Home » All posts

4 Ağustos 2020 Salı

FLARE VM Kurulumu

   Ağustos 04, 2020       Muhammed AYGÜN



FLARE VM 

 
Flare VM; FireEye firamsı tarafından Windows platformlarında tersine Mühendislik ve zararlı yazılım analizi sırasında yardımcı tooların bulunduğu bir dağıtımdır. 
Ücretsiz ve açık kaynaklı Windows tabanlı bir dağıtımdır.  

 

               

Flare VM Kurulumu: 


1- Kurulumunu gerçekleştirmek için önceden MS Windows sanal makine oluşturmalıyız.  (Ben sanal makine oluşturmak için;  VMware 15.5 pro versiyonunu ve Windows 7 32 bit pro kurdum. ) 
 
2- https://github.com/fireeye/flare-vm adresinden flare-vm zip dosyasını sanal makineme indirdim. 
 
3- Sanal makinemde power shelli yönetici olarak çalıştırın.  
 
4- Set-ExecutionPolicy Unrestricted     Komutunu girerek komut dosya çalıştırmayı etkinleştirdim.  
 
5- Sanal makinama indirmiş olduğum flare-vm-master klasörüne gidiyorum.
(" cd C:\Users\HP\Desktop\flare-vm-master "  ) 
 
6- İçerisine dahil olduğum klasörde  .\install.ps1   komutunu çalıştırıyorum. Bize parolamızı soruyor parolamı girdikten sonra kurma işlemine geçiyor. 
 
7- Sanal makine kapanıp açıldıktan sonra masaüstüne Boxstrater Shell adlı uygulama geliyor bu uygulamayı çalıştırınca komut satırı çıkıyor komut satırına  InstallBoxstarterPackage PackageName https://raw.githubusercontent.com/fireeye/flarevm/master/install.ps1 yazıyoruz ve bekliyoruz. 
 
8- Daha sonra sanal makinemiz internet hızına bağlı olarak 40- 50 dk içerisinde kurulacaktır. Birkaç kere açılıp kapandıktan sonra makinemiz hazır olacaktır.  
 

Kurarken hata alınıyorsa;  
 
  • .NET 4.5 https://www.microsoft.com/en-us/download/details.aspx?id=30653           
  • WMF 5.1 https://www.microsoft.com/en-us/download/details.aspx?id=54616 
    Uygulamaların güncelliğini kontrol edin.

  •  işletim sisteminin güncelliğini kontrol edin 

                                               
 
  
 

İçerisinde Bulundurduğu Toolar ; 

Android 
 dex2jar 
 apktool 

Debuggers 
 flare-qdb 
 scdbg 
 OllyDbg + OllyDump + OllyDumpEx 
 OllyDbg2 + OllyDumpEx 
 x64dbg 
 WinDbg + OllyDumpex + pykd 

Decompilers 
 RetDec 

Delphi
 
 Interactive Delphi Reconstructor (IDR)
 
Developer Tools 
 VC Build Tools 
 NASM 

Disassemblers 
 Ghidra 
 IDA Free (5.0 & 7.0) 
 Binary Ninja Demo 
 radare2 
 Cutter 

.NET
 de4dot 
 Dot Net String Decoder (DNSD) 
 dnSpy 
 DotPeek 
 ILSpy 
 RunDotNetDll 

AutoIt 
 AutoItExtractor 

Flash 
 FFDec 

Forensic 
 Volatility 
 Autopsy 

Hex Editors 
 FileInsight 
 HxD 
 010 Editor 

Java 
 JD-GUI 
 Bytecode-Viewer 
 Java-Deobfuscator 

JavaScript 
 malware-jail 

Networking 
 FakeNet-NG 
 ncat 
 nmap 
 Wireshark
 
Office 
 Offvis 
 OfficeMalScanner 
 oledump.py 
 rtfdump.py 
 msoffcrypto-crack.py 

PDF 
 PDFiD 
 PDFParser 
 PDFStreamDumper
 
PE 
 PEiD 
 ExplorerSuite (CFF Explorer) 
 PEview 
 DIE 
 PeStudio 
 PEBear 
 ResourceHacker 
 LordPE 
 PPEE(puppy)
 
Pentest 
 Windows binaries from Kali Linux 

Powershell 
 PSDecode
 
Text Editors 
 SublimeText3 
 Notepad++ 
 Vim
 
Visual Basic 
 VBDecompiler 
Web Application 
 BurpSuite Free Edition 
 HTTrack 

Utilities 
 FLOSS 
 HashCalc 
 HashMyFiles 
 Checksum 
 7-Zip 
 Far Manager 
 Putty 
 Wget 
 RawCap 
 UPX 
 RegShot 
 Process Hacker 
 Sysinternals Suite 
 API Monitor 
 SpyStudio 
 Shellcode Launcher 
 Cygwin 
 Unxutils 
 Malcode Analyst Pack (MAP) 
 XORSearch 
 XORStrings 
 Yara 
 CyberChef 
 KernelModeDriverLoader 
 Process Dump 
 Exe2Aut 
 Innounp 
 InnoExtract 
 UniExtract2 
 Hollows-Hunter 
 PE-sieve 
 ImpRec 
 ProcDot 

Python, Modules, Tools 
 Py2ExeDecompiler 
 pyinstxtractor 
 Python 2.7 
    o hexdump 
    o pefile 
    o winappdbg 
    o pycryptodome 
    o vivisect o binwalk 
    o capstone-windows 
    o unicorn 
    o oletools 
    o olefile 
    o unpy2exe 
    o uncompyle6 
    o pycrypto 
    o pyftpdlib 
    o pyasn1 
    o pyOpenSSL 
    o ldapdomaindump 
    o pyreadline 
    o flask 
    o networkx 
    o requests 
    o msoffcrypto-tool 
    o yara-python 
    o mkyara 
 
Other 
 VC Redistributable Modules (2005, 2008, 2010, 2012, 2013, 2015, 2017) 
 .NET Framework versions 4.8 
 Practical Malware Analysis Labs 
 Google Chrome 
 Cmder 
 






 
 
 
 
 

Kaynaklar: 

https://github.com/fireeye/flare-vm 
https://www.fireeye.com/blog/threat-research/2018/11/flare-vm-update.html 

  

30 Temmuz 2020 Perşembe

Malware Analizine Giriş Ve Kullanılan Toollar

   Temmuz 30, 2020       Muhammed AYGÜN

 


MALWARE


 

Malicious ve Software kelimelerinden türetilmiş bir terimdir. Scumware olarakta adlandırılabilir. Kötü amaçlı yazılım olarak Türkçeleştirilebilir. Ransomware, backdoor , rat, worms, truva atı gibi yazılımlar malware olarak tanımlanır. 
1990 yılında Yisrael Radia tarafından malware ismi konulmadan önce, bu tür yazılımlara virüs adı veriliyordu.
 
Kullanım amacı; sistemlere bulaşarak sistemdeki verileri, bilgileri çalmak, ifşalamak ve zarar vermek olabilir. Bilgisayarımıza bulaşan bir malware; bilgisayarımızın ayarlarını değiştirebilir, yazılımları kaldırarak sistem hatalarına neden olabilir bilgisayarımızın ayar bilgisayarımızın kamerasını açabilir bizi izleyebilir. Malwareın kullanım amacını genel olarak; 
1. Para kazanmak,  
2. Sistemden bilgileri çalmak veya zarar vermek  
3. Sistemler üzerinde hata meydana getirmek 
 

Malware türleri: 



 

 AdwareAdware’e maruz kalan bilgisayar durduk yere reklam çıkarmaktadır
 
 Spyware Spyware’e maruz kalan sistemde internet aktivitelerini gizlice takip etmektedir
 
 Worm (solucan): Kendini kopyalayarak eriştikleri bilgileri ve verileri yok eder. 
 
 Trojan (Truva atı)Yararlı yazılımı gibi görünen kötücül bir yazılımdır
 
 Rootkit:  Bilgisayarın işletim sistemi çekirdeğine sızarak saldırgan sistemi uzaktan kontrol etme ve tam yetki sağlayan malwaredır. 
 
 Backdoors: Sistemde arka kapı açan bir malware türü. Arka kapı sayesinde saldırgana erişim imkanı verir. 
  
 Keyloggers: Sistemde yaptığımız her klavyeye basışı kaydeder
 
 Rogue security software: Sahte güvenlik yazılımı olan bu malware bize sanki bir antivirüs yazılımıymış gibi görünür
 
 Ransomware: Fidye yazılım olarakta adlandırılır. Sistemizi veya içerisindeki dosyalarıbir ödeme yapılıncaya kadar şifreler.
 
 Logıc Bombs (matık bombası): Herrhangi bir program içerisine yerleştirilen malware yazılımıdır. 




 
 
Malware’e maruz kalmış sistemlerde; 
- Dosyalar durduk yere silinebilir. 
- Bilinmeyen süreçler çalışabilir. 
- Cpu kullanımında bir artış olur. 
- Bilgisayar yavaşlayabilir durduk yere donabilir. 
- Programlar kendiliğinden kapanabilir ya da yeniden yapılandırılabilir. 
 


Malware nasıl bulaşır

 E-mail ekleri indirilirse. 
 USB,CD, DVD den yayılabilir 
 Crackli programın içerisinde gömülü olabilir. 
 İnternet tarayıcımızdan girmiş olduğumuz web sitesi üzerinden de malware bulabilir 
 
 

 
 

Malware Analizi  

Malware analizi; malware’in işlevselliğini, kökenini ve potansiyel etkisini belirlemek için kullanılan yöntem ve becerilerin tümüdür. Malware analizi kötü niyetli yazılımların çeşitli araçlar ve yöntemler kullanılarak incelenmesine denir.   
Malwarın analizinin amacı genellikle, ağ saldırısına veya zararlı yazılım bulaşmasına yanıt vermemiz gerekir bu sebepten zararlı yazılım nasıl çalıştığını, ne olarak tanımlandığını ve nasıl sisteme bulaştığı konusunda incelemeler yapmak. Eğer malware’ın analizi yapılmaz ise o malware’e karşı ne gibi önlemler alınacağı bilinemez ve böylece malware sürekli olarak sisteme zarar vermeye devam eder. 
Analiz sırasında izlenecek yöntemler temel olarak statik analiz, dinamik analiz ve memory analizi olmak üzere üçe kısma ayırabiliriz.  

Statik analiz

Malwareları çalıştırmadan yapılan analiz yöntemlerini kapsar.  Dosya formatının tespiti, içerisinden geçen kelimelerin derinlemesine kod analizi yapmadan incelenmesi, analiz edilecek malwareın antivirüsler karşısındaki tepkisinin ölçülmesi, hash değeri alınmış halinin daha önceki zararlı hashler ile kıyaslanması ve uygulamanın packed ya da obfuscated edilmiş olup olmadığının programlar yardımıyla tespit edildiğinde basit statik analiz denilebilir.
İleri statik analiz diyebilmemiz için; IDA pro, radare2 gibi programlar kullanılarak low level seviyede geçen kelimeler, bağlantı kütüphaneler, fonksiyonlar gibi özelliklerin incelenerek zararlı yazılımın işleyişinin analiz edildiğinde diyebiliriz.  

 

Statik analiz de kullanılan araçları; 


 Strings  (http://split-code.com/strings2.html) 
 Mastiff  (https://git.korelogic.com/mastiff.git/) 
 Dependency Walker  (https://www.dependencywalker.com/) 
 PEİD (https://www.aldeid.com/wiki/PEiD) 
 JAD (https://github.com/rshipp/awesome-malware-analysis) 
 Reflector (https://www.hybridanalysis.com/sample/6ba348c3b260ac324afc8673dcb1f79bee70fc877491a2223c84bcafa43b db93?environmentId=100) 
 dnSpy (https://www.hybridanalysis.com/sample/e1f647e5ad09dc0d651af5bd0bd6d0b8de1f6ebec0e52fcaef33c0d3cd6a e460?environmentId=100) 
 CFF Explorer Suite (https://ntcore.com/?page_id=388) 
 Pestudio (https://www.winitor.com/)  PEframe (https://github.com/guelfoweb/peframe) 
 
 
 
 

Dinamik Analiz:

Oluşturulan lab ortamında zararlı yazılım çalıştırılarak, sistem üzerinde yaptığı değişiklikleri incelme üzerine yapılan analiz çeşididir.

Malwareın ağ üzerindeki davranışların, dosya ve kayıt defteri üzerinde yaptığı değişiklikleri, oluşturulan processler incelenmesi basit dinamik analiz olarak adlandırılabilir. 

Zararlı yazılımın çalıştırıl durumdayken incelendiği, debug edildiği kısmı , İşlemci komutları, cpu, register üzerindeki değişimi inceler. Fonksiyon çağırımları izleme, fonksiyon parametrelerini izleme gibi tekniklerin kullanılması ileri dinamik olarak sınıflandırabiliriz. 
 

Analiz sırasında kullanılan dinamik programlar;

 IDA PRO (https://www.hex-rays.com/products/ida/) 
 Ollydbg (http://www.ollydbg.de/) 
 Immunity Debugger (https://www.immunityinc.com/products/debugger/) 
 Windbg (http://www.windbg.org/) 
 gdb/edb (https://www.gnu.org/software/gdb/) 
 redare2  (https://github.com/radareorg/radare2) 
 HxD (https://mh-nexus.de/en/hxd/) 
 wxHexEditor (http://www.wxhexeditor.org/) 
 Nagios (https://www.nagios.org/) 
 Wireshark (https://www.wireshark.org) 
 Process Monitor (https://docs.microsoft.com/tr-tr/sysinternals/downloads/procmon) 
 Process Explorer (https://docs.microsoft.com/tr-tr/sysinternals/downloads/process-explorer) 
 Autoruns (https://docs.microsoft.com/tr-tr/sysinternals/downloads/autoruns) 
 RegShot (https://sourceforge.net/projects/regshot/) 
 NetworkMinner (https://www.netresec.com/?page=NetworkMiner) 
 Fiddler (https://www.telerik.com/download/fiddler) 
 

Memory (bellek dökümü) analizi:

Zararlı yazılımın çalıştırıldıktan sonra hafızada kapşayan yerinin kopyalanarak diske kaydedilmesi ve diske kaydedilmiş bu hafıza alanın yardımıyla incelenmesini oluşturan ksımdır. 

Bellek analizinde kullanılan araçlar; 
 Volatility (https://www.volatilityfoundation.org/) 
 Memoryze (https://www.fireeye.com/services/freeware/memoryze.html) 
 Redline (https://www.fireeye.com/services/freeware/redline.html) 
 
 
 

 Onilen  Malware Analiz siteleri 


Malwarelerı onilen olarak analiz etmek mümkündür.  
Bazı onilen analiz etemeye yardımcı siteler; 
http://zar.sge.gov.tr/UploadSample/ZararliYazilimYukle 
https://www.hybrid-analysis.com/ 
https://www.joesandbox.com/ 
https://www.virustotal.com/gui/home/upload 
 
 
 
 

Malware analiz etmek için hazır sanal ortamlar; 

 
SIFT Workstation (https://digital-forensics.sans.org/community/download-sift-kit/3.0) 
REMnux (https://app.box.com/s/aag3olb4ilajqazsb7d0acbibb6sxhe4) 
Fireeye (https://www.fireeye.com/blog/threat-research/2017/07/flare-vm-the-windows-malware.html) 
 
 
 

 
Kaynak : 
https://tr.wikipedia.org/wiki/Malware 
https://www.webtekno.com/yazilim/malware-h16294.html 
https://en.wikipedia.org/wiki/Malware_analysis 
https://www.hackingtutorials.org/malware-analysis-tutorials/basic-malware-analysis-tools/ 
https://www.slideshare.net/bgasecurity/zararl-yazlm-analizi-in-lab-ortam-hazrlamak 
https://canyoupwn.me/tr-awesome-learn-malware-analysis/ 
 
 


 

Muhammed AYGUN 

  

Kaydol: Kayıtlar ( Atom )