MAC Virüsü ve VirusTotal Kullanımı

İki gözümün çiçeğinin “ama onlar MAC kullanıyor, hacklenemezler” demesinin üzerinden henüz bir iki saat geçmişti (tabii ki şaka yapıyor). Online bahis sitelerinin reklamlarının arasında boğulmuş bir dizi bölümü ararken bilgisayarıma “player.dmg” adlı bir dosyanın indirildiğini gördüm.
Kendini Flash Player güncellemesi olarak tanıtan bu dosyayı virustotal sayfasına yükleyince bunun aslında Shlayer zararlısı olduğunu görebiliyoruz. Dosyanın analizine buradan  ulaşabilirsiniz. Öncelikle Virustotal’de bulunan 58 antivirüs arasında sadece 15 tanesinin bu zararlıyı tanıyabildiğini not olarak eklemekte fayda var.
SOME ekiplerinin kullanmasını önerdiğim Virustotal’in pratikte bize neler sunabildiğine bakmak için güzel bir fırsat.

SOME Virustotal’i nasıl kullanmalı?
Virustotal öncelikle dosyayı zararlı veya temiz olarak listeliyor. Triyaj aşamasında, yani şüphelendiğimiz bir dosyanın zararlı olup olmadığını hızlıca anlamak için yardımcı olabilir. Aman dikkat; Virustotaldeki BÜTÜN antivirüslerin temiz demesi dosyanın gerçekten temiz olduğu anlamına gelmiyor. Bu ekran sadece bilinen bir zararlıyla karşı karşıya olup olmadığımızı anlamak için kullanılmalıdır. Bu örnekte Bitdefender’in zararlıyı tespit etmiş olması onun diğerlerinden daha iyi bir antivirüs olduğu anlamına da gelmez, bu örnekte sonuçlar böyle, farklı bir zararlı yazılımda başka bir antivirüs daha iyi sonuç verebilir.

Details sekmesi
Bu sekmede dosyaya ait diğer özellikler görüntülenebilir. Dosya türü, dosya boyutu, bu dosyanın bir örneğinin ilk yüklendiği tarih, aynı dosyanın kullandığı diğer dosya isimleri gibi temel özellikler hakkında bilgi sahibi oluyoruz.

Relations sekmesi
Dosyanın iletişim kurduğu IP adreslerini ve alan adlarını gösteriyor. Bu noktada SOME’nin burada ortaya çıkan adreslerle ağ üzerindeki başka hangi sistemlerin konuştuğunu araştırması çok önemlidir. Polimorfik olarak nitelendirilen ve her bulaştığı sistemde farklı bir imzaya sahip olan zararlı yazılımların bir versiyonu bir sistem üzerinde yakalanmış olabilir ancak başka bir imzaya sahip sürümü pekala antivirüsten kaçmış olabilir. Ağ tabanlı bir IoC (Indicator of Compromise – İhlal Göstergesi) olarak nitelendirebileceğimiz komuta sunucusu IP adreslerinin araştırılması bu nedenle çok önemlidir.

Behavior sekmesi
Burada zararlı yazılımın davranışlarını görebiliyoruz. Hangi IP adresleriyle hangi port ve protokol kullanarak iletişim kurmuş, hedef sistem üzerinde dosyaları üzerinde hangi değişiklikleri yapmış, hangi prosesleri oluşturmuş gibi pek çok önemli bilgiye buradan ulaşabiliriz. Burada özellikle oluşturulan dosyaların isimlerini ağ genelinde başka sistemler üzerinde aratmak söz konusu zararlının bulaşmış olabileceği diğer sistemleri tespit etmek için çok faydalı olacaktır.