Kötü amaçlı yazılımlara karşı mücadele söz konusu olduğunda, bir ağın savunma yeteneği sahip olduğu araçlar ile belirlenir. Kötü amaçlı yazılımları doğru şekilde tanımlamak ve analiz etmek için doğru yazılımlara sahip olmanız gerekir. Bu makale, her bir araç türünü seçerken göz önünde bulundurulması gereken temel faktörlere ek olarak, kötü amaçlı yazılım analizi için gereken araçları içermektedir.
Kötü amaçlı yazılımlar genellikle kullanıcının ortamında önemli değişiklikler yapmayı hedefler. Kötü amaçlı yazılımlar dosyaları silebilir, değiştirilebilir, kayıt defteri ayarları ekleyebilir, değiştirilebilir veya kaldırılabilir. Kötü amaçlı yazılımların ayırt edici özelliği olarak kabul edilen belirli davranışlar ve eylemler vardır. Ancak kötü niyetli bir yazılım bu değişiklikleri zaten yapmışsa, yazılım algılansa bile sisteminiz çoktan zarar görmüş olabilir.
Davranış Analizi Araçları
Geride bıraktığımız yıllarda, kötü amaçlı yazılımlar genellikle karşılaştırma yoluyla tanımlanırdı. Bir program kurulduğunda veya çalıştırıldığında, bilinen kötü amaçlı programların imzaları kontrol edilirdi. Programın imzası dizinde yoksa, güvenli kabul edilirdi. Bu ilkel bir analiz yöntemi olmasına rağmen, aynı zamanda uygulanabilir, hızlı ve ucuzdu. Sürekli olarak yeni kötü amaçlı yazılımlar tanımlanıyor ve bu listeye ekleniyordu ve kötü amaçlı yazılımlar bugün olduğu kadar sık yayınlanmıyordu.
Günümüzde yalnızca yeni kötü amaçlı yazılımlar daha sık yayınlanmakla kalmıyor, aynı zamanda gelişmiş kötü amaçlı yazılımlar artık kendilerini anında değiştirebiliyor ve tespit edilmekten kaçınmak için yeni imzalar oluşturabiliyor.
Davranışsal analiz araçları imzalara dayanmaz. Bunun yerine, yazılımın ne yapmaya çalıştığını belirler ve ardından kullanıcıyı davranışın kötü niyetli olduğu konusunda uyarır. Kayıt defteri ayarlarını tehlikeli bir şekilde değiştiriyor veya güvenlik ayarlarını değiştiriyor gibi görünen veya taşınacak başka bir sistem arayan bir yazılım örnek olarak verilebilir. Kötü amaçlı yazılım analiz aracı, kullanıcıya programın tehlikeli bir şekilde davrandığını bildirir. Daha sonra programın kötü amaçlı olup olmadığını belirlemek kullanıcıya kalmıştır.
Tersine Mühendislik ve Hata Ayıklama Araçları
Bazen kötü niyetli bir yazılım, en iyi otomatik analiz araçlarının bile onları algılayamayacağı veya ne yaptıklarını tam olarak anlayamadığı kadar karmaşıktır. Bu durumda, kötü amaçlı programlar bir hata ayıklayıcı, ayrıştırıcı ve diğer özel araçlar kullanılarak tersine mühendislik yapılabilir.
Tersine mühendislik çok üst düzey bir analiz yöntemidir . Aşırı derecede yoğun ve zaman alıcıdır. Bu nedenle genellikle bir ağı koruyan otomatik süreçlerin bir parçası değildir. Bunun yerine, ilk kez görülen şüpheli dosyalar da dahil olmak üzere belirli program ve dosyalardaki olası kusurları veya kötü niyetli davranışları belirlemeye yöneliktir.
Ağ Trafiği Analizi
Davranış analizinde olduğu gibi, ağ trafiği analizi, yazılımın kendisinin özelliklerini belirlemek yerine kötü amaçlı yazılımların eylemleri aracılığıyla tanımlamaya dayanır. Ağ trafiği analizi, kötü amaçlı bir yazılımın ağdan kaynaklanan, ağa gelen ve ağ üzerinden yanal olarak geçen trafik dahil olmak üzere ağ genelinde etkinlik oluşturacağı gerçeğine dayanır. Ağ trafiği analizi, yüklenen veya indirilen çok sayıda dosyayı, taşınan dosyaları veya olağandışı hızlarda şifrelenen dosyaları tanımlayabilir.
Ağ trafiği analizi teknolojisini daha da etkili kılan şey, kötü amaçlı yazılım davranış analizi ile bir arada çalışabilmesidir. Böyle bir yetenek kombinasyonuyla, yalnızca anormal görünen ağ trafiği, bilinen kötü amaçlı yazılım davranışlarıyla karşılaştırılabilir. Bu, anormal aktivitenin gerçekten kötü niyetli olduğunu açıkça ortaya koyacaktır. Sonuçta, tüm anormallikler kötü amaçlı değildir.
En İyi Kötü Amaçlı Yazılım Analiz Araçları
- Wireshark – Wireshark, paketleri dosyalara yakalamak için bir ağı en ayrıntılı şekilde analiz etmek için kullanılır. Wireshark, canlı paket yakalama, yüzlerce protokolün derinlemesine incelenmesi, paketlere göz atma ve filtreleme için kullanılabilir. Dinamik Kötü Amaçlı Yazılım Analizi yapılırken, paketleri incelemek ve ağ trafiğini dosyalara kaydetmek için Wireshark kullanılabilir.
- Cuckoo Sandbox – Cuckoo Sandbox, önde gelen açık kaynaklı otomatik kötü amaçlı yazılım analiz sistemidir.
- Kaspersky – Kaspersky’nin Anti-virüs aracı, kötü amaçlı yazılımları engelleme ve virüslü bir sistemden kaldırma konusunda en iyilerden biri olarak bilinir. Bu anti-virüs aracının AV-Comparatives gibi sitelerde düzenli olarak en yüksek notları alır.
- Cisco Secure Malware Analytics, kuruluşları kötü amaçlı yazılımlardan korumak için gelişmiş tehdit istihbaratı için tek bir bileşik çözüm sunar. Zengin bir kötü amaçlı yazılım bilgi tabanıyla, kötü amaçlı yazılımın ne yaptığını veya yapmaya çalıştığını, ne kadar büyük bir tehdit oluşturduğunu ve buna karşı nasıl savunma yapacağınızı anlamanıza yardımcı olur.
- Zeek Network Security Monitor – Zeek, ağ trafiğini sessizce ve dikkat çekmeden gözlemleyen donanım, yazılım, sanal veya bulut platformudur. Yazılım gördüklerini yorumlar ve karmaşık raporlar, kompakt, yüksek kaliteli işlem günlükleri, dosya içeriği ve tamamen özelleştirilmiş çıktılar oluşturur. Ayrıca, günlükler diskte veya SIEM sistemi gibi daha analist dostu bir araçta manuel inceleme için kullanılır.
- Netcat – Netcat, Dinamik Kötü Amaçlı Yazılım Analizi gerçekleştirmek için harika bir araçtır çünkü bir kötü amaçlı yazılım analistinin ihtiyaç duyabileceği hemen hemen her ağ bağlantısını kurabilir. Netcat, herhangi bir bağlantı noktasında gelen ve giden bağlantılar yapmak için kullanılır ve bağlanmak için istemci modunda ve dinleme için sunucu modunda kullanılabilir.