fbpx
Anasayfa » Temel olarak Şüpheli Dosya Analizi Nasıl Yapılır?

Makaleyi Paylaş

Güvenlik

Temel olarak Şüpheli Dosya Analizi Nasıl Yapılır?

Merhabalar, son kullanıcılar için farkındalık eğitimi verdikten sonrası paylaştığım yazıyı çözümpark okuyucuları ile ’de paylaşmak istiyorum.

 Öncelikle son zamanlarda gelen zararlı yazılım, zararlı link ve ekli dosya olan şüpheli mailer için her ne kadar bizler yani BT çalışanları önlem alsalar da zararlı ekli dosya ve linkler durmak bilmeden gelmeye devam ediyor. Burada biz BT çalışanlarına düşen, bilgisayar kullanıcılarını eğitmek ve bilgilendirmek. Bir nevi balık tutmak değil de balık tutmayı öğretmek gibi düşünebiliriz

clip_image002

 

Yukarıdaki maili incelediğimizde;

Ben muhammet.bektas@igc.com.tr adresinden herhangi bir mail beklemiyordum, mail başlığına baktığımızda pek de kurumsal bir dil olmayan “merhabalar siparişlerimize bakarmısınız …” yazdığını görüyorum.

Mail eki olarak Bel_54.xls adında bir dosya göndermiş, bana bu isim pek bir şey çağrıştırmıyor.

Sponsor

Mail içeriğine baktığımızda ise Türkçe karakter formatının bozuk olduğu bir font tipi kullanılmış.

Bu tür mailler benim için her zaman şüphe uyandıran maillerdir, genellikle eğer buradaki mail atan kullanıcıyı tanıyorsam arar sorarım, hem bir halini hatırını sormuş olurum hem de siparişi ile ilgili maili onun gönderip göndermediğini öğrenmeye çalışırım, ya da şüpheli olarak gördüğüm mailleri zaman kaybetmeden direk silerim.

Eğer silemiyorsanız yazının devamında nasıl analiz edebileceğimize dair detayları bulabilirsiniz.

clip_image004

Benim zararlı ek ve yazılımları analiz amacıyla kullandığım 2 web site var

1-     www.virustotal.com

2-     www.hybrid-analysis.com

virustotal.com genel olarak eğer exe formatında bir dosya alınmışsa kabaca taratılıp virüs var mı yok mu gibi kontrolleri yapabileceğimiz bir sitedir.

Hybrid-analysis.com ise sandbox dediğimiz teknoloji ile çalışmaktadır.

Peki, o zaman kısaca sandbox nedir?

Sandbox, Bilgisayarınızdan farklı bir alanda yalıtılmış sanal ortam üzerinde güvensiz ve güvenli dosyaların çalıştırılabildiği bir ortam olarak düşünebiliriz.

Bu örneğimizde ekli dosyayı bu sandbox ortamında açarak sonuçları görüntülüyor olacağız.

clip_image005

Şüpheli ekli dosyayı bilgisayarımıza indirerek (açmadan, sadece eki kaydet diyerek) masaüstüne kaydediyoruz. Hybrid-analysis.com da üst ok ile işaretli alana zararlı ek dosyayı sürükleyebilirsiniz ya da alt kısımdaki ataç işareti olan alana tıklayarak ekli dosyayı göstererek yükleyelim.

clip_image007

clip_image008

Üst kısma email adresinizi yazabilirsiniz, opsiyoneldir. Bu bölüme mail yazarsanız sonuçları sizin mail adresinize atılır.

Allow community members to Access sample ve I consent to the Terms & COnditions and Data Protection Policy seçeneklerini işaretliyoruz.

clip_image010

Ben robot değilim seçeneğine tıkladığınızda çıkan doğrulama seçeneklerini işaretleyerek doğrula butonuna basarak bu bölümü geçebiliriz.

clip_image011

Bu bölümde hazırda kurulmuş, bulut üzerinde bulunan yalıtılmış bir alanda üzerinde MS Office uygulamaları, Adobe Flash Player, Adobe Reader olan temel uygulamaların yer aldığı bilgisayarlar bulunmakta. Burada bilgisayarınızın işlemci modeline ya da işletim sistemine göre bir seçim yapabilirsiniz. Örneğin genellikle 64 bit Windows işletim sistemi kullanıyoruz, bu yüzden Windows 7 64 bit seçeneğini seçerek devam edebiliriz. VMs kısmında o andaki sıra bekleme sayısını bize göstermektedir. Bizim bu örneğimizi yaptığımız sırada 11 adet sanal makine varmış, biz 1. Sıradaymışız.

Generate Public Report seçeneği ile devam ediyorum. Bu seçenek seçildiğinde ayrıca, çıkan sonuçlar virüs programı firmalarının da veritabanına gitmekte, bir sonraki virüs programı güncelleştirmesinde virüs programları size gönderilen zararlı yazılımı keşfetmiş ve engelliyor olacaktır.

clip_image013

Birkaç dakika bekledikten sonra dosyamızın MALICIOUS yani zararlı bir dosya olduğunu görüyoruz.

clip_image014

Dosya 4 virüs firması algoritması tarafından zararlı olarak görülmüş. Bakalım gerçekten zararlı mı?

Excel 2010 sembolü olan resimlere tıklıyorum (buradaki resim dosyaya göre değişiklik gösterebilir)

clip_image016

Dosyamız sandbox ortamında açılarak yazılımın zarar vermeye çalışan bir dosya olduğu komutların çalıştırılmaya çalışıldığı, linklere gitmek istediği gibi birçok detayı buradan görüntüleyebilirseniz.

Bu gibi mailleri bu şekilde analiz ettikten sonra hem maili hem de analiz etmek için masaüstüne kaydettiğiniz dosyayı direk olarak açmadan siliniz.

clip_image018

Eğer mail adresinizi yazmışsanız yazının ilk başında zararlı yazılım ya da ek incelendikten sonra size ekteki gibi bir link göndereceklerdir.

Daha güvenli bir iletişim için temel olarak dikkat etmemiz gereken konular;

Zararlı olabilecek eklere ve dosyalara her zaman şüphe ile bakarak yaklaşın.

Ekli dosyaları açarken dikkatli olun.

Gönderici mail adresi ile imza’da yazan ismin/adresin birbiri ile uyuştuğuna dikkat edin. Başka bir deyişle sahte hesaplara dikkat edin.

Virüs Programının ve İşletim sisteminizin güncel olmasına dikkat edin.

Güçlü parolalar kullanın

Eğer kullanabiliyorsanız çift katmanlı erişim kullanın (2 factor authentication)

Spam maillere cevap vermeyin.

E-Postalardaki linklere tıklarken gidilecek adres ile link’in aynı olduğuna veya gönderilen mail ile anlamlı bir adres olduğuna dikkat edin; örneğin mail suphelibank.com dan gelmiş olabilir gidilecek link supheliibank.com a gidiyor olabilir, eğer adres farklı ise bağlantıyı açmayın.

Kredi kartı ya da kişisel bilgilerinizi mail ile paylaşmayın.

İnternetten alışveriş yapıyorsanız, kredi kartı bilgilerinizi direk olarak girmeyin, sanal kart tanımlayarak alışverişiniz kadar limit tanımlayın.

Sık sık kredi kartı harcamalarınızı kontrol edin.

Ortak alanlarda wifi ile bağlanmayın, bağlanıyorsanız da bağlandıktan hemen sonra vpn ile şirketinize bağlanarak aradaki veriyi şifreleyin, ortadaki adam saldırısı ile parolanızı çaldırmayın.

Dosyalarınızı sık sık yedekleyin

Mobil cihazlarınızda güçlü parola ve virüs programı kullanın

Kurumlar için;

Çalışanlar için yılda en az bir kez farkındalık eğitimleri yapın.

Zafiyetlerinizi öğrenmek için yılda bir kez penetrasyon testi yaptırın.

 

Güvenli günler dilerim

Makaleyi Paylaş

Cevap bırakın