zararlıların göründüğü diğer dosyaları tespit edebilmesi sayesinde en gelişmiş tarama servislerinden biri haline gelmiştir.
- Avantajları
Hızlı sandbox, gelişmiş sezgisel taramalar, şüpheli yazılımın eriştiği ve yürüttüğü tüm sistem dosyalarını listeleyebilme, olası riskleri sınıflandırabilme özellikleriyle ilk tercih edilen servislerden biridir.
- Kullanım
Burada dikkat edilmesi gereken nokta, kural setlerinin tespit edilmesidir. Zararsız olarak raporlanmış olsa bile, birçok şüpheli dosya farklı kural setleriyle eşleşebilir. Bu, zararlı olduğu anlamına gelmese de potansiyel olarak eşleştiği zararlı tipine ait davranışları gerçekleştirdiğini belirtir. Bu tarz durumlarda dosyaların kesinlikle kişisel sistemlerde yürütülmemesi gerektiğini bilin.
Detaylar sekmesinde, özellikle eriştiği sistem dosyalarını, değiştirdiği dosyaları ve kayıt defterinde yaptığı hareketleri takip edebilir, dijital imza bilgilerini ve sertifikalarını kontrol edebilirsiniz.
Özellikle Relations sekmesi son derece önemli. Çünkü bu sekme, benzer davranışlar gösteren ve benzer imzalara sahip dosyaları listelemektedir. Aynı zamanda yürütme sonrasında çıkarılan dosyalara göre ilişkilendirmeleri de yapmaktadır. Burada gördüğünüz gibi liste son derece kabarık ve tespitler de bir hayli yüksek. İsimlerden de anlayacağınız üzere, Cheat Engine zararsız olsa da, ana motor kullanılarak bellek değişiklikleri yapılabildiğinden ciddi şekilde istismar edilebiliyor.
Ayrıca VirusTotal Graph özelliği de çoğu zaman hayat kurtarıcı olabiliyor. Yürütülen dosyanın hangi adreslere, hangi IP'lere bağlandığını, veri gönderdiğini ve hangi dosyaları çıkartıp çalıştırdığını gösteren ve bu dosyalarla ilgili tarama sonuçlarını kısa süre içerisinde hazırlayabilen bir grafik arabirimi. Sıklıkla kullandığım bu özellik ile, şüpheli dosya sistemde yürütüldükten hemen sonra aynı bir ağacın dalları gibi sistemde nasıl yayıldığını, nasıl davrandığını analiz edebiliriz.
- MetaDefender Cloud
MetaDefender Cloud, VirusTotal ile benzerlik gösteren, birden fazla tarama altyapısına sahip olan bir servistir. VirusTotal'den farklı olarak Windows 7 ve Windows 10 için hızlandırılmış bir sandbox testi yapar ve ilgili raporu hazırlar. Aynı zamanda dinamik ve statik analiz de gerçekleştirir. Kullanımı VirusTotal'e göre bir nebze de olsa daha kolaydır ve anlaşılabilirdir.
- Avantajları
Kolay kullanılabilirlik, hızlı sandbox, Windows 10 için sandbox desteği.
- Kullanım
metadefender.opswat.com
Bu ekranda, her servis sağlayıcıda olduğu gibi incelenmesini istediğiniz örneği, dosyayı, URL'yi, IP adresini veya HASH'i belirtiyorsunuz.
Gördüğünüz bu ekranda tarama sonrasında hızlıca genel bir rapor görebilirsiniz. Öncelikle uyarıya dikkat edelim. "Potansiyel istenmeyen program" yani bellekte yaptığı değişikliklerden ötürü zararlı olmayabilir ancak muhtemelen istenmeyen, adware sonrası yüklenen veya zararlı eylem potansiyeli olan uygulama anlamı taşımaktadır.
PE Information sekmesinde ise tıpkı VirusTotal'de de olduğu gibi, uygulamanın bellek dökümü, eriştiği bellek adresleri ve ham verileri listelenmekte. Ayrıca sayfanın alt kısmında eriştiği sistem dosyalarının da tam listesini görebilirsiniz.
Statik Analizi yani standart tarama işlemini geçtikten sonra yan sekmeden dinamik analizi görebilirsiniz. Dinamik analizin amacı ise uygulamanın davranışlarını takip etmek, belirli sistemlerdeki aktivitelerini izlemek ve buna göre sınıflandırmak. Tıpkı diğer sandbox çözümlerinde olduğu gibi MetaDefender da farklı işletim sistemleri için uygulamayı yürütebiliyor. Şu anda yalnızca Windows sürümleri (7 ve 10) destekleniyor. Linux, Android ve diğer sistemler için bir sonraki servisimize göz atın.
MetaDefender Cloud, VirusTotal ile benzerlik gösteren, birden fazla tarama altyapısına sahip olan bir servistir. VirusTotal'den farklı olarak Windows 7 ve Windows 10 için hızlandırılmış bir sandbox testi yapar ve ilgili raporu hazırlar. Aynı zamanda dinamik ve statik analiz de gerçekleştirir. Kullanımı VirusTotal'e göre bir nebze de olsa daha kolaydır ve anlaşılabilirdir.
- Avantajları
Kolay kullanılabilirlik, hızlı sandbox, Windows 10 için sandbox desteği.
- Kullanım
MetaDefender Cloud | Advanced threat prevention and detection
Cloud-based Deep CDR, Multiscanning, Sandbox Dynamic Analysis, Hash and IP-Domain reputation with options for personal and commercial users.
metadefender.opswat.com
Bu ekranda, her servis sağlayıcıda olduğu gibi incelenmesini istediğiniz örneği, dosyayı, URL'yi, IP adresini veya HASH'i belirtiyorsunuz.
Gördüğünüz bu ekranda tarama sonrasında hızlıca genel bir rapor görebilirsiniz. Öncelikle uyarıya dikkat edelim. "Potansiyel istenmeyen program" yani bellekte yaptığı değişikliklerden ötürü zararlı olmayabilir ancak muhtemelen istenmeyen, adware sonrası yüklenen veya zararlı eylem potansiyeli olan uygulama anlamı taşımaktadır.
PE Information sekmesinde ise tıpkı VirusTotal'de de olduğu gibi, uygulamanın bellek dökümü, eriştiği bellek adresleri ve ham verileri listelenmekte. Ayrıca sayfanın alt kısmında eriştiği sistem dosyalarının da tam listesini görebilirsiniz.
Statik Analizi yani standart tarama işlemini geçtikten sonra yan sekmeden dinamik analizi görebilirsiniz. Dinamik analizin amacı ise uygulamanın davranışlarını takip etmek, belirli sistemlerdeki aktivitelerini izlemek ve buna göre sınıflandırmak. Tıpkı diğer sandbox çözümlerinde olduğu gibi MetaDefender da farklı işletim sistemleri için uygulamayı yürütebiliyor. Şu anda yalnızca Windows sürümleri (7 ve 10) destekleniyor. Linux, Android ve diğer sistemler için bir sonraki servisimize göz atın.
- HYBRID-ANALYSIS (Falcon Sandbox)
Falcon Sandbox, CrowdStrike tarafından geliştirilen en başarılı sandbox çözümlerinden birisidir. Test örneğini en derinlemesine inceleyen, detaylı rapor hazırlayan servislerin başında gelir.
- Avantajları
Linux, Android, Windows gibi çok çeşitli platform türlerinde sandbox kullanabilme özelliğine sahip, VirusTotal ve MetaDefender Cloud ile ortak çalışıyor. Yüklediğiniz dosyaları tarama için VirusTotal ve MetaDefender'a yolluyor.
- Kullanım
www.hybrid-analysis.com
İlgili dosya yüklemesi sırasında e-mail adresinizi vererek taramanın tamamlanması halinde mail ile bilgilendirilebilirsiniz.
Analizin yapılacağı ortamı seçin. Burada 32-bit Windows 7 ve 64-bit Windows 7 seçebilirsiniz. Aynı zamanda Linux ve Android sistemleri için de seçim yapabilirsiniz. Sandbox ortamında çalışmak istemiyorsanız "Quick Scan" seçerek hızlıca toplu taramaya geçebilirsiniz. Bu işlem, dosyayı hem VirusTotal'e hem de MetaDefender Cloud'a yollayacak. Bu sayede topluca tarama yapma imkanınız olacak.
Analiz sonuçlarında CrowdStrike Falcon statik analizinin ve MetaDefender, VirusTotal analizlerini görebilirsiniz. Hatırlıyorsanız MetaDefender, dosya için potansiyel istenmeyen uygulama uyarısı vermişti. Bu ekranda da bunu görebiliyoruz. Ayrıca belirtmekte fayda var, CrowdStrike Falcon taraması, davranışsal analizi içermiyor.
Rapora devam ettiğimizde ise Falcon Sandbox raporunu görüyorsunuz. Bu rapor, zararlı olan, şüpheli olan ve temiz olan içe aktarmaları sınıflandırmaktadır. Sonucun üzerine tıklayarak detaylara gidiyoruz.
İşte geldik detaylı analiz kısmına. Hızlıca geçelim, sağ menülerde yer alan bağlantılar ile ilgili dosyanın ağ analizine, paket analizine, davranışsal analizine göz atabiliyorsunuz. Sağ üstte gördüğümüz gibi "Belirsiz" uyarısı var. Yani zararlı aktivitelerde de bulunmuş, ancak net olarak zararlı da denemiyor.
Burada ilginç bir yere dikkat çekmek istiyorum. VirusTotal sonuçlarında "HackTool" olarak gördüğümüzde, üyelere "Muhtemelen sorun yok, ancak kaynaklara erişimi var." gibi basit bir yanıt veriyoruz. Bu yanıtın asıl amacı Falcon Sandbox ile yapılan testlerde çıkan sonuçlardır.
Gördüğünüz üzere "Malicious Indicators" kısmında "Contains malicious Memory Dumps" uyarısı var. Bu uyarının anlamı, yazılımın bellek değerlerine erişebildiği, bunları kendi istediği gibi manipüle edebildiği ve izinsiz olarak değiştirebildiği. Bu genelde standart bir yazılımın yapamayacağı bir işlem. Ancak zararlılar, bellek değerlerine erişip veriyollarına sızabilir ve bu sayede aktarılan ham verileri ele geçirebilir. Geriye bunların çözülmesi kalır.
Sandbox bu özelliği görmüş ve zararlı olarak sınıflandırmış. Sınıflandırma son derece doğru, ancak görüldüğü üzere yazılım bunu yapmıyor. Native yani yalın olarak yürütüldüğünde herhangi bir şekilde bellek bütünlüğüne müdahale etmiyor, ancak bunu yapabilme potansiyeli var. İşte bu durumda da Sandbox tarafından "Şüpheli" olarak işaretleniyor.
Sandbox raporunun sonunda ise uygulamanın çalıştırıldığı sistemde meydana gelen değişikliklerin görülmesi amacıyla ekran görüntülerine yer verilmiş.
Falcon Sandbox için apayrı bir rehber hazırlayacağım. Hazırlayacağım rehber ile bu aracı kullanan herhangi birisi, bir dosyanın zararlı olup olmadığını rahatlıkla anlayacak. Ancak henüz buna zaman var. Büyük rehberler büyük zamanlar ister
.
Falcon Sandbox, CrowdStrike tarafından geliştirilen en başarılı sandbox çözümlerinden birisidir. Test örneğini en derinlemesine inceleyen, detaylı rapor hazırlayan servislerin başında gelir.
- Avantajları
Linux, Android, Windows gibi çok çeşitli platform türlerinde sandbox kullanabilme özelliğine sahip, VirusTotal ve MetaDefender Cloud ile ortak çalışıyor. Yüklediğiniz dosyaları tarama için VirusTotal ve MetaDefender'a yolluyor.
- Kullanım
Free Automated Malware Analysis Service - powered by Falcon Sandbox
Submit malware for free analysis with Falcon Sandbox and Hybrid Analysis technology. Hybrid Analysis develops and licenses analysis tools to fight malware.
İlgili dosya yüklemesi sırasında e-mail adresinizi vererek taramanın tamamlanması halinde mail ile bilgilendirilebilirsiniz.
Analizin yapılacağı ortamı seçin. Burada 32-bit Windows 7 ve 64-bit Windows 7 seçebilirsiniz. Aynı zamanda Linux ve Android sistemleri için de seçim yapabilirsiniz. Sandbox ortamında çalışmak istemiyorsanız "Quick Scan" seçerek hızlıca toplu taramaya geçebilirsiniz. Bu işlem, dosyayı hem VirusTotal'e hem de MetaDefender Cloud'a yollayacak. Bu sayede topluca tarama yapma imkanınız olacak.
Analiz sonuçlarında CrowdStrike Falcon statik analizinin ve MetaDefender, VirusTotal analizlerini görebilirsiniz. Hatırlıyorsanız MetaDefender, dosya için potansiyel istenmeyen uygulama uyarısı vermişti. Bu ekranda da bunu görebiliyoruz. Ayrıca belirtmekte fayda var, CrowdStrike Falcon taraması, davranışsal analizi içermiyor.
Rapora devam ettiğimizde ise Falcon Sandbox raporunu görüyorsunuz. Bu rapor, zararlı olan, şüpheli olan ve temiz olan içe aktarmaları sınıflandırmaktadır. Sonucun üzerine tıklayarak detaylara gidiyoruz.
İşte geldik detaylı analiz kısmına. Hızlıca geçelim, sağ menülerde yer alan bağlantılar ile ilgili dosyanın ağ analizine, paket analizine, davranışsal analizine göz atabiliyorsunuz. Sağ üstte gördüğümüz gibi "Belirsiz" uyarısı var. Yani zararlı aktivitelerde de bulunmuş, ancak net olarak zararlı da denemiyor.
Burada ilginç bir yere dikkat çekmek istiyorum. VirusTotal sonuçlarında "HackTool" olarak gördüğümüzde, üyelere "Muhtemelen sorun yok, ancak kaynaklara erişimi var." gibi basit bir yanıt veriyoruz. Bu yanıtın asıl amacı Falcon Sandbox ile yapılan testlerde çıkan sonuçlardır.
Gördüğünüz üzere "Malicious Indicators" kısmında "Contains malicious Memory Dumps" uyarısı var. Bu uyarının anlamı, yazılımın bellek değerlerine erişebildiği, bunları kendi istediği gibi manipüle edebildiği ve izinsiz olarak değiştirebildiği. Bu genelde standart bir yazılımın yapamayacağı bir işlem. Ancak zararlılar, bellek değerlerine erişip veriyollarına sızabilir ve bu sayede aktarılan ham verileri ele geçirebilir. Geriye bunların çözülmesi kalır.
Sandbox bu özelliği görmüş ve zararlı olarak sınıflandırmış. Sınıflandırma son derece doğru, ancak görüldüğü üzere yazılım bunu yapmıyor. Native yani yalın olarak yürütüldüğünde herhangi bir şekilde bellek bütünlüğüne müdahale etmiyor, ancak bunu yapabilme potansiyeli var. İşte bu durumda da Sandbox tarafından "Şüpheli" olarak işaretleniyor.
Sandbox raporunun sonunda ise uygulamanın çalıştırıldığı sistemde meydana gelen değişikliklerin görülmesi amacıyla ekran görüntülerine yer verilmiş.
Falcon Sandbox için apayrı bir rehber hazırlayacağım. Hazırlayacağım rehber ile bu aracı kullanan herhangi birisi, bir dosyanın zararlı olup olmadığını rahatlıkla anlayacak. Ancak henüz buna zaman var. Büyük rehberler büyük zamanlar ister
.- Sonuç
Rehberin sonuna geldik. Genel hatlarıyla olabilecek en basit düzeye inerek detaylı zararlı analizi için işimize yarayacak kaynakları listeledik, inceledik, kullanımlarına göz gezdirdik ve genel hatlarıyla hangi noktalara dikkat etmemiz gerektiğini işledik. Konuyla ilgili soruları makalenin altından sorabilirsiniz. Falcon Sandbox ile ilgili çok daha kapsamlı bir içerik hazırlayacağım, beklemede kalın.
Güvenli, sağlıklı günler dilerim...
- 𝐃𝐮𝐭𝐜𝐡𝐦𝐚𝐧
Son düzenleme:
