Kötü Amaçlı Yazılım Nam-ı Diğer Malware Analizi ve Korunma 2 - Malware Analizi, Soruşturma Süreci, Temizleme

Bu yazımda size malwareyi nasıl analiz ederiz, nasıl temizleriz bunu anlatmaya çalışacağım inşAllah. Önceki yazımda malwareyi sözel olarak anlattım yani uygulama yapılacak bir şey yazmadım. Dostunuza yakın olun düşmanınıza daha yakın olun derler ya onun için biraz tanımladım yoksa ben de bilirdim direkt uygulamayı yazayım. Hem genel kültür olur diye de düşünebiliriz vs vs lafı uzatmadan...

MALWARE ANALİZ

Malware kaldırma işlemi uygulamadan önce bu malware'in var olduğunu kesin bilmemiz lazım çünkü bazı malware çeşitleri system32 klasöründe yer alıyor virüs diye yanlış dosyayı silerseniz geçmiş olsun..

 En sık karşılaşılan (malware tarafından oluşan) hatalar:
  • Bilgisayar sürekli pop-up ve hata mesajı gösteriyorsa.
  • Bilgisayar sık sık donuyor ve üzerinde çalışamıyorsanız
  • Görev yöneticisinde görülebilir.
  • Çevrenizdeki kişiler sosyal medyadan veya mail olarak sizden aldığı mesajlardan şikayet ederler.
  • Dosya uzantıları değişik görünüyorsa.
  • İnternet hızınız çok iyi olsa da explorer donuyorsa.
  • İşletim sistemi dosyaları bozuk veya eksik olduğunu belirten hata mesajları alırsanız.
  • Bilgisayar çok fazla bant genişliği veya ağ kaynağı kullanıyorsa; h.o. nur topu gibi bir bilgisayar wormunuz var.
  • Herhangi bir işlem yapmadığınız halde sabit disk alanı her zaman doluysa.
  • Dosya ve program boyutları orijinal boyutuna göre değişikse.

Bunlar en fazla bilinen, karşılaşılan kolay algılama teknikleriydi. Windows kullananlar için bilgisayarda olan malware'i büyük ihtimalle bulabilecek 3 yöntem: #ikisi benzer sayılır

Netstat:
Bilgisayarda keylogger olmadığını tespit etmek için cmd'yi açıp şu kodu yazın:
netstat -an | find ":25"
netstat -an | find ":21"
  Eğer sonuc olarakj IP adresleri yer alıyorsa bilgisayarınızda keylogger var h.o.
Process Explorer:
  https://docs.microsoft.com/tr-tr/sysinternals/downloads/process-explorer
Tabii ki burada programın ayrıntılı bir şekilde anlatmayacağım sadece yapılması gereken adımları anlatıcağım zaten görev yöneticisinden fazla bir farkı yok.
Görev yöneticisinde gördüğümüz çalışan uygulamaları görebiliriz ayrıca bu programda virustotal analizi yapıyor.

0/71 gibi ise herhangi bir malware tehlikesi yoktur eğer yani 0 değil de başka bir sayıysa o oranın üzerine basarak web sitesinden antivirüs programlarının yanıtlarını görebilirsiniz.
Autoruns:
https://docs.microsoft.com/tr-tr/sysinternals/downloads/autoruns
Bu program da process explorer'e benzer.
Manuel olarak malware'i bulmak için biraz tecrübe lazım.
Bu programı kullanırken options sekmesinde hide empty locations ve hide microsoft entries'i etkinleştirin bu sizin standart ve microsoft girişini yanlışlıkla kaldırmadığınızdan emin olmak için (Allah korusun bilgisayarınız çalışmayabilir :))

Unutmadan Virustotal eklentisi var :)
Malware bulmak için bir kaç ipucu vermek de isterim:
Descriptionda ve publisherda bir şey yazmaz.
Eğer yazılımı adından tanırsanız sorun yok ama aşina olunan bir yazılıma benzer ad kullanmış olabilir.
Genelde logon sekmesinde görülür (her zaman değil)
Dosya gezgininden bu dosyaların son değiştirme tarihine bakarsanız (Yanlarında yazan dosya yollarına giderek dosyanın ayrıntılarına bakarsanız) ve bu değiştirme tarihi çok yakın bir tarihse malwaredir.
Malwarelar genellikle "C:\Windows" veya "C:\Windows\System32" klasöründe bulunur.
Genellikle bir simgesi yoktur (En soldaki logosu)
Dosyanın ismi yani klasördeki ismi random gibi(rastgele harfler ve rakamlarsa) malwaredir.
Publisher yerinde "(verified)" yazıyorsa kesinlikle malware değildir..
( Uygulamalı göstermek için virüs mü yükleseydim :/ )

Malware ile alakası olmayan hatalar
Sistem bios aşamasında önyüklenirken hata oluyorsa
Donanım hataları
Klavye ve fare çalışmıyor ise
Ekran çok sık açılıp kapanıyorsa donanım hatasıdır

MALWARE TEMİZLEMEYE HAZIRLIK

Malwarelar bazı olaylar sayesinde programlara yayılır. Malwarelar kendi kendine başlatamadıkları için birkaç olay gerçekleşmesi gerekir. Yürütülmeyen dosyaları kullanarak kendilerini iletebilir ve diğer ağ veya bilgisayara bulaşabilirler. Malware dosyalarını iyi bilmemiz lazım yani hangi portları kullanıyor hangi dosya ile ilişkilendirilmiş bunları belirlemeliyiz bunları belirlememiz bu dosyaları onarmak ve silmek daha kolay olur.

 Yukarıda anlattığım gibi olağan dışı işlemler ve  hizmetlerle karşılaşıyorsak bir malware ile ilişkilendirebilmek için soruşturma süreci yapmamız lazım.
Soruşturma süreci araçları şunlardır:
fport
pslist
netstat
Listdll

 Listdll kullanılmakta olan tüm dll dosyalarını gösterir. Netstat tüm işlemleri bağlantı noktalarını vs göstermektedir. .

 Netstat -ano komutuyla işlem numarasıyla eşlendiğini görebilirsiniz. İşlem numaraları (PID) görev yöneticisinden hangi programa denk geldiğine bakabilirsiniz.
Görev yöneticisi > Hizmetler sekmesi.

 Fport, hizmetlerin ve PID'lerin hangi portla eşleşmiş olduğunu bulmak için kullanılır.

 Process Explorer'i anlatmıştım işlem gezgini olarak da biliniyor.

MALWARE KALDIRMA

Malware'i kaldırmayı da anlatayım ve bitireyim :)

 En basiti:
Autoruns kullanarak zararlı yazılımları tespit edin (yukarıda anlattığım gibi)
daha sonra bu dosyaları görev yöneticisinden veya process explorerdan durdurun.
daha sonra bu dosya yolundan bu dosyaları silin sonra yeniden başlatın ve malwarenin silindiğinden emin olun / autoruns ve process explorer'dan bakın.

 Ya da bu (bence bu daha sağlıklı bir kaldırma işlemi olur)

 Bilgisayarın ağ bağlantılarını kesmeniz gerekiyor bu sayede malware, heykır abimiz ile bağlantıya geçemeyecek ve veriler heykır abimizin eline geçmeyecek
Bilgisayarı güvenli modda başlatın. Güvenli mod gerekli olan programların ve hizmetleri çalıştırır. Bu bize şu avantajı sağlar: Eğer malware bilgisayar açıldığında otomatik olarak başlatılmaya ayarlanmışsa güvenli mod bu malwarenin otomatik olarak açılmasını engeller. Artıdan açık olmayan dosyalar daha kolay kaldırılır.

 Güvenli modda başlatma:
Bilgisayarı güvenli modda başlatmak windows 7'den windows 10'a kadar değişebilir.

 Windows 10 için:
Ayarları açmak için windows logo tuşu+I 
Olmazsa başlat'tan ayarları seçin. Güncelle ve güvenlik > Kurtama. buradan ayarlarsınız hangisi uygunsa.
Gelişmiş başlangıç bölümünün altında şimdi yeniden başlatı seçin
PC'niz için bir seçenek belirleyin yeniden başlattıktan sonra:
Sorun giderme > Gelişmiş Seçenekler > Başlangıç ayarları > Yeniden başlat seçeneğini seçin
Bilgisayarınız yeniden başlatıldıktan sonra bir seçenek listesi göreceksiniz.
Güvenli modda başlatmak için f4, internet kullanmanız gerekirse f5'i seçin.

 Son olarak: 
Malware ile ilgili olabilecek süreclerini durdurun:
Tüm ilişkili kötü amaçlı işlemleri sonlandırmaya çalışın. bunu yapmak için Rkill programını kullanabilirsiniz.
Antivirüs indirin ve taramaya başlayın...
Pcnizin güvenliğini her türlü tehditten korumak / güvenliğini sağlamak için Bilgisayar Güvenliği serimi okumanızı tavsiye ederim :)
______________________________________________________

 Eğer virüs tarama yapıp öyle tespit edip silmek istiyorsanız:
Boş beleş dosyaları silin:
Bunu yapmanız virüs taramasını hızlandıracaktır ve disk alanını boşaltacaktır. Bunun için win10 ile beraber gelen Disk cleanup kullanabilirsiniz..
______________________________________________________

Bugün size yarınki depremde ölmeden önce mutlaka okumanız gereken bir yazı yazdım. Bu yazım bu kadar; eksik yazdığım yanlış yazdığım bir şey olursa yoruma yazarsanız düzeltirim (Sanki kaldırma bölümü biraz karışık gibi oldu inşAllah anlarsınız). Normalde yazıyı ayırmayı düşünüyordum ama bütünlüğü bozulabilecek gibi olduğu için bir bütün olarak attım. Umarım beğenirsiniz.

 Abone olmayı unutmayın :D
zaman:
Etiketler:

1 yorum:

  1. alexathomson29 Mayıs 2019 01:38

    Really nice and interesting post. I was looking for this kind of information and enjoyed reading this one.

    Reckon Support

    YanıtlaSil

Kaydol: Kayıt Yorumları (Atom)