Daha önceki bir yazımda virüs total konusuna değinmiştik, ancak burada daha detaylı inceleme yapacağız.
https://eyupturan.com/virustotal-siber-guvenligin-vazgecilmez-araci/
Soc Analyst Uzmanı olamak istiyenlerin yaptığı büyük hatalardan biri virustotal’i sadece virüs var mı yok mu diye bakmalarıdır.
SOC analistleri sürekli olarak şüpheli kötü amaçlı yazılımlar, IP adresleri, etki alanı adlarıyla karşılaşıyor ve soruşturmayı ilerletmek için bunların kötü amaçlı olup olmadığına karar vermeleri gerekiyor. Bu kötü amaçlı yazılımın analizini gerçekleştirirken birçok karma, IP ve etki alanı verisi elde ediliyor. Toplanan veriler hakkında daha ayrıntılı sonuçlar elde etmek için çeşitli çevrimiçi hizmetler kullanılabilir.
Bu eğitim size VirusTotal ile dosya, karma, IP, alan adı ve URL analizi sırasında sahip olduğunuz bilgileri nasıl artırabileceğinizi gösterecektir. Toplanan verilerin nasıl yorumlanması gerektiğini ve yaygın hataları görerek VirusTotal’ı bir SOC Analisti olarak en etkili şekilde nasıl kullanacağınızı öğreneceksiniz.
VirusTotal ile Dosya Analizi
Bir SIEM veya diğer güvenlik çözümünün uyarısını incelerken şüpheli bir dosya fark etmiş ve onu analiz etmek istemiş olabilirsiniz. Farklı AV şirketlerinin dosya analiz sonuçlarını görüntülemek için dosyayı VirusTotal’a yükleyebilir ve AV ürünlerinin bu dosyayı kötü amaçlı olarak algılayıp algılamadığını öğrenebilirsiniz.
Not : SIEM nedir konusunu başka bir yazımda paylaşmıştım, blogda arama kısmında aratabilirsiniz.
https://www.virustotal.com/gui/dosya/415ba65e21e8de9196462b10dd17ab81d75b3e315759ecced5ea8f5812000c1b
Sonuçları daha detaylı yorumlamak için çeşitli alanlara bakmak gerekir. Aşağıdaki görselde 65 güvenlik şirketinden 49’u bu dosyayı kötü amaçlı olarak tespit ettiği belirtiliyor.
Etiketlerin olduğu bölümde dosyanın nasıl sınıflandırıldığına dair bilgiler yer alıyor. Örneğin yüklediğimiz dosyanın “makro” içerdiği ve “karartılmış” olduğu belirtilmişti.
Tespit etme Algılama bölümünde, satıcıların dosyayı kötü amaçlı olarak işaretlediği etiketi görebilirsiniz.
Detaylar Burada dosya hakkında bazı temel bilgiler ve VirusTotal geçmişi hakkında ayrıntılar bulabilirsiniz. Örneğin, “Temel Özellikler” alanı dosya karma bilgilerini ve daha fazlasını içerir.
” Geçmiş ” alanında dosyanın VirusTotal’daki ilk ve son analiz tarihleri yer alır.
Bir SOC Analisti olarak, bu alandan çok önemli sonuçlar çıkarabilirsiniz. Örneğin, kurumunuza bir kimlik avı saldırısı oldu ve e-postadaki eki analiz ettiniz. Dosyayı VirusTotal’a yükledikten sonra, bu dosyanın sizden önce analiz edildiğini görürseniz, bu kötü amaçlı yazılımın kurumunuz için özel olarak yazılmadığı sonucuna varabilirsiniz. (Tam olarak değil, ancak daha olası.)
Aynı şekilde daha önce analiz edilmiş bir dosyayla karşılaşırsanız bu saldırının farklı kurumlara yapıldığını anlayabilirsiniz.
İlişkiler Bu, elinizdeki şüpheli dosyanın iletişim kurduğu alan adı, IP, URL ve diğer dosyalar hakkında ayrıntılı bilgi gösteren sekmedir. Burada gösterilen veriler VirusTotal içindeki güvenlik satıcıları tarafından taranır ve sonuçları görebilirsiniz.
Genellikle bu sekmeyi dosyanın iletişim kurduğu şüpheli bir adresi kontrol etmek için kullanabilirsiniz. Aynı zamanda, “Tespitler” puanıyla itibarını görüntüleyerek şüpheli iletişim etkinliklerini daha hızlı tespit edebilirsiniz. Dikkat edilmesi gereken önemli bir nokta var: yeni nesil kötü amaçlı yazılımlar her zaman aynı davranışı sergilemez. Farklı sistemlerde farklı eylemler gerçekleştirerek güvenlik çözümlerini atlatmaya çalışırlar. Bu nedenle, ilişkiler sekmesinde görüntülediğiniz adresler kötü amaçlı yazılımın iletişim kurmak istediği tüm listeyi vermeyebilir, bu listenin eksik olabileceğinin farkında olmalısınız.
Davranış
Bir dosyanın kötü amaçlı olup olmadığını belirleyen şey, onun aktiviteleridir. “Davranış” sekmesinde, farklı üreticilerin taranan dosyanın gerçekleştirdiği aktiviteleri listelediğini görebilirsiniz. Bu aktiviteler arasında, ağ bağlantıları, DNS sorguları, dosya okuma/silme, kayıt defteri eylemleri ve işlem aktiviteleri gibi birçok davranışla karşılaşabilirsiniz.
ÖNEMLİ NOT : Daha önce de belirttiğimiz gibi, günümüzün kötü amaçlı yazılımları her zaman aynı davranışı göstermeyebilir. Örneğin, komuta ve kontrol merkeziyle (CC) iletişim kuramayan kötü amaçlı yazılımlar kendini aktifleştirmeyebilir. Analiz etmek istediğiniz kötü amaçlı yazılımın komuta ve kontrol merkezi aktif değilse, dinamik ve statik analizler net bir sonuç vermeyebilir. Bu gibi durumlarda, VirusTotal gibi ortamlarda yapılmış eski analiz raporlarını bulmalı ve “Davranış” sekmesindeki gibi davranışı incelemelisiniz.
VirusTotal ile URL’leri tarama
Virus Total’da dosya analizinin yanı sıra URL adreslerini de analiz edebilirsiniz. Tek yapmanız gereken URL bölümünden ilgili adresi sorgulamak.
Makalenin geri kalanında kötü amaçlı adres “ STRATO – Domain not available ” incelenecektir. (Bu adrese doğrudan erişmeyin çünkü kötü amaçlı bir adrestir. Aşağıda verdiğimiz VirusTotal bağlantısına tıklayarak dersi takip edebilirsiniz.)
Dosya analizinde olduğu gibi benzer bir arayüzle karşılaşıyoruz. Detection and Details için önceki yazdıklarımı inceleyebilirsiniz.
Soruşturma sırasında çeşitli IOC’ler (Uzlaşma Göstergesi) alabilirsiniz. Bu IOC’ler hakkında daha fazla bilgi edinmek için VirusTotal’in ” Arama ” bölümünde arama yapabilirsiniz. Örneğin, şüpheli bir dosyanın karma değerini burada arayarak, varsa geçmiş analiz sonuçlarını veya diğer farklı verileri bulabilirsiniz.
Örnek olarak “ 415ba65e21e8de9196462b10dd17ab81d75b3e315759ecced5ea8f5812000c1b ” SHA256 değerini arayalım .
Görüldüğü gibi geçmişte yapılmış bir analizin sonucuyla karşı karşıyayız.
https://www.virustotal.com/gui/dosya/415ba65e21e8de9196462b10dd17ab81d75b3e315759ecced5ea8f5812000c1b
hash değilde bir IP adresini aramak istiyorsak, benzer şekilde arayabilir ve itibarını görüntüleyebiliriz. Örnek IP adresi 70[.]121[.]172[.]89
Bir dosya yüklediğimizde, kötü amaçlı yazılımın bağlandığı IP adreslerini ” İlişkiler ” sekmesinde görebiliyorduk. Bunun tersi de geçerlidir. IP adresini arayarak, IP adresiyle ilgili dosyaları ” İlişkiler ” sekmesinde bulabilirsiniz. Dosyaların puanlarına bakarak daha fazla fikir edinebiliriz. Aşağıdaki resme bakarsak, aradığımız IP adresinin ” SplitPath ” ve ” TestMfc ” gibi dosyalarla ilgili olduğunu anlayabiliriz .
Kısacası, “ Ara ” bölümünden geçmiş VirusTotal sonuçlarını ve farklı dosyaları, IP’leri ve URL ilişkilendirmelerini görüntüleyebilirsiniz .
VirusTotal, SOC Analistleri tarafından gün içinde sıklıkla kullanılır, platform tarafından sağlanan veriler analistlerin işini çok daha kolay hale getirir. Bazı konularda dikkatli olunmazsa, elde edilen veriler yanlış analizlere neden olabilir. Aşağıdaki bölümü dikkatlice okumanız ve bu yaygın hatadan kaçınmanız çok önemlidir.
Eski Analiz Sonuçları
VirusTotal’da bir tarama/arama başlattığınızda, varsa eski sonuçlar daha hızlı sonuçlar için gösterilir. Örneğin, “letsdefend.io” URL’sini tararsanız, aşağıdaki gibi bir sonuç görebilirsiniz.
Yukarıdaki görseldeki alana dikkat ederseniz, 1 ay önceki tarama sonucunu görüntülüyorsunuz. Saldırganlar sizin VirusTotal platformunu çok kullandığınızı bildikleri için şu yöntemi izleyebilirler: Zararsız bir URL adresi oluşturun ve VirusTotal’da tarayın (Örneğin letsdefend.io/file). Daha sonra URL’nin içeriğini zararlı bir şeyle değiştirir. Amatör bir SOC analisti, VirusTotal’da arama yaptığında yeşil bir ekran gördüğünde (tüm güvenlik satıcılarının sonucu Temiz verdiği yer) adresin zararsız olduğunu düşünür.
Ancak bu durumda analist saldırganın tuzağına düşer. Tek yapması gereken yeni bir sorgu başlatmak ve URL adresindeki mevcut içeriğin analiz sonuçlarını görüntülemektir. “ Yeniden Analiz Et ” butonuna tıklanarak analiz tekrar gerçekleştirilir.
Algılama Etiketleri
VirusTotal üzerinden bir dosyanın kötü amaçlı olup olmadığına karar verirken dikkat edilmesi gereken noktalardan biri de AV şirketlerinin onu nasıl etiketlediğidir.
Bir dosyanın VirusTotal’da 10/52’lik bir tespit oranı olabilir, ancak etiketleri incelediğinizde aslında zararlı olmadığını görebilirsiniz. Bu durumun en yaygın örneği kurulum dosyalarıdır. Kurulum dosyalarında, kurulum ekranında zaman zaman görünen reklamlar olabilir. AV motorları genellikle kural tabanlı bir temelde çalıştığından, bu reklamları içeren dosyaları “Reklam Yazılımı” olarak işaretleyebilirler. Bu nedenle, bu tür dosyaları VirusTotal’da “kırmızı” olarak görebilirsiniz.
Örneğin, aşağıdaki görüntüde meşru WinRAR kurulum dosyasının kötü amaçlı olarak işaretlendiğini görebilirsiniz.