Herkese merhaba, bu gün size adli bilişimde kullanılan en önemli delil toplama araçlarından olan Volatility'den bahsetmek istiyorum. Kullanımına, nedir ne değildir sorularına geçmeden önce bellek imajı almak önemli bir işlemdir. Çünkü günümüzde siber güvenlik dünyasında olay müdahale süreçlerinde ve tehdit avcılığında önemli delillere ulaşırken ve olay ile ilgili inceleme yaparken bize çokça ip uçları sağlar. Örnek vermek gerekirse herhangi bir veri sızıntısı tespit edilen bir bilgisayarın belleğinin detaylı olarak analiz edilmesi, proseslerin ayrıştırılması, kurulan bağlantıların tespiti, işlem görmüş dosyalar ağ trafiği ve yapısı mevcut kullanıcıların analiz edilmesi ve tespiti işlemlerinin hepsini kapsar.
Bellek İmajı Almak Neden Önemli?
Giriş kısmında bahsettiğimiz işlemlerin tamamını içeren bellek imaj alma işlemleri bu alanda çalışan uzmanlara önemli ölçüde ip uçları sağlar. Çünkü yukarıda bahsettiğimiz işlemler bilgisayarın sabit diskinde bir ip ucu bırakmaz bu sebeple bellek imajı işlemi uçucu verilere ve geçici belleğe odaklanır. Bellekten alınan verileri incelediğimiz zaman ise çalışan işlemler ağ bağlantıları ikili dosya ve DLL yapıları, kayıt defteri ayarları örnek olarak verilir. Bellek analizi yaparken karşımıza çeşitli zorluklar da çıkar. Bu zorluklara baktığımızda ise verinin çok büyük olması belleğin değişken yapısı inceleme sırasında meydana gelebilecek bir güç kesintisi sonucu veri kaybı riski gibi risklerin yanında bu işlemleri detaylı olarak ve yetkin şekilde yapabilecek uzman sayısı da azdır. Tüm bu bahsettiğimiz işlemleri kolaylaştırmak için çeşitli araçlar geliştirilmiştir ve bunlardan en önemli olanlarının başında Volatility aracı gelir.
Volatility Nedir?
Tamamen açık kaynaklı olan bir araçtır ve bellek imajı alma kötü amaçlı işlemleri listeleme gibi çok çeşitli görevleri vardır hem Linux ortamında hem de Windows ortamında çalıştırılabilir.
Volatility Nasıl Kullanılır?
Volatility yapısını kullanmadan önce kurulumunu incelemek gerekir. Ben bu yazı kapsamında Linux sanal makinesi üzerinde kurulum yapacağım ama Windows özelinde olan kurulum için kendi kaynak sayfasından faydalanabilir.
Kaynak için tıklayın..
Kurulum yapmadan önce bilgisayarınızdaki Python sürümünü mutlaka kontrol edin Volatility2 kullanacaksanız mutlaka python2 olmadır sürümünüz.(Volatility3'ü tercih edecekseniz sürümünüz de Python3 olmalı)
Örnek Dosya Analizi
Şimdi volatility aracının kullanımı için MEMLABS dan örnek bir analiz challange dosyası indirip analiz etmeye başladım. Öncelikle dosya ile alakalı genel bilgi elde etmek için imageinfo komutunu kullandım. Komutu ve çıktılarını aşağıda görebilirsiniz.
Sonraki aşamada elde ettiğimiz profil bilgilerini kullanarak çalışan uygulamaları volatility ile test etmek adına pslist kullanabilirsiniz.
python2 vol.py -f Challenge.raw --profile=Win7SP1x86 pslist
Bu noktada analize devam etmek için dll dosyaların inceleyebiliriz dll uzantılı dosyalar yapılmış olan işlemlerin detaylarını dlllist ile görebiliriz
Daha sonra komut satırlarını da görmek için cmdline komutu ile incelemeye devam ederiz
python2 vol.py -f Challenge.raw --profile=Win7SP1x86 cmdline
Bellek analizinin en önemli kısımlarından biri de şüpheli dosyalar ve varsa kötü amaçlı yazılım tespitidir.Burada bu işi malfind gibi komutlarla yapabilirsiniz
Buradaki çıktıyı incelediğimizde şüpheli bir durum olduğunu görüyoruz (Kesin sonuç için mutlaka 2.kontroller de yapılmalıdır). Normal şartlarda explorer.exe olması da şüpheli bir faaliyettir. Yürütme faaliyeti olabilir. Çıktıyı detaylı incelediğimizde de parçalı kod parçacıklı olduğunu görüyoruz bu da zararlı yazılım olma ihtimalini güçlendiriyor. Ama kesin emin olmak için ikincil kontroller yapılmalıdır.
Bu şekilde düşünmemizin sebebi bellekte PAGE_EXECUTE_READWRITE izinleri olması bu şekilde verilen izinler genellikle kod enjeksiyonu yapılması için verilir. İlk kısımda boş alanlar görülürken ikinci kısımda şüpheli bir akış görünüyor ancak burada yaptığımız tespitler ileri seviye kontrollere ihtiyaç duyar çünkü bazı durumlar yanlış pozitif olarak karşımıza çıkabilir. Bu durumda dlllist yapıları tekrar incelenmeli yarascan ile tarama yapılmalı(öncelikle YARA kurulumu yapıldıktan sonra) Analizi daha ileri seviyeye çıkarmak için bellek dump alınıp Ghidra ve IDA gibi araçlar ile incelenebilir. Daha sonra dinamik analiz için explorer.exe uygulamasının kötü amaçlı olup olmadığından emin olmak için sandbox ortamında çalıştırılmalıdır.
Bu tool yapısını kullanırken hangi komutları parametreleri desteklediğini tamamen görebilmek için
Önemli Not: Burada yapılan analizin dosya kaynağı MemLabs github reposundan alınmıştır ve analiz yaparken sanal makine kullanmayı ve gerekli güvenlik önlemlerini almayı unutmayın. Challenge dosyasını ve daha fazla örneği incelemek için repoyu ziyaret edebilirsiniz.
Umarım keyifli ve bilgilendirici bir yazı olmuştur. Devamı için takipte kalın!