Yazılım geliştirme sürecinde kod kalitesini ve güvenliğini artırmak için kullanılan yöntemlerden biri statik kod analizidir. Statik kod analizi, kodun çalıştırılmadan incelenmesi ve hataların, güvenlik açıklarının veya performans sorunlarının tespit edilmesidir. Bu makalede, statik kod analizinin ne olduğu, nasıl yapıldığı ve sağladığı faydalar ele alınacaktır.

Statik Kod Analizinin Avantajları

• Erken Hata Tespiti: Hatalar, yazılım geliştirme sürecinin erken aşamalarında tespit edilerek düzeltilir, bu da hata düzeltme maliyetlerini azaltır.
• Kod Kalitesinin Artırılması: Kodun daha okunabilir, bakım yapılabilir ve genişletilebilir olmasını sağlar.
• Güvenlik Açıklarının Tespiti: Potansiyel güvenlik açıkları erken tespit edilerek, saldırılara karşı daha güvenli yazılımlar geliştirilir.
• Standartlara Uygunluk: Kodun belirli standartlara ve en iyi uygulamalara uygun olmasını sağlar.

Statik Kod Analizi Nasıl Yapılır?

Statik kod analizi, manuel veya otomatik araçlar kullanılarak gerçekleştirilebilir. İşte bu süreçte izlenen temel adımlar:

• Araç Seçimi: Öncelikle, kullanılacak statik analiz aracı seçilir. Popüler araçlar arasında SonarQube, ESLint, Pylint, FindBugs ve Coverity yer alır. Hangi aracın kullanılacağı, projenin diline ve ihtiyaçlarına göre belirlenir.

• Kurulum ve Entegrasyon: Seçilen aracın, geliştirme ortamına kurulumu yapılır ve projeye entegre edilir. Bu entegrasyon, sürekli entegrasyon/teslimat (CI/CD) süreçlerine dahil edilebilir.

• Kod Analizi: Araç, kaynak kodu tarayarak belirli kurallara ve standartlara göre analiz eder. Analiz sırasında hatalar, uyarılar ve öneriler raporlanır.

• Raporlama: Analiz sonuçları, hatalar, uyarılar ve iyileştirme önerileri şeklinde raporlanır. Bu raporlar, genellikle web tabanlı arayüzler veya IDE eklentileri aracılığıyla sunulur.

• Hata Giderme: Raporlanan hatalar ve uyarılar, geliştiriciler tarafından düzeltilir. Bu süreçte, kodun iyileştirilmesi ve standartlara uygun hale getirilmesi hedeflenir.

• Tekrar Analiz: Hatalar giderildikten sonra, kod tekrar analiz edilir. Bu döngü, yazılım geliştirme sürecinin bir parçası olarak sürekli tekrarlanır.

Statik Kod Analizi Araç Kullanımı | SonarQube

Örneğin, Java, C#, Python, JavaScript, PHP, Ruby, C++ gibi birçok programlama dilini destekleyen Statik kod analizi aracı olan SonarQube aracını inceleyelim.

SonarQube Nedir?

SonarQube, statik kod analizi yapmak için kullanılan açık kaynaklı bir platformdur. Yazılım geliştirme süreçlerinde kod kalitesini artırmak, hataları ve güvenlik açıklarını tespit etmek için kullanılır.

SonarQube Aracı Nasıl Kullanılır.

Öncelikle Sonarqube aracını kurabilmek için java yüklü olması gerekmektedir. buradan en son sürümü indirebilirsiniz. 

https://www.java.com/download/ie_manual.jsp

Şimdi gelelim SonarQube Aracımızı kurmaya

https://www.sonarsource.com/products/sonarqube/downloads/

kendi resmi web adresinden sonarqube aracını indirebilirsiniz. Kurulumu çok basittir ve “9000” portunda çalışmaktadır. Yani siz kurulumu bitirdikten sonra tarayıcınıza gelip https://localhost:9000 web arayüzüne girebiliriz. Fakat kaynak kod analizi için bu yeterli değildir. Kod üzerinde statik kod analizi için “Sonar Scanner” aracınıda indirmemiz gerekmektedir. Sonar Scanner aracını indirmek için

https://docs.sonarsource.com/sonarqube/9.9/analyzing-source-code/scanners/sonarscanner/

kendi resmi sayfasından indirebilirsiniz..

Sonarqube üzerinden kaynak kod analizi başlatmak için tarayıcımızda https://localhost:9000 adresine gidiyoruz. Default kullanıcı adı “admin” default parolası “admin” dir.

Projenizi SonarQube’e Ekleme

SonarQube ile kod analizi yapmak için projenizi SonarQube’e eklemeniz gerekmektedir. 

1. SonarQube web arayüzünde, sağ üst köşede yer alan “Create Project” düğmesine tıklayın. Farklı ekleme şekilleri için “More” kısmına tıklayabilirsiniz.

2. “Create new project” seçeneği ile yeni bir proje oluşturun ve bir proje anahtarı (project key) belirleyin

3. Proje dilini seçin ve devam edin. Local proje için “Locally” seçeneğini seçmelisiniz.

4. Gelen ekranda, projeniz için bir bitiş süresi belirtebiliyor veya süresiz olarak ayarlayabiliyorsunuz. Seçimi yaptıktan sonra “Generate” diyerek işleme devam ediyoruz.

5. Sona doğru “Continue” diyerek işleme devam edin.

6. SonarQube’yi hangi platformda çalıştırmak istiyorsanız onu seçmelisiniz. Ben bu projede .NET’te yapacağım için onu seçiyorum. Hemen sonraki seçimimiz ise derleme türü yani .NET Core mu yoksa .NET Framework mü olduğuna karar veriyoruz. .NET Framework için farklı adımlar takip etmelisiniz. .Net Core’da ise işlem daha kolay devam etmektedir. Tabi bu seçimler sizin projenin türüne göre değişkenlik gösterecektir.

7. SonarQube’nin tarama işleminin yapabilmesi için son bir adım kaldı. .Net Core’da projenizde console ekranında sırası ile komutları çalıştırmanız yeterlidir. Sırasıyla kodları çalıştırdıktan sonra küçük bir beklemeden sonra sonuca ulaşacağız.

8. Tarama işlemi bittikten sonra “Sonarqube” aracının web arayüzüne geldiğinizde projedeki zafiyetleri, bu zafiyetler nasıl kapatılabilir gibi size bilgi verecektir.

9. Bugs kısmına girip bugları detaylıca inceleyip ne gibi hatalar olduğunu görebilirsiniz. Ayrıca hatanı nerede olduğunu hangi dizinde olduğunu da görebilirsiniz. SonarQube’nin bu analizleri sonucunda kodunuz daha da kullanışlı hale getirebilirsiniz.

faydalı olması dileğiyle.

https://eyupturan.com

The post Statik Kod Analizi Nedir ve Nasıl Yapılır? | SonarQube kullanımı first appeared on Eyüp TURAN | Siber Güvenlik Lab & Blog.

Daha önceki bir yazımda virüs total konusuna değinmiştik, ancak burada daha detaylı inceleme yapacağız.

https://eyupturan.com/virustotal-siber-guvenligin-vazgecilmez-araci/

Soc Analyst Uzmanı olamak istiyenlerin yaptığı büyük hatalardan biri virustotal’i sadece virüs var mı yok mu diye bakmalarıdır.

SOC analistleri sürekli olarak şüpheli kötü amaçlı yazılımlar, IP adresleri, etki alanı adlarıyla karşılaşıyor ve soruşturmayı ilerletmek için bunların kötü amaçlı olup olmadığına karar vermeleri gerekiyor. Bu kötü amaçlı yazılımın analizini gerçekleştirirken birçok karma, IP ve etki alanı verisi elde ediliyor. Toplanan veriler hakkında daha ayrıntılı sonuçlar elde etmek için çeşitli çevrimiçi hizmetler kullanılabilir.

Bu eğitim size VirusTotal ile dosya, karma, IP, alan adı ve URL analizi sırasında sahip olduğunuz bilgileri nasıl artırabileceğinizi gösterecektir. Toplanan verilerin nasıl yorumlanması gerektiğini ve yaygın hataları görerek VirusTotal’ı bir SOC Analisti olarak en etkili şekilde nasıl kullanacağınızı öğreneceksiniz.

VirusTotal ile Dosya Analizi

Bir SIEM veya diğer güvenlik çözümünün uyarısını incelerken şüpheli bir dosya fark etmiş ve onu analiz etmek istemiş olabilirsiniz. Farklı AV şirketlerinin dosya analiz sonuçlarını görüntülemek için dosyayı VirusTotal’a yükleyebilir ve AV ürünlerinin bu dosyayı kötü amaçlı olarak algılayıp algılamadığını öğrenebilirsiniz.
Not : SIEM nedir konusunu başka bir yazımda paylaşmıştım, blogda arama kısmında aratabilirsiniz.

https://www.virustotal.com/gui/dosya/415ba65e21e8de9196462b10dd17ab81d75b3e315759ecced5ea8f5812000c1b

https://www.virustotal.com/gui/dosya/415ba65e21e8de9196462b10dd17ab81d75b3e315759ecced5ea8f5812000c1b

Sonuçları daha detaylı yorumlamak için çeşitli alanlara bakmak gerekir. Aşağıdaki görselde 65 güvenlik şirketinden 49’u bu dosyayı kötü amaçlı olarak tespit ettiği belirtiliyor.

Etiketlerin olduğu bölümde dosyanın nasıl sınıflandırıldığına dair bilgiler yer alıyor. Örneğin yüklediğimiz dosyanın “makro” içerdiği ve “karartılmış” olduğu belirtilmişti.

Tespit etme​ Algılama bölümünde, satıcıların dosyayı kötü amaçlı olarak işaretlediği etiketi görebilirsiniz.

Detaylar​ Burada dosya hakkında bazı temel bilgiler ve VirusTotal geçmişi hakkında ayrıntılar bulabilirsiniz. Örneğin, “Temel Özellikler” alanı dosya karma bilgilerini ve daha fazlasını içerir.

” Geçmiş ” alanında dosyanın VirusTotal’daki ilk ve son analiz tarihleri yer alır.

Bir SOC Analisti olarak, bu alandan çok önemli sonuçlar çıkarabilirsiniz. Örneğin, kurumunuza bir kimlik avı saldırısı oldu ve e-postadaki eki analiz ettiniz. Dosyayı VirusTotal’a yükledikten sonra, bu dosyanın sizden önce analiz edildiğini görürseniz, bu kötü amaçlı yazılımın kurumunuz için özel olarak yazılmadığı sonucuna varabilirsiniz. (Tam olarak değil, ancak daha olası.)
Aynı şekilde daha önce analiz edilmiş bir dosyayla karşılaşırsanız bu saldırının farklı kurumlara yapıldığını anlayabilirsiniz.

İlişkiler​ Bu, elinizdeki şüpheli dosyanın iletişim kurduğu alan adı, IP, URL ve diğer dosyalar hakkında ayrıntılı bilgi gösteren sekmedir. Burada gösterilen veriler VirusTotal içindeki güvenlik satıcıları tarafından taranır ve sonuçları görebilirsiniz.

Genellikle bu sekmeyi dosyanın iletişim kurduğu şüpheli bir adresi kontrol etmek için kullanabilirsiniz. Aynı zamanda, “Tespitler” puanıyla itibarını görüntüleyerek şüpheli iletişim etkinliklerini daha hızlı tespit edebilirsiniz. Dikkat edilmesi gereken önemli bir nokta var: yeni nesil kötü amaçlı yazılımlar her zaman aynı davranışı sergilemez. Farklı sistemlerde farklı eylemler gerçekleştirerek güvenlik çözümlerini atlatmaya çalışırlar. Bu nedenle, ilişkiler sekmesinde görüntülediğiniz adresler kötü amaçlı yazılımın iletişim kurmak istediği tüm listeyi vermeyebilir, bu listenin eksik olabileceğinin farkında olmalısınız.

Davranış​

Bir dosyanın kötü amaçlı olup olmadığını belirleyen şey, onun aktiviteleridir. “Davranış” sekmesinde, farklı üreticilerin taranan dosyanın gerçekleştirdiği aktiviteleri listelediğini görebilirsiniz. Bu aktiviteler arasında, ağ bağlantıları, DNS sorguları, dosya okuma/silme, kayıt defteri eylemleri ve işlem aktiviteleri gibi birçok davranışla karşılaşabilirsiniz.

ÖNEMLİ NOT : Daha önce de belirttiğimiz gibi, günümüzün kötü amaçlı yazılımları her zaman aynı davranışı göstermeyebilir. Örneğin, komuta ve kontrol merkeziyle (CC) iletişim kuramayan kötü amaçlı yazılımlar kendini aktifleştirmeyebilir. Analiz etmek istediğiniz kötü amaçlı yazılımın komuta ve kontrol merkezi aktif değilse, dinamik ve statik analizler net bir sonuç vermeyebilir. Bu gibi durumlarda, VirusTotal gibi ortamlarda yapılmış eski analiz raporlarını bulmalı ve “Davranış” sekmesindeki gibi davranışı incelemelisiniz.

​

VirusTotal ile URL’leri tarama​

Virus Total’da dosya analizinin yanı sıra URL adreslerini de analiz edebilirsiniz. Tek yapmanız gereken URL bölümünden ilgili adresi sorgulamak.

Makalenin geri kalanında kötü amaçlı adres “ STRATO – Domain not available ” incelenecektir. (Bu adrese doğrudan erişmeyin çünkü kötü amaçlı bir adrestir. Aşağıda verdiğimiz VirusTotal bağlantısına tıklayarak dersi takip edebilirsiniz.)

Dosya analizinde olduğu gibi benzer bir arayüzle karşılaşıyoruz. Detection and Details için önceki yazdıklarımı inceleyebilirsiniz.

Soruşturma sırasında çeşitli IOC’ler (Uzlaşma Göstergesi) alabilirsiniz. Bu IOC’ler hakkında daha fazla bilgi edinmek için VirusTotal’in ” Arama ” bölümünde arama yapabilirsiniz. Örneğin, şüpheli bir dosyanın karma değerini burada arayarak, varsa geçmiş analiz sonuçlarını veya diğer farklı verileri bulabilirsiniz.
Örnek olarak “ 415ba65e21e8de9196462b10dd17ab81d75b3e315759ecced5ea8f5812000c1b ” SHA256 değerini arayalım .

Görüldüğü gibi geçmişte yapılmış bir analizin sonucuyla karşı karşıyayız.

https://www.virustotal.com/gui/dosya/415ba65e21e8de9196462b10dd17ab81d75b3e315759ecced5ea8f5812000c1b
hash değilde bir IP adresini aramak istiyorsak, benzer şekilde arayabilir ve itibarını görüntüleyebiliriz. Örnek IP adresi 70[.]121[.]172[.]89

Bir dosya yüklediğimizde, kötü amaçlı yazılımın bağlandığı IP adreslerini ” İlişkiler ” sekmesinde görebiliyorduk. Bunun tersi de geçerlidir. IP adresini arayarak, IP adresiyle ilgili dosyaları ” İlişkiler ” sekmesinde bulabilirsiniz. Dosyaların puanlarına bakarak daha fazla fikir edinebiliriz. Aşağıdaki resme bakarsak, aradığımız IP adresinin ” SplitPath ” ve ” TestMfc ” gibi dosyalarla ilgili olduğunu anlayabiliriz .

Kısacası, “ Ara ” bölümünden geçmiş VirusTotal sonuçlarını ve farklı dosyaları, IP’leri ve URL ilişkilendirmelerini görüntüleyebilirsiniz .

VirusTotal, SOC Analistleri tarafından gün içinde sıklıkla kullanılır, platform tarafından sağlanan veriler analistlerin işini çok daha kolay hale getirir. Bazı konularda dikkatli olunmazsa, elde edilen veriler yanlış analizlere neden olabilir. Aşağıdaki bölümü dikkatlice okumanız ve bu yaygın hatadan kaçınmanız çok önemlidir.
​

Eski Analiz Sonuçları​

VirusTotal’da bir tarama/arama başlattığınızda, varsa eski sonuçlar daha hızlı sonuçlar için gösterilir. Örneğin, “letsdefend.io” URL’sini tararsanız, aşağıdaki gibi bir sonuç görebilirsiniz.

Yukarıdaki görseldeki alana dikkat ederseniz, 1 ay önceki tarama sonucunu görüntülüyorsunuz. Saldırganlar sizin VirusTotal platformunu çok kullandığınızı bildikleri için şu yöntemi izleyebilirler: Zararsız bir URL adresi oluşturun ve VirusTotal’da tarayın (Örneğin letsdefend.io/file). Daha sonra URL’nin içeriğini zararlı bir şeyle değiştirir. Amatör bir SOC analisti, VirusTotal’da arama yaptığında yeşil bir ekran gördüğünde (tüm güvenlik satıcılarının sonucu Temiz verdiği yer) adresin zararsız olduğunu düşünür.

Ancak bu durumda analist saldırganın tuzağına düşer. Tek yapması gereken yeni bir sorgu başlatmak ve URL adresindeki mevcut içeriğin analiz sonuçlarını görüntülemektir. “ Yeniden Analiz Et ” butonuna tıklanarak analiz tekrar gerçekleştirilir.

Algılama Etiketleri​

VirusTotal üzerinden bir dosyanın kötü amaçlı olup olmadığına karar verirken dikkat edilmesi gereken noktalardan biri de AV şirketlerinin onu nasıl etiketlediğidir.

Bir dosyanın VirusTotal’da 10/52’lik bir tespit oranı olabilir, ancak etiketleri incelediğinizde aslında zararlı olmadığını görebilirsiniz. Bu durumun en yaygın örneği kurulum dosyalarıdır. Kurulum dosyalarında, kurulum ekranında zaman zaman görünen reklamlar olabilir. AV motorları genellikle kural tabanlı bir temelde çalıştığından, bu reklamları içeren dosyaları “Reklam Yazılımı” olarak işaretleyebilirler. Bu nedenle, bu tür dosyaları VirusTotal’da “kırmızı” olarak görebilirsiniz.

Örneğin, aşağıdaki görüntüde meşru WinRAR kurulum dosyasının kötü amaçlı olarak işaretlendiğini görebilirsiniz.

https://eyupturan.com

The post VirusTotal | SOC Analistleri için first appeared on Eyüp TURAN | Siber Güvenlik Lab & Blog.