MalwareBazaar: Zararlı Yazılım Analizi ve Tehdit Avcılığı

-

Siber güvenlik dünyasında, özellikle defansif (Blue Team) operasyonlar ve zararlı yazılım analizinde güncel tehdit istihbaratına sahip olmak hayati bir öneme sahiptir. Bu makale taslağını hem teknik bir blog yayını olarak değerlendirebilir hem de siber güvenlik laboratuvarlarında öğrencilere yönelik bir eğitim modülü olarak kullanabilirsiniz.

Siber güvenlik savunma mekanizmalarını test etmek, yeni tehditleri anlamak ve güvenlik cihazlarını (IDS/IPS, Antivirüs) yapılandırmak için gerçek dünya verilerine ihtiyaç vardır. İsviçre merkezli kâr amacı gütmeyen abuse.ch projesi tarafından hayata geçirilen MalwareBazaar, bilgi güvenliği uzmanlarının zararlı yazılım (malware) örneklerini paylaşmasını, aramasını ve analiz etmesini sağlayan açık ve ücretsiz bir platformdur.

MalwareBazaar Nedir ve Neden Önemlidir?

Geleneksel platformların (örneğin VirusTotal) aksine, MalwareBazaar yalnızca zararlı olduğu kesinleşmiş veya yüksek şüphe barındıran örneklerin paylaşımına odaklanır. Temel amacı, antivirüs tarama sonuçlarını göstermekten ziyade, zararlı yazılımın kendisini (sample) siber güvenlik topluluğuna sunarak analiz ve imza oluşturma süreçlerini hızlandırmaktır.

Öne Çıkan Özellikleri:

  • Açık Veri Paylaşımı: Araştırmacılar, analiz etmek istedikleri güncel zararlı yazılımları ücretsiz olarak indirebilirler.

  • Gelişmiş Arama Yetenekleri: SHA256 özetleri (hash), dosya türü, imza (signature) veya YARA kuralları üzerinden spesifik aramalar yapılabilir.

  • Tehdit İstihbaratı Beslemesi: Günlük olarak güncellenen veri setleri sayesinde ağ güvenlik cihazları ve SIEM çözümleri otomatik olarak beslenebilir.

Laboratuvar Ortamlarında ve Blue Team Senaryolarında Kullanımı

İzole edilmiş bir analiz laboratuvarında (örneğin Proxmox üzerinde sanallaştırılmış bir Pardus veya analiz odaklı bir Linux dağıtımında), MalwareBazaar kritik bir rol oynar.

  1. Zararlı Yazılım İndirme ve İnceleme: Platformdan indirilen parolalı (genellikle parola: infected) ZIP dosyaları, kontrollü ortamlarda açılarak statik (tersine mühendislik) veya dinamik (davranışsal) analize tabi tutulabilir.

  2. Ağ Trafiği (PCAP) Analizi Hazırlığı: İndirilen zararlı yazılımlar laboratuvar ortamında çalıştırılarak oluşturdukları ağ trafiği Wireshark veya Tshark ile izlenebilir. Bu sayede, zararlının Komuta ve Kontrol (C2) sunucularıyla nasıl haberleştiği incelenebilir.

  3. IDS/IPS Kuralları Yazma: Elde edilen davranışsal veriler kullanılarak Suricata veya Snort gibi saldırı tespit sistemleri için özel kurallar yazılıp test edilebilir.

Python ile MalwareBazaar API Entegrasyonu

MalwareBazaar, süreçleri otomatize etmek isteyen geliştiriciler ve sistem yöneticileri için güçlü bir REST API sunar. Tehdit avcılığı (Threat Hunting) süreçlerinizi veya kendi yazdığınız yönetim panellerini otomatize etmek için Python kullanarak platformu kolayca entegre edebilirsiniz.

Aşağıdaki Python betiği, belirli bir dosya özetini (SHA256) MalwareBazaar API'sine göndererek zararlı yazılım hakkında detaylı bilgi çekmeyi sağlar:

Python
import requests
import json
def get_malware_info(sha256_hash):
    """MalwareBazaar API'sini kullanarak zararlı yazılım bilgisini getirir."""
    api_url = "https://mb-api.abuse.ch/api/v1/"
    payload = {
        'query': 'get_info',
        'hash': sha256_hash
    }
    
    try:
        # API'ye POST isteği gönderiyoruz
        response = requests.post(api_url, data=payload)
        response.raise_for_status()
        
        result = response.json()
        
        if result['query_status'] == 'ok':
            print("Zararlı Yazılım Bulundu!")
            data = result['data'][0]
            print(f"Dosya Adı: {data['file_name']}")
            print(f"Dosya Türü: {data['file_type_mime']}")
            print(f"Tespit Edilen İmza: {data['signature']}")
            print(f"İlk Görülme: {data['first_seen']}")
        else:
            print("Zararlı yazılım veritabanında bulunamadı veya bir hata oluştu.")
            
    except requests.exceptions.RequestException as e:
        print(f"Bağlantı hatası: {e}")
# Örnek bir SHA256 Hash'i ile test edelim (Gerçek bir zararlı hash'i kullanın)
ornek_hash = "7de2c1bf58bce09eece7014407582a50bc1131813e35ab5128e1d782dfcb66dc"
get_malware_info(ornek_hash)

Sonuç

MalwareBazaar, yalnızca olaylara tepki vermek yerine proaktif bir savunma stratejisi geliştirmek isteyen herkes için vazgeçilmez bir kaynaktır. Bu platformdan elde edilen verilerin, otomasyon araçları ve açık kaynaklı ağ izleme sistemleriyle birleştirilmesi, siber güvenlik kaslarını güçlendirmek için mükemmel bir yöntemdir.

Hem statik kod analizini hem de ağ tabanlı dinamik analizi birleştirmek, öğrencilere siber olaylara müdahale (Incident Response) sürecinin tamamını deneyimleme fırsatı sunar. Kapsamlı bir Mavi Takım (Blue Team) eğitim modülü veya sağlam bir bitirme projesi için bu iki disiplinin entegrasyonu kusursuz bir kurgudur.

İzole bir sanallaştırma ortamı (örneğin Proxmox üzerinde yapılandırılmış makineler) kullanarak bu iki aşamayı tek bir bütünleşik senaryoda şu şekilde birleştirebiliriz:

Bütünleşik Zararlı Yazılım Analizi Senaryosu

Bu senaryoda öğrenciler, MalwareBazaar'dan elde edilen bir veriyi uçtan uca analiz edecekleri bir "Tehdit Avcılığı" döngüsüne girerler.

Aşama 1: Statik Analiz ve Tehdit Tanımlama (İlk Temas)

Bu aşamada amaç, dosyayı çalıştırmadan zararlının kimliğini ve potansiyel yeteneklerini ortaya çıkarmaktır. Öğrenciler izole edilmiş analiz laboratuvarlarında (örneğin Pardus makinelerinde) şu adımları uygular:

  • Kimliklendirme: İndirilen örneğin SHA256 özetini (hash) hesaplayarak MalwareBazaar ve diğer istihbarat platformlarındaki kayıtlarla eşleştirme.

  • Görünür Metin (Strings) Analizi: Çalıştırılabilir dosyanın içindeki okunabilir metinleri çıkartarak zararlının kullanabileceği IP adreslerini, URL'leri, kayıt defteri anahtarlarını veya API çağrılarını tespit etme.

  • YARA Kuralları: Öğrencilerin, dosyanın belirli byte dizilimlerine (hexadecimal) veya string değerlerine bakarak tespit yapabilen basit YARA kuralları yazması.

Aşama 2: Dinamik Analiz ve Ağ İzleme (Davranışsal İnceleme)

Öğrenciler, zararlının çalıştırıldığında sistemde ve ağda nasıl bir iz bıraktığını canlı olarak izlerler. Eğitim standartları gereği gerçek bir zararlı çalıştırılacaksa ağın tamamen izole edildiğinden emin olunmalıdır.

  • Trafik Yakalama: Dosya çalıştırılmadan hemen önce arka planda Tshark veya Wireshark başlatılarak tüm ağ trafiği (PCAP) kayıt altına alınır.

  • Sistem Gözlemi: Zararlı çalıştırıldıktan sonra sistemde hangi yeni süreçlerin (process) başladığı, hangi dosyaların değiştirildiği gözlemlenir.

  • C2 İletişimi: Yakalanan PCAP dosyası incelenerek zararlının dışarıdaki bir Komuta Kontrol (C2) sunucusuna yaptığı DNS sorguları, HTTP GET/POST istekleri veya şüpheli TCP bağlantıları tespit edilir.

Aşama 3: Savunma ve Engelleme (Suricata Entegrasyonu)

Bu son aşama, elde edilen bulguların eyleme dönüştürüldüğü kısımdır.

  • Kural Yazımı: İkinci aşamada tespit edilen şüpheli IP adresi veya özel HTTP User-Agent bilgisi kullanılarak Suricata için özel bir saldırı tespit/engelleme kuralı yazılır.

  • Doğrulama: Kaydedilen PCAP dosyası Suricata üzerinden çevrimdışı (offline) olarak tekrar oynatılarak yazılan kuralın başarılı bir şekilde "Alert" (uyarı) üretip üretmediği test edilir.

Bu yapı, öğrencilerin ezberden uzaklaşarak bir tehdidin anatomisini adım adım çözmelerini sağlayacaktır.

Harika bir pedagojik tercih. Hem hazır bir temel sunmak hem de sistemi kendi elleriyle inşa etmelerini sağlamak, öğrencilerin ezberci bir yaklaşımdan uzaklaşıp Linux sistem mimarisini ve siber güvenlik araçlarının çalışma mantığını derinlemesine anlamalarını sağlar.

Bu hibrit modeli laboratuvar ortamına şu şekilde entegre edebilirsiniz:

Hibrit Kurulum Senaryosu: "Temelden Otomasyona"

Öğrencilere her şeyi hazır vermek yerine, altyapıyı aşamalı olarak kurdurmak hem sistem yönetimi hem de siber güvenlik becerilerini aynı anda geliştirecektir.

1. Aşama: Standart İşletim Sistemi İmajının Dağıtımı (Hazır Kısım)

Analiz ortamının stabil olması çok önemlidir. Laboratuvardaki sunucu altyapısı (örneğin Proxmox sanallaştırma ortamı) kullanılarak, temel bir Pardus (Cinnamon masaüstü ortamına sahip) şablonu (template) hazırlanabilir.

  • Bu imajın içinde yalnızca temel ağ yapılandırmaları ve güncellemeler yer almalıdır.

  • Öğrenciler kendi analiz makinelerini bu temiz şablondan klonlayarak işe başlarlar. Böylece herkes aynı, stabil başlangıç noktasında olur.

2. Aşama: Araçların Bash Betikleriyle Kurulumu (Yapılandırma Kısmı)

İşte bu nokta, öğrencilerin ellerini kirleteceği aşamadır. Araçları (Wireshark, Tshark, Suricata) paket yöneticisinden tek tek "tıklayarak" kurmak yerine, onlardan bir Otomatik Kurulum Betiği (Bash Script) yazmalarını isteyebilirsiniz.

  • Ortak Dizin Yönetimi: Öğrenciler, yazdıkları betiklerle analiz araçlarını ve paylaşımlı zararlı yazılım kütüphanelerini /opt gibi belirli dizinler altında hiyerarşik olarak yapılandırabilirler.

  • Toplu Yönetim ve Yetkilendirme: 15-20 makinelik bir laboratuvar ağında, yetki yapılandırmalarının nasıl çalıştığını anlamaları gerekir. SSH üzerinden uzak yönetim veya toplu parola güncellemeleri yapan betikler yazarken, Pardus'un güvenlik kuralları gereği standart komutlar yerine özel "piping" (borulama) işlemleri kullanmaları gerektiğini kendi başlarına çözmeleri, sistem yönetimi vizyonlarını inanılmaz derecede genişletecektir.

  • Hata Ayıklama (Troubleshooting): Kendi yazdıkları script'ler çalışmadığında logları okumayı ve Linux terminalinde sorun gidermeyi öğreneceklerdir.

3. Aşama: Servislerin Ayağa Kaldırılması ve Test Edilmesi

Araçlar kurulduktan sonra, öğrencilerin bu araçları arka planda birer servis olarak başlatması ve ağ trafiğini dinleyebilecek şekilde yapılandırması istenir. Örneğin, Suricata'nın bir servis olarak başlatılıp loglarının /var/log/suricata/ altına doğru şekilde yazılıp yazılmadığını kontrol etmeleri bir görev olabilir.

Bu hibrit yapı, öğrencilere kendi "Blue Team" karargahlarını sıfırdan inşa etme hissiyatı vereceği için motivasyonlarını ciddi şekilde artıracaktır. Hem de yazdıkları bu kurulum betiklerini ve analiz adımlarını, bitirme projesi dokümantasyonlarına (README.md) profesyonel birer portfolyo parçası olarak ekleyebilirler.

Bir Ransomware (Fidye Yazılımı) ve bir RAT (Uzaktan Erişim Truva Atı) analizini aynı senaryoda birleştirmek, öğrencilere modern siber saldırıların nasıl çok aşamalı (multi-stage) gerçekleştiğini göstermek için kusursuz bir yöntemdir. Gerçek dünyada da saldırganlar genellikle sisteme önce bir RAT ile sızar, içeride tutunur (persistence) ve en son aşamada Ransomware çalıştırarak sistemi kilitlerler.

Bu iki tehdidi birleştiren kapsamlı bir "Gelişmiş Sürekli Tehdit" (APT) Simülasyonu tasarlayabiliriz.

İşte laboratuvar ortamında adım adım işlenebilecek, "Ransomware ve RAT" birleşik senaryosu:

Çok Aşamalı Saldırı Senaryosu: "Sessiz Sızıntı ve Yıkım"

Öğrenciler, bu senaryoda baştan sona bir Olay Müdahale (Incident Response) döngüsünü yaşarlar. Olayı iki faza bölmek, analiz sürecini daha yönetilebilir kılar.

Faz 1: Sessiz Sızıntı (RAT Analizi)

Senaryo, bir çalışanın oltalama e-postasıyla (phishing) sisteme bir dosya indirmesiyle başlar. Bu aslında bir RAT'tır.

  • Ağ İzleme (Tshark/Wireshark): Öğrenciler ilk olarak ağda şüpheli bir hareketlilik fark etmelidir. RAT çalıştığında, saldırganın Komuta Kontrol (C2) sunucusuyla periyodik olarak haberleşmeye başlar (Beaconing). Öğrencilerin görevi, Wireshark üzerinden bu periyodik "kalp atışı" (heartbeat) sinyallerini, şüpheli DNS sorgularını veya alışılmadık portlardaki TCP trafiğini tespit etmektir.

  • Sistem Analizi: Sistem üzerinde hangi arka plan süreçlerinin (process) çalıştığı incelenir.

  • Savunma Hamlesi: Öğrenciler, tespit ettikleri bu C2 sunucu IP'sini veya alan adını engellemek için ilk Suricata kurallarını yazarlar.

Faz 2: Yıkım (Ransomware Analizi)

Saldırgan (Senaryo gereği), içeride fark edildiğini anlar veya hedeflediği veriye ulaşır ve sistemi kilitlemek için ağa bir Fidye Yazılımı (Ransomware) yayar.

  • Davranışsal İnceleme: Ransomware çalıştığında ağ trafiğinden ziyade sistemin kendisinde büyük bir yıkım başlar. Öğrenciler, Pardus laboratuvar ortamında hangi dosyaların şifrelendiğini, uzantıların nasıl değiştiğini ve sistemin nasıl kilitlendiğini canlı olarak gözlemler.

  • Görünür Metin (Strings) ve Hash Analizi: Öğrenciler, MalwareBazaar'dan daha önce çektikleri örnekleri kullanarak bu Ransomware'in imzasını (hash) doğrularlar ve strings analizi ile fidye notunun (ransom note) içeriğini çözerler.

  • Kurtarma ve Temizlik: İşletim sisteminin tamamen kilitlendiği bu senaryo sonrasında, öğrencilerin kendi yazdıkları Bash betiklerini kullanarak makineyi temiz bir duruma döndürmeyi (veya Proxmox üzerinden snapshot dönmeyi) koordine etmeleri gerekir.


Siber Güvenlik Bitirme Projesi Değerlendirme Rubriği (Ransomware ve RAT Senaryosu)

Değerlendirme KriteriBeklenen Yeterlilikler ve Öğrenci ÇıktılarıPuan Ağırlığı
1. Dinamik Ağ Analizi (Terminal & PCAP)Zararlı yazılımın (RAT/Ransomware) oluşturduğu ağ trafiğini Wireshark/Tshark kullanarak doğru filtreleyebilme. C2 (Komuta Kontrol) sunucusuyla olan iletişimi, DNS sorgularını ve şüpheli TCP/HTTP bağlantılarını terminal üzerinden adım adım açıklayabilme.%25
2. Savunma ve Kural Yazımı (Suricata)Ağ analizinden elde edilen bulgularla (IP, port, özel HTTP User-Agent vb.) Suricata için doğru sözdizimine (syntax) sahip, çalışan ve hedef odaklı alert veya drop kuralları yazabilme.%25
3. Statik Analiz ve Tehdit KimliklendirmeMalwareBazaar'dan indirilen örneklerin hash değerlerini doğrulama, strings aracı ile görünür metinleri (fidye notu, şüpheli API çağrıları) ayrıştırma ve temel YARA kuralları ile tehdidi kimliklendirebilme.%15
4. Sistem Yönetimi ve OtomasyonPardus üzerinde gerekli analiz araçlarını (Suricata, Tshark) bash betikleri kullanarak /opt dizinine standartlara uygun şekilde kurabilme ve servis yetkilendirmelerini (grup izinleri vb.) sorunsuz yapılandırabilme.%15
5. Dokümantasyon ve RaporlamaTüm analiz sürecini, yazılan betikleri ve Suricata kurallarını Markdown formatında, profesyonel bir README.md dosyası olarak hazırlayabilme. Olay müdahale raporunu akıcı ve teknik bir dille sunabilme.%20

Değerlendirme Sırasında Dikkat Edilebilecek İpuçları:

  • Puan Kırıcı Hatalar: Öğrencilerin Suricata kuralı yazarken any any -> any any gibi çok genel ve ağ trafiğini boğacak kurallar yazması, puan kırılması gereken önemli bir mantık hatası olarak değerlendirilebilir.

  • Ekstra Puan (Bonus): Kurulum betiklerinde (Bash Script) kullanıcı şifresi gerektiren komutları atlatmak için Pardus güvenlik yapılarına uygun, borulama (piping) ile şifre aktarımı yapan öğrenciler sistem mimarisini iyi kavramış demektir ve ekstra notla ödüllendirilebilir.

  • Raporlama Standardı: Sadece ekran görüntüsü eklemek yerine, log kayıtlarının metin tabanlı olarak Markdown formatında kod blokları içine alınarak açıklanması, sektör standardı bir alışkanlık kazandıracaktır.

Bu rubrik sayesinde öğrencileriniz, sadece araçları kullanmayı değil, bir tehdit avcısı gibi düşünmeyi, bulgularını raporlamayı ve kendi sistemlerini inşa edip savunmayı tek bir proje çatısı altında tecrübe etmiş olacaklar.


Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Android Telefon/Tablet Ekranını Pardus ETAP 23 Yüklü Akıllı Tahtaya Yansıtma

-
Resim
Bu eğitim, öğretmenlerin Android tablet veya telefonlarının ekranını kolayca tahta ekranına yansıtmaları için gereken tüm yöntemler ayrıntılı şekilde anlatılmaktadır. 1. Giriş Android cihazı akıllı tahtaya yansıtmanın amacı: Dersi telefondan yönetmek Mobil uygulamaları sınıfa göstermek YouTube, EBA, PDF, görsel veya kamera görüntüsünü aktarmak Kablosuz sunum yapmak Pardus ETAP 23 üzerinde yansıtma işlemi için en çok tercih edilen yöntemler: Scrcpy (USB + WiFi bağlantılı) — En stabil çözüm Third-party çözümler (TeamViewer Host, DeskScreen, Vysor vb.) Bu makalede en garantili ve ETAP 23’e en uyumlu yöntem olan Scrcpy başta olmak üzere tüm yöntemleri anlatıyoruz. 2. Scrcpy ile Yansıtma Scrcpy, Android cihazınızı yüksek kalite / düşük gecikme ile bilgisayara aktaran açık kaynaklı bir yazılımdır. Pardus ETAP 23 için mükemmel uyumludur. ✔️ 2.1. Kurulum Adım 1 — Gerekli paketleri yükle Terminali açın: sudo apt update sudo apt install scrcpy adb android-to...
Devamı

Pardus Etap 23’de Unutulmuş Etap Yetkili Parolasını Sıfırlama

-
Resim
Bu kısa eğitimde, Pardus sisteminde unutulmuş bir Etap Yetkli parolasının nasıl sıfırlanacağını öğreneceksiniz. Bu, etapadmin kullanıcısı olarak oturum açma ve yönetim görevlerini gerçekleştirme yeteneğinizi yeniden kazanmanıza yardımcı olacaktır. Öncelikle Pardus sisteminizi açın veya yeniden başlatın. Aşağıda gösterildiği gibi bir GRUB menüsüyle karşılaşacaksınız. İlk seçenekte devam edin ve sistem başlatılmadan önce klavyedeki " e " tuşuna basın. . Bu sizi aşağıda gösterilen ekrana yönlendirecektir. Aşağı kaydırın ve /boot/vmlinuz-* bölümünden önce gelen ve UUID 'yi de belirten ' linux ' ile başlayan satırı bulun.   İmleci bu satırın sonuna götürün ve ‘ ro quiet’ bölümünden hemen sonrasına getirin ve init=/bin/bash. parametresini ekleyin Ardından, kök dosya sistemini salt okunur (ro) erişim haklarıyla bağlayarak tek kullanıcı modunda önyüklemeyi etkinleştirmek için Ctrl + x tuşlarına basın. Parolayı sıfırlamak için erişim hakkını salt okunurdan okuma-ya...
Devamı

Pardus Etap 23 Yazıcı Kurulumu

-
Resim
1. CUPS Nedir? CUPS , "Common UNIX Printing System" (Yaygın UNIX Yazdırma Sistemi) kelimelerinin baş harflerinden oluşur.  Temel Görevi: Pardus gibi UNIX tabanlı işletim sistemleri için standart yazdırma sunucusudur. Bilgisayarınızdaki uygulamalardan (LibreOffice, tarayıcı vb.) gelen yazdırma isteklerini alır, bunları yazıcının anlayacağı dile (genellikle PCL veya PostScript) çevirir ve sıraya koyarak yazıcıya gönderir. Geliştirici: İlk olarak Michael Sweet tarafından geliştirildi, daha sonra Apple Inc. tarafından desteklendi ve günümüzde OpenPrinting topluluğu tarafından sürdürülüyor. Ağ Paylaşımı: CUPS'ın en güçlü yanlarından biri, bir yazıcıyı ağdaki diğer bilgisayarlara (Windows, macOS veya başka bir Linux) kolayca paylaştırabilmesidir. Yönetim Arayüzü: En karmaşık ayarları bile yapabilmenizi sağlayan, tarayıcı üzerinden çalışan yerel bir web arayüzüne sahiptir ( http://localhost:631 ). Pardus, Debian tabanlı olduğu için CUPS'ı varsayılan yazdırma sistemi ol...
Devamı