( Sha1 (sems.exe) : 9ED1C415699FC4CD0C74EA9FC1FE97D7AF847CA0)
Zararlı yazılım analizi gerçekleştirirken zararlı yazılımlar tarafından alınan bazı analiz engelleme yöntemleri ile karşılaşılmaktadır. Bu yöntemlerden biri de analiz ortamı kontrolüdür. Analiz ortamı kontrolünde sanal makine, sandbox ve analiz araçlarının varlığı kontrol edilmektedir.
Zararlı yazılımların sanal makine, kum havuzu ve analiz araçlarına yönelik aldıkları ya da alabilecekleri önlemlerin birçoğu bu tespit aracında mevcuttur. Tespit aracı ile zararlı yazılımların nasıl önlemler alabilecekleri ve çalışılan analiz ortamında ne tür tespit açıklıkları barındığı görülebilmektedir.
Tespit aracı ile çalışılan ortamı test etmek için yapılacak tek şey tespit aracını ortamda çalıştırmaktır.
-
Çalışılan ortam sanal makine ise tespit aracı sanal makineye kopyalanarak/taşınarak direk çift tıklanarak çalıştırılır. Aracımız, tespit ettiği sanal makine izlerini ekrana yazmaktadır. En son "control" yazısı çıkana kadar çalışmasını sürdürür. "control" çıktısı ekranda göründüğü zaman çalışma bitmiştir. Ayrıca bulduğu sanal makine izlerinin isminde bir adet .txt dosyası oluşturmaktadır. Örnek olarak Virtualbox Bios tespiti gerçekleşti ise vboxBios.txt dosyası oluşacaktır.
-
Test etmek istenilen ortam sandbox ise tespit aracı sandbox ortamına submit edilerek analiz işleminden geçirilir. Analiz işlemi bittikten sonra sonuçlarda dosya aktivitelerine bakılır. Eğer tespit gerçekleştir ise burada tespit edilen sanal makine veya sandbox izlerinin isminde .txt dosyaları bulunacaktır.
Tespit aracını Cuckoo Sandbox' a gönderdiğimizde alınan sonuç aşağıda gösterilmektedir; (7 Nisan 2016) (Link : https://malwr.com/analysis/OWZmMWYzNmJkNDM3NGExMWFjODY2MGE2OWZmZjQzZjE/)
Tespit aracı VMWare sanallaştırma ortamında çalıştırıldığında alınan sonuç;
Tespit aracı Virtualbox sanallaştırma ortamında çalıştırıldığında alınan sonuç;
Sems, Cuckoo'da çalıştırıldığı zaman alınan sonuç:
Cuckoo full rapor : https://malwr.com/analysis/OTJmMDlhOWViMjlhNGY1MDgzNmM5ZDMzZGZlZjI2ZDg/
Sems, ThreatExpert'te çalıştırıldığı zaman alınan sonuç:
Threatexpert full rapor: http://www.threatexpert.com/report.aspx?md5=b75f84ea8a08eade90e7afd499cd14e1
Sems, Comodo'da çalıştırıldığı zaman alınan sonuç:
Comodo full rapor : http://camas.comodo.com/cgi-bin/submit?file=8a7962a180d09fe3274c09abe4eb9182b500360cb72ef2f1070226db4c01e699
Sems, Payload Security'de çalıştırıldığı zaman alınan sonuç:
Payload Security full rapor: https://www.hybrid-analysis.com/sample/3a5481d105673bf20256512c9a32b60e946a240c1793e2603c226c788f234055?environmentId=1
Tespit aracının tespit ettiği araçlar ve ortamlar aşağıdaki başlıklarda gösterilmektedir.
- Files
- Regedit
- Folder
- Services
- Mac
- Bios
- Window
- Files
- Folder
- Regedit
- Services
- Mac
- Bios
- Window
- Magic
- Memory
- Version
- IDTR, LDTR, TR, SMSW, I/O Port
- Regedit
- Bios
- CPU
- Files
- Folder
- Port
- Hooked Function
- Core Number
- Pipe
- Modules
Anubis , Thread Expert , Cuckoo , Sandboxie , CWSandbox
- Computer Name
- Core Number
- Modules
- Check internet
- Disk spaces
- Files
- Immunity Debugger
- Ollydbg
- Ida Pro
- Regshot
- Fiddler
- Wireshark
- Process Monitor
- Process Hacker
- Process Explorer