🦠 Malware Analizi Eğitimi
Zararlı yazılımları analiz etme ve güvenlik tehditlerini tespit etme konularında uzmanlaşın.
🦠 Malware Analizi Eğitimi
🔹 Program Hakkında
Malware Analizi
Bu eğitim programı, zararlı yazılımları analiz etme, tespit etme ve güvenlik tehditlerini önleme konularında kapsamlı bilgi sağlar. Statik ve dinamik analiz tekniklerini öğrenerek malware'in davranışlarını anlayacaksınız.
🔹 Öğrenme Hedefleri
Malware Türlerini Anlama
Virus, worm, trojan, ransomware gibi farklı malware türlerini tanıma ve özelliklerini öğrenme.
Analiz Teknikleri
Statik, dinamik, memory ve network analizi tekniklerini öğrenme ve uygulama.
Araç Kullanımı
IDA Pro, Ghidra, Volatility, Cuckoo Sandbox gibi profesyonel analiz araçlarını kullanma.
Güvenlik Uygulamaları
Malware analizi sonuçlarını güvenlik stratejilerine dönüştürme ve uygulama.
🔹 Öğrenme Çıktıları
Malware Tanıma
Farklı malware türlerini tanıma ve sınıflandırma becerisi
Statik Analiz
Malware'i çalıştırmadan analiz etme teknikleri
Dinamik Analiz
Sandbox ortamında malware davranışını izleme
Memory Analizi
Bellek dökümlerini analiz etme ve rootkit tespiti
Network Analizi
Ağ trafiğini analiz ederek C&C iletişimini tespit etme
Araç Kullanımı
Profesyonel malware analiz araçlarını etkili kullanma
🔹 Hedef Kitle
| Kitle | Açıklama | Önkoşullar | Kazanımlar |
|---|---|---|---|
| Siber Güvenlik Uzmanları | Malware analizi konusunda uzmanlaşmak isteyen profesyoneller | Temel siber güvenlik bilgisi | İleri seviye analiz becerileri |
| Incident Response Uzmanları | Olay müdahale süreçlerinde malware analizi yapan uzmanlar | Olay müdahale deneyimi | Hızlı malware tespiti |
| Forensic Analistler | Dijital adli analiz yapan uzmanlar | Forensic araçları bilgisi | Malware forensic analizi |
| Güvenlik Araştırmacıları | Yeni tehditleri araştıran güvenlik uzmanları | Araştırma metodolojisi | Tehdit araştırma becerileri |
🔹 Önkoşullar
Programlama Temelleri
C/C++, Python veya Assembly dilinde temel bilgi
İşletim Sistemi
Windows ve Linux işletim sistemleri hakkında bilgi
Ağ Protokolleri
TCP/IP, HTTP, DNS gibi temel ağ protokolleri
Siber Güvenlik
Temel siber güvenlik kavramları ve tehditler
🔹 Öğrenme Yöntemi
Teorik Dersler
Malware analizi teorisi, teknikler ve metodolojiler hakkında detaylı dersler.
Pratik Laboratuvarlar
Gerçek malware örnekleri üzerinde hands-on analiz çalışmaları.
Araç Kullanımı
Profesyonel analiz araçlarının pratik kullanımı ve yapılandırması.
Değerlendirme
Ara sınav ve final sınavı ile öğrenme sürecinin değerlendirilmesi.
🔹 Modül Yapısı
| Ders | Konu | Süre | Tür |
|---|---|---|---|
| Ders 1 | Malware Türleri | 7 saat | Teorik |
| Ders 2 | Analiz Teknikleri | 7 saat | Teorik |
| Ders 3 | Statik Analiz | 7 saat | Teorik |
| Ders 4 | Dinamik Analiz | 7 saat | Teorik |
| Ders 5 | Memory Analizi | 7 saat | Teorik |
| Ders 6 | Network Analizi | 7 saat | Teorik |
| Lab 1 | Temel Malware Analizi | 3 saat | Pratik |
| Lab 2 | Statik Analiz Lab | 3 saat | Pratik |
| Lab 3 | Dinamik Analiz Lab | 3 saat | Pratik |
| Ara Sınav | Dersler 1-3 | 1 saat | Sınav |
| Final Sınavı | Tüm Konular | 2 saat | Sınav |
🦠 1. Malware Türleri
Farklı zararlı yazılım türlerini tanıyın ve özelliklerini öğrenin.
🦠 Malware Türleri
🔹 Malware Nedir?
Malware (Malicious Software)
Malware, zararlı yazılım anlamına gelir ve sistemlere zarar vermek, veri çalmak veya yetkisiz erişim sağlamak amacıyla tasarlanmış yazılımlardır. Günümüzde siber güvenlik tehditlerinin en büyük kaynağıdır.
🔹 Malware Türleri
Virus
Kendini kopyalayan ve diğer dosyalara bulaşan zararlı yazılım. Genellikle executable dosyalara eklenir ve çalıştırıldığında aktif hale gelir.
Worm
Ağ üzerinden kendini yayan, bağımsız çalışan zararlı yazılım. Diğer sistemlere otomatik olarak yayılır ve sistem kaynaklarını tüketir.
Trojan
Yararlı yazılım gibi görünen ancak arka planda zararlı işlemler yapan yazılım. Kullanıcıyı kandırarak sisteme giriş yapar.
Ransomware
Dosyaları şifreleyerek fidye talep eden zararlı yazılım. Kurbanın dosyalarına erişimini engelleyerek para talep eder.
🔹 Malware Karşılaştırması
| Malware Türü | Yayılma Yöntemi | Hedef | Zarar Seviyesi |
|---|---|---|---|
| Virus | Dosya ekleme | Dosyalar | Orta |
| Worm | Ağ yayılımı | Sistemler | Yüksek |
| Trojan | Kullanıcı kandırma | Sistem kontrolü | Çok Yüksek |
| Ransomware | Şifreleme | Veri | Kritik |
| Rootkit | Sistem gizleme | Sistem erişimi | Kritik |
| Botnet | Uzaktan kontrol | Çoklu sistem | Çok Yüksek |
🔹 Bulaşma Vektörleri
E-posta
Zararlı ekler ve phishing e-postaları
Web
Zararlı web siteleri ve drive-by downloads
USB
Zararlı USB cihazları ve autorun
Ağ
Ağ açıkları ve exploit'ler
🔹 Malware Etkileri
Veri Kaybı
Dosyaların silinmesi veya bozulması
Sistem Hasarı
İşletim sistemi ve donanım zararı
Mali Kayıp
Fidye ödemeleri ve iş kaybı
Gizlilik İhlali
Kişisel ve kurumsal veri çalınması
🔍 2. Analiz Teknikleri
Malware analizi için kullanılan temel teknikleri öğrenin.
🔍 Analiz Teknikleri
🔹 Analiz Teknikleri Nedir?
Malware Analiz Teknikleri
Malware analizi, zararlı yazılımları inceleyerek davranışlarını, özelliklerini ve etkilerini anlama sürecidir. Statik, dinamik, memory ve network analizi olmak üzere dört temel teknik kullanılır.
🔹 Analiz Teknikleri
Statik Analiz
Malware'i çalıştırmadan analiz etme tekniği. Dosya yapısı, string'ler, API çağrıları ve kod yapısı incelenir.
Dinamik Analiz
Malware'i güvenli ortamda çalıştırarak davranışını gözlemleme tekniği. Sandbox ortamında gerçek zamanlı analiz yapılır.
Memory Analizi
Bellek dökümlerini analiz ederek malware'in memory'deki davranışını inceleme tekniği. Rootkit tespiti için kritik.
Network Analizi
Ağ trafiğini analiz ederek malware'in network davranışını inceleme tekniği. C&C iletişimi tespiti için önemli.
🔹 Analiz Teknikleri Karşılaştırması
| Teknik | Avantajlar | Dezavantajlar | Kullanım Alanı |
|---|---|---|---|
| Statik Analiz | Güvenli, hızlı | Şifrelenmiş kod | İlk analiz |
| Dinamik Analiz | Gerçek davranış | Sandbox evasion | Davranış analizi |
| Memory Analizi | Gizli işlemler | Karmaşık | Rootkit tespiti |
| Network Analizi | C&C tespiti | Şifreli trafik | İletişim analizi |
🔹 Analiz Süreci
Dosya İnceleme
Dosya türü, boyutu ve hash değerini kontrol etme
İlk Analiz
Statik analiz ile temel özellikleri belirleme
Dinamik Analiz
Sandbox ortamında davranışı gözlemleme
Raporlama
Analiz sonuçlarını detaylı rapor halinde sunma
🔹 Analiz Araçları
Statik Araçlar
IDA Pro, Ghidra, PEview, Strings
Sandbox Araçları
Cuckoo Sandbox, Any.run, Hybrid Analysis
Memory Araçları
Volatility, Rekall, WinDbg, DumpIt
Network Araçları
Wireshark, tcpdump, NetFlow, Bro/Zeek
🔬 3. Statik Analiz
Malware'i çalıştırmadan analiz etme tekniklerini öğrenin.
🔬 Statik Analiz
🔹 Statik Analiz Nedir?
Statik Analiz
Statik analiz, malware'i çalıştırmadan analiz etme tekniğidir. Dosya yapısı, string'ler, API çağrıları ve kod yapısı incelenerek malware'in özellikleri ve davranışları hakkında bilgi edinilir.
🔹 Statik Analiz Teknikleri
File Analysis
Dosya türü, boyutu, hash değeri ve PE yapısı gibi temel dosya özelliklerini inceleme.
String Analysis
Dosyadan string'leri çıkararak şüpheli URL'ler, dosya yolları ve metinleri tespit etme.
Disassembly
Makine kodunu assembly koduna çevirerek programın mantığını anlama.
API Analysis
Kullanılan Windows API'lerini inceleyerek malware'in işlevlerini anlama.
🔹 PE Dosya Yapısı
| Bölüm | Açıklama | İçerik | Önem |
|---|---|---|---|
| DOS Header | Eski DOS uyumluluğu | MZ imzası | Düşük |
| PE Header | PE dosya bilgileri | PE imzası, makine türü | Yüksek |
| Sections | Kod ve veri bölümleri | .text, .data, .rdata | Yüksek |
| Import Table | Kullanılan fonksiyonlar | API fonksiyonları | Çok Yüksek |
| Export Table | Dışa aktarılan fonksiyonlar | DLL fonksiyonları | Orta |
🔹 Statik Analiz Araçları
IDA Pro
Profesyonel disassembler ve debugger
Ghidra
NSA'nın ücretsiz disassembler'ı
PEview
PE dosya yapısını görüntüleme
Strings
Dosyadan string çıkarma aracı
🔹 Statik Analiz Süreci
1. Dosya İnceleme
Dosya türü, boyutu ve hash değerini kontrol etme
2. String Analizi
Dosyadan string'leri çıkararak şüpheli içerikleri tespit etme
3. Disassembly
Kodu assembly'e çevirerek program mantığını anlama
4. API Analizi
Kullanılan API'leri inceleyerek işlevleri belirleme
▶️ 4. Dinamik Analiz
Malware'i güvenli ortamda çalıştırarak davranışını analiz edin.
▶️ Dinamik Analiz
🔹 Dinamik Analiz Nedir?
Dinamik Analiz
Dinamik analiz, malware'i güvenli ortamda çalıştırarak davranışını gözlemleme tekniğidir. Sandbox ortamında gerçek zamanlı analiz yapılarak malware'in sistem üzerindeki etkileri incelenir.
🔹 Dinamik Analiz Teknikleri
Sandbox Analysis
Malware'i izole ortamda çalıştırarak davranışını gözlemleme. Cuckoo Sandbox gibi araçlar kullanılır.
System Monitoring
Sistem çağrılarını, registry değişikliklerini ve süreç aktivitelerini izleme.
Network Monitoring
Ağ trafiğini izleyerek C&C iletişimi ve veri sızıntısını tespit etme.
File Monitoring
Dosya sistemindeki değişiklikleri izleyerek malware'in dosya işlemlerini takip etme.
🔹 Sandbox Türleri
| Sandbox Türü | Açıklama | Avantajlar | Dezavantajlar |
|---|---|---|---|
| Hardware Sandbox | Fiziksel izolasyon | Yüksek güvenlik | Pahalı, yavaş |
| Virtual Sandbox | VM tabanlı izolasyon | Hızlı, ucuz | VM escape riski |
| Cloud Sandbox | Bulut tabanlı analiz | Ölçeklenebilir | Veri güvenliği |
| API Sandbox | API seviyesinde izolasyon | Detaylı analiz | Karmaşık kurulum |
🔹 Dinamik Analiz Araçları
Cuckoo Sandbox
Açık kaynaklı otomatik malware analizi
Process Monitor
Sistem aktivitelerini gerçek zamanlı izleme
Wireshark
Ağ trafiği analizi ve paket yakalama
API Monitor
API çağrılarını izleme ve kaydetme
🔹 Dinamik Analiz Süreci
1. Sandbox Hazırlığı
Güvenli analiz ortamını hazırlama ve yapılandırma
2. Malware Çalıştırma
Malware'i sandbox ortamında güvenli şekilde çalıştırma
3. Davranış İzleme
Sistem aktivitelerini izleyerek davranışı kaydetme
4. Rapor Oluşturma
İzlenen davranışları analiz ederek rapor hazırlama
🧠 5. Memory Analizi
Bellek dökümlerini analiz ederek malware'in memory'deki davranışını inceleyin.
🧠 Memory Analizi
🔹 Memory Analizi Nedir?
Memory Analizi
Memory analizi, bellek dökümlerini analiz ederek malware'in memory'deki davranışını inceleme tekniğidir. Volatility gibi araçlar kullanılarak gizli işlemler, rootkit'ler ve şifrelenmiş veriler tespit edilir.
🔹 Memory Analizi Teknikleri
Memory Dump
Bellek içeriğini dosyaya aktararak analiz için hazırlama. DumpIt, WinDbg gibi araçlar kullanılır.
Process Analysis
Çalışan süreçleri analiz ederek şüpheli aktiviteleri tespit etme ve süreç ağacını inceleme.
Credential Extraction
Bellekten şifreler, token'lar ve kimlik bilgilerini çıkarma. Mimikatz gibi araçlar kullanılır.
Rootkit Detection
Gizlenmiş rootkit'leri tespit etme ve kernel seviyesindeki zararlı kodları bulma.
🔹 Volatility Komutları
| Komut | Açıklama | Kullanım | Çıktı |
|---|---|---|---|
| pslist | Süreç listesi | vol.py -f dump.raw pslist | Çalışan süreçler |
| pstree | Süreç ağacı | vol.py -f dump.raw pstree | Süreç hiyerarşisi |
| cmdline | Komut satırı | vol.py -f dump.raw cmdline | Süreç parametreleri |
| mimikatz | Kimlik bilgileri | vol.py -f dump.raw mimikatz | Şifreler ve token'lar |
| malware | Malware tespiti | vol.py -f dump.raw malware | Zararlı kodlar |
🔹 Memory Analiz Araçları
Volatility
Açık kaynaklı memory analiz framework'ü
Rekall
Volatility'nin geliştirilmiş versiyonu
Mimikatz
Kimlik bilgisi çıkarma aracı
WinDbg
Microsoft'un debugger'ı
🔹 Memory Analiz Süreci
1. Memory Dump
Bellek içeriğini dosyaya aktararak analiz için hazırlama
2. Süreç Analizi
Çalışan süreçleri analiz ederek şüpheli aktiviteleri tespit etme
3. Kimlik Bilgisi Çıkarma
Bellekten şifreler ve token'ları çıkarma
4. Rootkit Tespiti
Gizlenmiş zararlı kodları tespit etme
🌐 6. Network Analizi
Ağ trafiğini analiz ederek malware'in network davranışını inceleyin.
🌐 Network Analizi
🔹 Network Analizi Nedir?
Network Analizi
Network analizi, ağ trafiğini analiz ederek malware'in network davranışını inceleme tekniğidir. C&C iletişimi, veri sızıntısı, network saldırıları ve protokol analizi yapılır.
🔹 Network Analizi Teknikleri
C&C Communication
Command and Control sunucuları ile iletişimi tespit etme. Botnet'lerin merkezi kontrolünü analiz etme.
Data Exfiltration
Veri sızıntısını tespit etme ve hangi verilerin çalındığını belirleme. DNS tunneling gibi teknikleri analiz etme.
Network Attacks
DDoS saldırıları, port tarama ve diğer network saldırılarını tespit etme ve analiz etme.
Protocol Analysis
HTTP, HTTPS, DNS, FTP gibi protokolleri analiz ederek şüpheli trafiği tespit etme.
🔹 Network Analiz Teknikleri
| Teknik | Açıklama | Araç | Kullanım |
|---|---|---|---|
| Packet Capture | Paket yakalama | Wireshark, tcpdump | Gerçek zamanlı analiz |
| Flow Analysis | Akış analizi | NetFlow, sFlow | Toplu trafik analizi |
| DNS Analysis | DNS analizi | DNS queries | C&C tespiti |
| HTTP Analysis | HTTP analizi | HTTP headers | Web trafiği analizi |
| SSL/TLS Analysis | Şifreli trafik | Certificate analysis | Şifreli iletişim |
🔹 Network Analiz Araçları
Wireshark
Ağ protokol analiz aracı
tcpdump
Komut satırı paket yakalama
NetFlow
Ağ akış analizi
Bro/Zeek
Ağ güvenlik izleme
🔹 Network Analiz Süreci
1. Trafik Yakalama
Ağ trafiğini yakalayarak analiz için hazırlama
2. C&C Tespiti
Command and Control iletişimini tespit etme
3. Veri Sızıntısı
Veri sızıntısını tespit etme ve analiz etme
4. Saldırı Analizi
Network saldırılarını tespit etme ve analiz etme
🧪 Lab 1: Temel Malware Analizi
REMnux ortamında temel malware analizi tekniklerini uygulayın.
🧪 Temel Malware Analizi
🔹 Lab Hedefleri
Lab Hedefleri
Bu lab'da REMnux ortamında temel malware analizi tekniklerini uygulayacaksınız. EICAR test dosyası kullanarak güvenli bir şekilde analiz sürecini öğreneceksiniz.
🔹 Lab Adımları
1. EICAR Test Dosyası
EICAR test dosyasını indirin ve güvenli analiz ortamını hazırlayın.
2. Dosya Analizi
file, strings, hexdump gibi araçlarla dosya analizi yapın.
3. Sandbox Analizi
Cuckoo Sandbox ile dinamik analiz yapın.
4. Network Analizi
Wireshark ile ağ trafiğini analiz edin.
🔹 Kullanılacak Araçlar
| Araç | Açıklama | Kullanım | Çıktı |
|---|---|---|---|
| file | Dosya türü tespiti | file sample.exe | Dosya türü bilgisi |
| strings | String çıkarma | strings sample.exe | Dosyadaki string'ler |
| hexdump | Hex görüntüleme | hexdump -C sample.exe | Hex dump |
| pefile | PE analizi | python pefile.py | PE yapısı |
| Cuckoo | Sandbox analizi | cuckoo submit | Dinamik analiz raporu |
🔹 Lab Ortamı
REMnux
Linux tabanlı malware analiz ortamı
Cuckoo Sandbox
Otomatik malware analiz sistemi
Wireshark
Ağ trafiği analiz aracı
EICAR
Güvenli test dosyası
🔹 Lab Süreci
1. Hazırlık
REMnux ortamını hazırlama ve EICAR dosyasını indirme
2. Statik Analiz
Dosya türü, string'ler ve PE yapısını analiz etme
3. Dinamik Analiz
Cuckoo Sandbox ile davranış analizi yapma
4. Raporlama
Analiz sonuçlarını rapor halinde sunma
🧪 Lab 2: Statik Analiz Lab
Ghidra kullanarak statik malware analizi yapın.
🧪 Statik Analiz Lab
🔹 Lab Hedefleri
Lab Hedefleri
Bu lab'da Ghidra kullanarak statik malware analizi yapacaksınız. PE dosya yapısını inceleyecek, disassembly yapacak ve API analizi gerçekleştireceksiniz.
🔹 Lab Adımları
1. Proje Oluşturma
Ghidra'da yeni proje oluşturun ve malware dosyasını import edin.
2. Disassembly
Malware'i disassemble edin ve kod yapısını inceleyin.
3. API Analizi
Kullanılan Windows API'lerini analiz edin.
4. String Analizi
Dosyadaki string'leri analiz edin ve şüpheli içerikleri tespit edin.
🔹 Ghidra Özellikleri
| Özellik | Açıklama | Kullanım | Fayda |
|---|---|---|---|
| Disassembly | Makine kodunu assembly'e çevirme | Otomatik | Kod analizi |
| Decompilation | Assembly'i C koduna çevirme | Otomatik | Okunabilir kod |
| Function Analysis | Fonksiyon analizi | Manuel | İşlev anlama |
| Cross References | Çapraz referanslar | Otomatik | İlişki analizi |
| Symbol Table | Sembol tablosu | Otomatik | İsim analizi |
🔹 Lab Ortamı
Ghidra
NSA'nın ücretsiz disassembler'ı
PE Dosyası
Analiz edilecek malware örneği
Windows VM
Güvenli analiz ortamı
İzolasyon
Güvenli analiz ortamı
🔹 Lab Süreci
1. Proje Hazırlığı
Ghidra'da proje oluşturma ve dosya import etme
2. Disassembly
Malware'i disassemble etme ve kod yapısını inceleme
3. API Analizi
Kullanılan API'leri analiz etme ve işlevleri belirleme
4. Raporlama
Analiz sonuçlarını rapor halinde sunma
🧪 Lab 3: Dinamik Analiz Lab
Cuckoo Sandbox kullanarak dinamik malware analizi yapın.
🧪 Dinamik Analiz Lab
🔹 Lab Hedefleri
Lab Hedefleri
Bu lab'da Cuckoo Sandbox kullanarak dinamik malware analizi yapacaksınız. Malware'i güvenli ortamda çalıştırarak davranışını gözlemleyeceksiniz.
🔹 Lab Adımları
1. Sandbox Hazırlığı
Cuckoo Sandbox'ı yapılandırın ve analiz ortamını hazırlayın.
2. Malware Çalıştırma
Malware'i sandbox ortamında güvenli şekilde çalıştırın.
3. Davranış İzleme
Sistem aktivitelerini izleyerek davranışı kaydedin.
4. Rapor Analizi
İzlenen davranışları analiz ederek rapor hazırlayın.
🔹 Cuckoo Sandbox Özellikleri
| Özellik | Açıklama | Kullanım | Fayda |
|---|---|---|---|
| Automated Analysis | Otomatik analiz | Tek tıkla | Hızlı analiz |
| Behavior Monitoring | Davranış izleme | Otomatik | Detaylı analiz |
| Network Analysis | Ağ analizi | Otomatik | C&C tespiti |
| File Analysis | Dosya analizi | Otomatik | Dosya değişiklikleri |
| Report Generation | Rapor oluşturma | Otomatik | Detaylı rapor |
🔹 Lab Ortamı
Cuckoo Sandbox
Otomatik malware analiz sistemi
Windows VM
Analiz için Windows sanal makinesi
Network Monitoring
Ağ trafiği izleme sistemi
Malware Sample
Analiz edilecek malware örneği
🔹 Lab Süreci
1. Sandbox Hazırlığı
Cuckoo Sandbox'ı yapılandırma ve analiz ortamını hazırlama
2. Malware Çalıştırma
Malware'i sandbox ortamında güvenli şekilde çalıştırma
3. Davranış İzleme
Sistem aktivitelerini izleyerek davranışı kaydetme
4. Rapor Analizi
İzlenen davranışları analiz ederek rapor hazırlama