Zararlı Yazılım Arşivi
image_pdf

Zararlı yazılım analizi ile ilgili son zamanlarda çok sayıda e-posta alıyorum ve bu e-postaları gönderenlerin çoğunun nereden ve nasıl başlamayalıyım sorularına yanıt aramaya çalıştığını görüyorum. Zaman içinde bu e-postalara yanıt vere vere aslında çağrı merkezi robotu gibi aynı şeyleri tekrarladığımı farkettim, şu kitapları okuyun, şu programlama dillerini öğrenin ve bol bol pratik yapın. Fakat iş pratik yapmaya gelince analiz için zararlı yazılım bulmak kimi zaman pek kolay olmuyor. Örneğin VirusTotal üzerinden aradığınız bir zararlı yazılım örneğine erişmek istediğinizde öncelikle sizin güvenlik firmasında çalışmanız veya antivirüs üreticisinde çalışmanız veya bir devlet yetkilisi olmanız ve ardından sizden bu örneğe erişmek için belli bir ücret ödemeniz bekleniyor kısaca zaman zaman çıkmaza girebiliyorsunuz. Tabii virusshare.com gibi siteler yok da değil ancak her defasında koca koca torrent dosyaları arasında iğne aramak, indirmek kimi zaman mümkün olamayabiliyor.

31 Ağustos 2010 tarihinde, zararlı yazılım tespiti yapan ve raporlayan siteleri dolaşan ve bunlardan sadece Türkiye’de olanları tweetleyen, Zararlı URL Duyuru İstemcisi adında ufak bir araç hazırlamıştım. Bu araç zaman içinde daha fazla site gezen ve hacklenmiş siteleri de tweetleyen bir araç haline büründü. Bu araç ilk başlarda windows sistemimde çalışıyor ve ben ne zaman sistemi açsam, siteleri gezerek tweetlemeye başlıyordu fakat geçtiğimiz aylarda iki adet Raspberry Pi alarak bunlardan bir tanesini sadece bu iş için 7/24 kullanmaya başladım.

Hem sızma testi için hem de zararlı yazılım analizi için pratik yapmanın ne kadar önemli olduğunu bilen biri olarak Temmuz ayı gibi bu istemciyi biraz daha geliştirerek, tespit edilen zararlı yazılımları, adresi, tarihi ve md5 hash bilgisi ile birlikte diske kayıt edecek hale getirdim. 7 Temmuz 2013 tarihinden bu yana bu istemci, 200 mb civarında yaklaşık 233 tane zararlı yazılım (.exe) indirdi. Kaspersky Internet Suite ile bu dosyaları tarattığımda bunlardan 80 tanesinin truva atı (trojan), 31 tanesinin arka kapı (backdoor) olduğunu gördüm ve pratik yapmak için istemcinin başarılı bir şekilde işlevini yerine getirdiğini teyit edebilmiş oldum.

Malware Downloader

Pratik yapmanın yanısıra bir antivirüs yazılımı, güvenlik ağ geçidi (security gateway) veya ağ üzerinden zararlı yazılım tespit eden bir ürünü değerlendirirken bile örnek zararlı yazılımlara ihtiyaç duyduğumuzu da göz önünde bulundurarak bu istemciyi biraz daha geliştirerek bunu herkesin faydalanabileceği bir yapıya dönüştürdüm.

Malware Downloader

Yukarıdaki resimden de görüldüğü üzere geliştirdiğim istemci, zararlı yazılımları 12 saatte bir indirmekte ve ardından indirdiği dosyaları şifreli olarak (şifre: infected) zipleyerek, örneğin 2013 yılının Kasım ayı için 11.2013.zip dosyası adı altında http://www.mertsarica.com/zararliyazilimlar/ klasörüne kopyalamaktadır. Aralık ayı itibariyle bu aya ait olan örnek zararlı yazılımlar http://www.mertsarica.com/zararliyazilimlar/12.2013.zip olarak erişilebilir olacaktır.

Kısaca hergün güncellenen şifreli (şifre: infected) zararlı yazılım arşivine erişmek için format: http://www.mertsarica.com/zararliyazilimlar/ay.yil.zip

Yeri gelmişken Siber Güvenlik Enstitüsü’nün uzun zamandan beri üzerinde çalıştığı VirusTotal ve Malwr karışımı olan Virüs Mü ? adındaki hem statik hem de dinamik analiz yapabilen, yerli kum havuzu (sandbox) hizmetini, ücretsiz olarak yakında bizlerin kullanımına sunacağını da buradan paylaşayım. Bu hizmet kullanıma sunulur sunulmaz, ben de istemciyi indirdiği zararlı yazılımı Virüs Mü?’ye gönderip, ürettiği raporun bağlantı adresini de arşive ekleyecek şekilde güncelleyeceğim.

Malware Downloader

Bir sonraki yazıda görüşmek dileğiyle herkese güvenli günler dilerim.

Not: Kasım ayı arşivine buradan erişebilirsiniz.

6 Responses to “Zararlı Yazılım Arşivi”

  1. Hocam arşivlerinizi bugn gördüm yararlı bir işlem yaptığınız ama bazı örnekler çok eski değil mi sizcede :(

    bkz. https://www.virustotal.com/tr/file/5282dbb1c3a08b3dbfa63be04e8f3391993d835209c934ce35530ab750ab49b8/analysis/1386084648/

  2. Çok eski derken neyi kastediyorsunuz tam olarak ?

  3. ilk VT yüklenme tarihine bakın tam 3 yıl önce gözüküyor bunu kastetmiştim.

  4. E şimdi 2 sene önceki Stuxnet oldu da bugün x.com sitesinde tespit edildiğinde ve raporlandığında bunu görmezden gelip, arşivlemeyecek miyiz ? :) Netleştirme adına, bu istemci zararlı yazılımın yeni veya eski olmasına değil ne zaman ve nerede tespit edildiğine bakıp onu indirmeye çalışıyor ve başarırsa arşivleyip, analiz için kayıt altına alıyor.

  5. Anlaşıldı. O zaman bunlar generic oluşturmak için kullanılabilir :)Devamını bekliyorum teşekkürler Sayın Mert Sarica iyi akşamlar :)

Leave a Reply

Your email address will not be published. Required fields are marked *


*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>