Malware Analiz Araçları ve Kullanım Örnekleri


Statik Analiz Araçları

  • Pe File
    • Dependency Walker
    • Linux Command
    • Disassambler

Uzantısına Göre Kulanılacak Araçlar

  • Powershell
    • Python Code
    • Linux Command
  • DLL
    • DLL Decompiler
  • Office File
    • Olevba
    • Oledump
  • PDF
    • Pdfid
    • PdfScan
    • ExtractJS
  • Python
    • Python Decompile
  • .NET
    • dotPeek
  • JAVA
    • JD Project

Dinamik Analiz Araçları

  • Sysinternals Tools
    • Network Tools
      • TcpView
    • ProcessTools
      • Process Monitor
      • Process Explorer
      • ListDLLs
    • Registry Tools
      • Autoruns
  • Diğer Araçlar
    • RegShot
    • WireShark
  • Online Malware Platformaları

 

Statik Analiz

  • Dosya çalıştırmadan yapılır.
  • Dosya yapısı incelenir.
  • Disasembly ile assembly dilinde tersine mühendislik yapılır.
  • Malware’in işlemleri nasıl gerçekleştirdiği araştırılır.
  • Kural setleri oluşturulmasında oldukça önemlidir.

Dinamik Analiz

  • Zararlı çalıştırılır ve analiz öyle gerçekleştirilir.
  • Sandbox gibi ortamlar kullanıcılır.
  • Real-Time izleme ile zararlının davranışları incelenir.
  • Zararlının yaptığı işlemler (register kayıt ekleme, dosya oluşturma, network trafiği) tespit edilir.

Tshark Kullanım Örnekleri

  • tshark -r xyz.pcap “tcp.port==80”
  • tshark -r xyz.pcap -T fields -e http.host | sort
  • tshark -r xyz.pcap -T fields -n -e dns.qry.name | sort
  • tshark -r xyz.pcap -T fields -e http.host -e http.request.uri| sort
  • tshark -r xyz.pcap -T fields -e http.host -e http.request.uri -Y ‘http.equest.method==”GET” ‘
  • tshark -r xyz.pcap -T fields -e http.host -Y http.user_agent | sort
  • tshark -r xyz.pcap -T fields -e ip.src | sort | uniq
  • tshark -r xyz.pcap -T fields -e ip.dst -Y “ip.dst==10.100.1..2” > dst.txt
  • tshark -r xyz.pcap -qz conv, tcp
  • tshark -r xyz.pcap -qz dns, tree
  • tshark -r xyz.pcap -T fields -Y “udp” -e tcp.srcport -e tcp.dstport

En çok ziyaret edilen 10 Site

tshark -r xyz.pcap -T fields -e http.host -r ‘%s’ | sort | uniq -c | sort -nr

Tüm uri istekleri

tshark -r xyz.pcap -T fields -e http.host -e http.request.uri -Y ‘http.request.method == \”GET\”‘ -r ‘%s’ | sort | uniq”

User Agent Listesi

tshark -r xyz.pcap -Y ‘http contains \”User-Agent:\”‘ -T fields -e http.user_agent -r ‘%s’ | sort | uniq -c | sort -nr”

Bağlantı Detayları

tshark -r ‘%s’ -qz io,stat,10,tcp,udp,icmp,ip,smtp,smb,arp,browser”

TCP

tshark -r xyz.pcap ‘%s’ -qz conv,tcp”

UDP

tshark -r ‘%s’ -qz conv,ip”

IP

tshark -r ‘%s’ -qz conv,ip”

tcpdump -nn -r ‘%s’ -p ‘tcp or udp’ | awk -F’ ‘ ‘{print $5}’ | awk -F’.’ ‘{print $5}’ | sed ‘s/:/ /g’ | sort | uniq -c | sort -n

Tüm IP Adreslerinin Listelenmesi

tcpdump -nn -r ‘%s’ -p ‘tcp or udp’

Web Atak Tespiti

sql = [‘UNION’, ‘SELECT’, ‘CONCAT’, ‘FROM’, ‘union’, ‘select’, ‘@@version’, ‘substring’, ‘information’,

‘table_name’, ‘from’, ‘convert’, ‘concat’]

xss = [‘%3Cscript%3E’, ‘ALeRt’, ‘ScriPt’, ‘<script>’, ‘</script>’, ‘alert(\’xss\’)’, ‘XSS’, ‘xss’,

‘alert(‘, ‘\’;alert’, ‘onerror’, ‘document.cookie’, ‘onmouseover’, ‘<img>’, ‘<SCRIPT>’,

‘SCscriptIPT’, ‘scSCRIPTipt’, ‘onfocus=alert’, ‘alALERTert’, ‘String.fromCharCode’]

lfi = [‘../../’, ‘..//..//’, ‘../’, ‘/etc/passwd’, ‘/etc/’, ‘/proc/self/environ’, ‘%00’,

‘php://filter/convert.base64-encode/resource=’, ‘cat /etc/passwd’, ‘system()’, ‘exec()’,

‘whoami’] # & Code Exec

Memory Analizi

Memory dump alma işlemi, Dumpit aracı kullanılarak gerçekleştirilir.

Volality ile Memory Dump Analizi

python2.7 vol.py -f ../bilgisayarmemoryimaji.raw imageinfo

imageinfo bu memory dump’ının hangi işletim sisteminden alındığını tespit için kullanılır.

python2.7 vol.py -f ../bilgisayarmemoryimaji.raw –profile Win10x64 pslist

python2.7 vol.py -f ../bilgisayarmemoryimaji.raw –profile Win10x64 dlllist

python2.7 vol.py -f ../memdump.mem –profile Win10x64 malfind

python2.7 vol.py -f ../memdump.mem –profile Win10x64 malfind -p pidnumarası

python2.7 vol.py -f ../memdump.mem –profile Win10x64 procdump -p pidnumarası –dump-dir=/tmp/dmp

python2.7 vol.py -f ../memdump.mem –profile Win10x64 netscan

python2.7 vol.py -f ../memdump.mem –profile Win10x64 netscan | grep -E “\b([0-9]{1,3}\.){3}[0-9]{1,3}\b” -o > ipliste.txt | sort |uniq

Office Dosyaları Malware Analizi

Oledump ve Olevba araçaları ile inceleme yapılır.

python oledump.py makrolu.doc

python oledump.py makrolu.doc -s 8 v

olevba makrolu.doc