AutoRun Analizi
AutoRun Analizi
AutoRuns; Windows ön yükleme sırasında başlamak için
işlemleri aradığı konumları ifade etmek için kullanılan bir terimdir. Yani
herhangi bir kullanıcı tarafından kasıtlı başlatılmadan otomatik olarak çalışan
yazılıma denir. Bu yazılım türü, bilgisayar başlatıldığında başlayan sürücüleri
ve hizmetleri içerir. Dosya sistemindeki ve registry de toplam 200 den fazla
konum Windows’sun otomatik başlatmalarını yapılandırmasına izin verecek
mekanizma bulunur. Bu konumlara genellikle Autostart Extensibility Points
(ASEP) denir.
ASEP’lerin ilk oluşturma amacı kullanıcıya yardımcı
olmaktır örneğin, anlık mesajlaşma uygulamasında çevrim içi olduğunu bilmesini
istiyorsanız, oturum açtığınızda uygulamanın başlatılması kolaylık sağlar. Yani
Windows işletim sistemi başlatıldığında kullanıcının herhangi bir müdahalesi
veya etkileşimi olmaksızın birçok yazılımı otomatik olarak başlatmasıdır.
Malware’lar ASEP’leri kullanarak Windows sistem üzerinde
kalmak için kullanmış olduğu kalıcılık mekanizması sağlamaktadır. Adli analiz gerçekleştiren bir makinede
AutoRun analiz edilerek malware’ın sistem üzerinde kalmak için kullandığı
mekanizma bulunabilir.
AutoRun analiz etmek için Windows Sysinternals
araçlarında Autorunsve ve Autorunsc araçlarını kullanabiliriz. Autorunsve GUI
tabanlı Autorunsc ise CLI tabanlı araçlardır.
autorunsc64.exe –help yazınca uygulama ve parametreleri
hakkında bilgi edinebiliyoruz.
Bir sistem üzerinde Autorunsc çalıştırmak için;
autorunsc64.exe -accepteula -a * -s -h -c >
.\M_out.csv
komutunu yazıp enterlıyoruz.
komutunu yazıyoruz.
Autorunsc64.exe : aracın dosyası
-accepteula : kullanıcı lisansını kabul ediyorum
-a: tüm startup lokasyonlarını göster
-s: imza doğrulaması yap
-h: dosyaların hash bilgisini gösterir.
-c: elde edilen bulguları çıktı olarak dışaraya sunmasını
sağlar.
.\M_out.csv: elde edilen ASEP’leri yazmış olduğu csv
dosyası
Komut çalıştıktan sonra belirlemiş olduğumuz dizin üzerinde csv dosyasını görebiliyoruz.
Burada baya verinin olduğunu görebiliriz. Çeşitli
filtrelemeler kullanılarak daha az veri üzerindeki AutoRun kontrol etmemiz
olanak sağlanabilir.
bazı örnek filtre kombinasyonlarını kullanarak sistem
üzerinde şüpheli ASEP’leri tespit
edebiliyoruz, başlıca uygulanması gereken filtreleri şöyle sıralıyabiliriz;
·
Tüm veriler kimse tarafından imzalanmadı
·
Bilinmeyen veya tanıdık olmayan bir
kaynak tarafından imzalanmış tüm ASEPS'ler
·
Etkinleştirilmiş ve güvenilir bir kaynak
tarafından imzalanmamış tüm ASEPS'ler
·
Etkinleştirilen tüm ASEP'ler ve ASEP ile
ilişkili hiçbir şirket yok.
·
powershellerin kullanmış olduğu
komutlarların neler olduğu .
Dikkat etmeniz gereken birkaç yerlerdendir.
