Son kullanıcı için şüpheli dosya analizi nasıl yapılır?
Merhabalar, öncelikle son zamanlarda gelen zararlı yazılım, zararlı link ve ekli dosya olan şüpheli mailer için her ne kadar bizler yani BT çalışanları önlem alsalar da zararlı ekli dosya ve linkler durmak bilmeden gelmeye devam ediyor. Burada biz BT çalışanlarına düşen, bilgisayar kullanıcılarını eğitmek ve bilgilendirmek. Bir nevi balık tutmak değil de balık tutmayı öğretmek gibi düşünebiliriz ?
Yukarıdaki maili incelediğimizde;
Ben [email protected]adresinden herhangi bir mail beklemiyordum, mail başlığına baktığımızda pek de kurumsal bir dil olmayan “merhabalar siparişlerimize bakarmısınız …”yazdığını görüyorum.
Mail eki olarak Bel_54.xlsadında bir dosya göndermiş, bana bu isim pek bir şey çağrıştırmıyor.
Mail içeriğine baktığımızda ise Türkçe karakter formatının bozuk olduğu bir font tipi kullanılmış.
Bu tür mailler benim için her zaman şüphe uyandıran maillerdir, genellikle eğer buradaki mail atan kullanıcıyı tanıyorsam arar sorarım, hem bir halini hatırını sormuş olurum hem de siparişi ile ilgili maili onun gönderip göndermediğini öğrenmeye çalışırım, ya da şüpheli olarak gördüğüm mailleri zaman kaybetmeden direk silerim.
Eğer silemiyorsanız yazının devamında nasıl analiz edebileceğimize dair detayları bulabilirsiniz.
Benim zararlı ek ve yazılımları analiz amacıyla kullandığım 2 web site var
virustotal.com genel olarak eğer exe formatında bir dosya alınmışsa kabaca taratılıp virüs var mı yok mu gibi kontrolleri yapabileceğimiz bir sitedir.
Hybrid-analysis.com ise sandbox dediğimiz teknoloji ile çalışmaktadır.
Peki, o zaman kısaca sandbox nedir?
Sandbox, Bilgisayarınızdan farklı bir alanda yalıtılmış sanal ortam üzerinde güvensiz ve güvenli dosyaların çalıştırılabildiği bir ortam olarak düşünebiliriz.
Bu örneğimizde ekli dosyayı bu sandbox ortamında açarak sonuçları görüntülüyor olacağız.
Şüpheli ekli dosyayı bilgisayarımıza indirerek (açmadan, sadece eki kaydet diyerek) masaüstüne kaydediyoruz. Hybrid-analysis.com da üst ok ile işaretli alana zararlı ek dosyayı sürükleyebilirsiniz ya da alt kısımdaki ataç işareti olan alana tıklayarak ekli dosyayı göstererek yükleyelim.
Üst kısma email adresinizi yazabilirsiniz, opsiyoneldir. Bu bölüme mail yazarsanız sonuçları sizin mail adresinize atılır.
Allow community members to Access sampleve I consent to the Terms & Conditions and Data Protection Policyseçeneklerini işaretliyoruz.
Ben robot değilim seçeneğine tıkladığınızda çıkan doğrulama seçeneklerini işaretleyerek doğrula butonuna basarak bu bölümü geçebiliriz.
Bu bölümde hazırda kurulmuş, bulut üzerinde bulunan yalıtılmış bir alanda üzerinde MS Office uygulamaları, Adobe Flash Player, Adobe Reader olan temel uygulamaların yer aldığı bilgisayarlar bulunmakta. Burada bilgisayarınızın işlemci modeline ya da işletim sistemine göre bir seçim yapabilirsiniz. Örneğin genellikle 64 bit Windows işletim sistemi kullanıyoruz, bu yüzden Windows 7 64 bit seçeneğini seçerek devam edebiliriz. VMs kısmında o andaki sıra bekleme sayısını bize göstermektedir. Bizim bu örneğimizi yaptığımız sırada 11 adet sanal makine varmış, biz 1. Sıradaymışız.
Generate Public Report seçeneği ile devam ediyorum. Bu seçenek seçildiğinde ayrıca, çıkan sonuçlar virüs programı firmalarının da veritabanına gitmekte, bir sonraki virüs programı güncelleştirmesinde virüs programları size gönderilen zararlı yazılımı keşfetmiş ve engelliyor olacaktır.
Birkaç dakika bekledikten sonra dosyamızın MALICIOUS yani zararlı bir dosya olduğunu görüyoruz.
Dosya 4 virüs firması algoritması tarafından zararlı olarak görülmüş. Bakalım gerçekten zararlı mı?
Excel 2010 sembolü olan resimlere tıklıyorum (buradaki resim dosyaya göre değişiklik gösterebilir)
Dosyamız sandbox ortamında açılarak yazılımın zarar vermeye çalışan bir dosya olduğu komutların çalıştırılmaya çalışıldığı, linklere gitmek istediği gibi birçok detayı buradan görüntüleyebilirseniz.
Bu gibi mailleri bu şekilde analiz ettikten sonra hem maili hem de analiz etmek için masaüstüne kaydettiğiniz dosyayı direk olarak açmadan siliniz.
Eğer mail adresinizi yazmışsanız yazının ilk başında zararlı yazılım ya da ek incelendikten sonra size ekteki gibi bir link göndereceklerdir.
Zararlı olabilecek eklere ve dosyalara her zaman şüphe ile bakarak yaklaşın.
Güvenli günler dilerim
