VirusTotal ve Temel Özellikleri

0
2560
views
Sızma testleri sırasında antivirüslerin atlatılarak hedef sistemin ele geçirilmesi kritik bir aşamadır. Bu yazıda, kırmızı takım üyeleri tarafından oluşturulan ve mavi takım üyeleri tarafından tespit edilen uygulamaların antivirüs gibi koruyucu sistemler tarafından tespit edilip edilemediği VirusTotal kullanılarak incelenecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

VirusTotal temel olarak yüklenen bir dosyanın zararlı olup olmadığını anti-virüsler ile taratarak veya kendi üzerindeki veritabanında bulunan imzalarla karşılaştırarak gerçekleştirir. Şu anda 50 kadar anti-virüs firmasının imzalarını kullanmaktadır.

VirusTotal kullanımında dikkat edilmesi gerekilen 2 temel unsur vardır:

  • VirusTotal elde ettiği bilgileri, kullanıcı izni olmadan, anti-virüs firmaları ile paylaşmaktadır. Bu sebeple, özellikle zararlı yazılım geliştiricilerin bu durumu göz önünde bulundurmaları gerekir. Aksi halde tespit edilmediği düşünülen bir zararlı yazılım bir kaç gün içerisinde anti-virüs tarayıcıları tarafından tespit edilir. VirusTotal ile benzer işlevleri olan ve taranan dosyaları herhangi bir kurumla paylaşılmadığını belirten en önemli siteler aşağıdaki gibidir:

http://fuckingscan.me/

http://razorscanner.com

Ayrıca Türkiye’de yakında devreye girecek olan www.virus.mu sitesi de benzer işlevi görecektir.

  • VirusTotal’e gönderilen dosyalar (Word, PDF,… vs) kullanıcı izni olmadan saklanabilir, satılabilir veya başka amaçlarla kullanılabilir. Bu sebeple dosya analizinde yüklenen dosyaların kritik bilgi içermemesine dikkat edilmelidir.

VirusTotal tarafından sağlanan temel hizmetler aşağıdaki gibi sıralanabilir.

 

1) Dosya Yükleme ve Analizi

Bu başlıkta (ve neredeyse her başlıkta) Uygulama.exe adlı bir dosya kullanılacaktır. Bu dosyanın sha256 özeti ve dosya özellikleri şu şekildedir:

virustotal-and-basic-features-01

VirusTotal’e bir dosya yüklenerek analiz edilebilir. Yüklenen dosya farklı anti-virüs programları yüklenen farklı bilgisayarlara gönderilerek taranır ve sonucu kullanıcıya listelenir. Daha sonra da dosyaya ait özet (hash) değeri VirusTotal veritabanında saklanır. Böylece daha önceden taranan bir dosya taranmadan analiz sonucu listelenebilir. Bu dosya VirusTotal anasayfasındaki dosya sekmesinde (File) yüklenir.

virustotal-and-basic-features--02

Yüklenebilecek dosya boyutu 64 MB’dan büyük olursa aşağıdaki gibi hata mesajı alınabilir.

virustotal-and-basic-features-03

Analiz sekmesinde (Analysis), tarama işlemi sonucunda 50 anti-virüs firmasından 38 tanesinde yüklenen dosyanın zararlı olduğu tespit edilmiştir. Ayrıca sha256 özeti de görülmektedir.

virustotal-and-basic-features--04

Dosya detayları (File detail) sekmesinde dosya ile ilgili PE ve dosya imzası gibi temel bilgiler listelenir. Bu bilgiler zararlı yazılım analizinde (malware analysis) kullanılabilmektedir.

virustotal-and-basic-features-05

Ayrıca ExifTool ile meta bilgisi de listelenir.

virustotal-and-basic-features-06

Çevrimiçi ExifTool kullanımı için bağlantıdaki sayfa kullanılabilir.

Ayrıca dosya bilgilerinde bu aracın analizi ile elde edilen ayrıntılı PE analiz sonucu görülmektedir.

virustotal-and-basic-features-07

Ek dosya bilgileri sekmesinde (Additional information) ise dosyanın özet bilgileri (MD5, SHA1, SHA256) ve diğer bilgiler listelenmektedir.

virustotal-and-basic-features-08

Yorumlar sekmesinde (Comments) analiz edilen veri (yüklenen dosya, URL, …) hakkındaki yorumlar listelenir. (Ekran görüntüsünde farklı bir dosya için yorumlar sekmesi gösterilmiştir)

virustotal-and-basic-features-09

Oylar sekmesinde (Votes) ise analiz edilen veri hakkında gerçekleştirilen oylamalar listelenmektedir. (Ekran görüntüsünde farklı bir dosya için oylar sekmesi gösterilmiştir)

virustotal-and-basic-features-10

Bir dosyanın (veya verinin) daha önceden tarandığı durumda aşağıdaki gibi bir ekran görüntüsü ile karşılaşılır. Yeniden tarama yapılması veya en son tarama sonucunun listelenmesi tercih edilebilir.

virustotal-and-basic-features-11

 

2) Etki Alanı ve Analizi

URL sekmesinde URL sorgu analizi gerçekleştirilebilir.

virustotal-and-basic-features-12

Analiz sekmesinde (Analysis) URL analiz sonucu elde edilir.

virustotal-and-basic-features-13

Ek bilgi sekmesinde (Additional Information) web sitesinin çeşitli servislerin (Sophos, Websense, BitDefender, Quatterra, … gibi) bu URL ile ilgili analiz sonuçları elde edilir.

virustotal-and-basic-features-14

Diğer sekmeler dosya analizi ile benzerdir.

 

3) Veri Özeti ve Analizi

Search sekemesinde URL, etki alanı, IP ve en önemlisi de özet analizi gerçekleştirilebilir.

Etki alanı (domain) için tarama gerçekleştirilebilir.

virustotal-and-basic-features-15

Etki alanı (domain) tarama sonucu aşağıdaki gibidir.

virustotal-and-basic-features-16

Daha önce taraması gerçekleştirilen “Uygulama.exe” dosyasının tarama işlemi aşağıdaki gibidir.

virustotal-and-basic-features-17

Özet taramasına ait analiz sonucun, dosya taramasına ait sonucu ile aynıdır.

virustotal-and-basic-features-18

Özet analizinde dosya analizine göre ek bir sekme daha bulunmaktadır: Davranışsal analiz bilgisi (Behavioural information). Dosya detaylarındaki PE bilgileri (PE import) içermektedir.

virustotal-and-basic-features-19

Uyarı: Özet ile arama sekmesinde, daha önceden VirusTotal tarafından analiz edilmiş veya anti-virüs firmalarında özet değeri olan verilerin sonuçları karşılaştırılmaktadır. Veri özetinin sonucu veritabanlarında bulunmadığı durumda aşağıdaki gibi bir ekran görüntüsü elde edilir. Ancak özeti alınan dosyanın kendisi tarandığında ise bir çok anti-virüs tarafından tespit edilebilir. Bu sebeple özetin tespit edilmemesi AV’ler tarafından tespit edilemeyeceğini göstermez.

virustotal-and-basic-features-20

 

4) VirusTotal Uploader Masaüstü Uygulaması

VirusTotal tarama işlemleri için VirusTotal Uploader adlı masaüstü uygulaması kullanılabilir.

Bu masaüstü uygulaması yüklendikten sonra çalışan prosesler listelenebilir ve istenilen proses VirusTotal sitesinde otomatik olarak aranabilir.

virustotal-and-basic-features-21

Yükleme ve tarama sonucu aşağıdaki gibidir:

virustotal-and-basic-features-22

Masaüstü aracı ile web sitesi üzerindeki gibi URL analizi de gerçekleştirilebilir.

virustotal-and-basic-features-23

Masaüstü aracı ile çalışan bir uygulama yerine mevcut bir dosya da analiz edilebilir. Bunun için dosya sağ tıklanarak VirusTotal’e gönderilebilir.

virustotal-and-basic-features-24

Açılan pencereden analiz sonucu incelenebilir.

virustotal-and-basic-features-25

 

5) Firefox için VTzilla Eklentisi

VTzilla eklentisi ile Firefox kullanarak internetten bir dosya indirmeden önce VirusTotal tarafından taranması sağlanabilir.

Eklenti yüklendikten sonra bir dosya indirildiğinde VirusTotal ile taranması seçilebilir.

virustotal-and-basic-features-26

Böylece, VirusTotal web sitesine otomatik olarak bağlanılmakta ve analiz sonucu listelenmektedir. Bu analiz sonucu VirusTotal sayfasındaki URL sekmesinde analiz ile aynı sonucu vermektedir.

virustotal-and-basic-features-27

Ayrıca aynı sayfadaki Taranacak Dosya bağlantısı kullanılarak da ilgili dosyanın analizi gerçekleştirilir.

virustotal-and-basic-features-28

Firefox’un bu eklentisi ile bir araç çubuğu da yüklenir. Bu araç çubuğu ile dosya, özet değeri, web sayfası analizi de gerçekleştirilebilir.

virustotal-and-basic-features-29

Ayrıntılı bilgi için bakınız.

 

6) Mobil Uygulama

VirusTotal’in Android üzerinde çalışan bir mobil uygulaması da mevcuttur.

virustotal-and-basic-features-30

Ayrıntılı bilgi için bakınız.

 

7) Mail Hizmeti

VirusTotal’in hizmetlerinden birisi de “SCAN” konu başlığı (Subject) ile scan@virustotal.com mail hesabına gönderilen verinin tarama sonucunun cevap olarak döndürülmesidir.

Not: Gönderilebilecek dosya boyutu 32 MB ile sınırlandırılmıştır.

Analiz sonucu gelen mail aşağıdaki gibidir:

virustotal-and-basic-features-31

Mail adresine “SCAN+XML” konu başlığı ile gönderilen bir analiz sonucu ise aşağıdaki gibidir:

virustotal-and-basic-features-32

Ayrıntılı bilgi için bakınız.

 

8) API Genel Anahtarı ile Betiklerde Kullanım Desteği

VirusTotal’i betiklerde kullanmak için API genel anahtarı (API public key) kullanılabilir. Böylece web browser’ı olmadan betiklerle sorgulama işlemi gerçekleştirilebilir.
API genel anahtarını elde etmek için öncelikle VirusTotal topluluğuna üye olunur.

virustotal-and-basic-features-33

Oturum açıldıktan sonra da profil seçeneklerinden API genel anahtarı elde edilebilir. Bu anahtarın dakikada 4 adet sorgu sınırı olduğu görülmektedir.

virustotal-and-basic-features-34

Not: Gizli (private) anahtar alınarak ek hizmetlerden de faydalanılabilmektedir.

Elde edilen API genel anahtarı ile nmap aracının http-virustotal betiği kullanılabilir. Nmap betiği aşağıdaki gibidir:

nmap –script http-virustotal –script-args=’apikey=”<APIGenelAnahtari>”,checksum=”<DosyaOzetDegeri>”‘

Örnek bir özet değeri için elde edilen sorgu şu şekildedir:

virustotal-and-basic-features-35

Ayrıntılı bilgi için bakınız.

 

9) Process Explorer Desteği

Process Explorer prosesleri incelemek başta olmak üzere bir takım işlemler için kullanılan Microsoft aracıdır. Bu araç ile mevcut bir program VirusTotal veritabanında sorgulanabilir. Uygulama.exe adlı uygulama çalıştırılarak sorgulama işlemi aşağıdaki gibi gerçekleştirilebilir.

virustotal-and-basic-features-36

Böylece ayrıntılı analiz sonucu elde edilir.

virustotal-and-basic-features-37

 

10) Diğer Özellikler

Yukarıdaki başlıklarda sıralanan özelliklerin yanında, VirusTotal’in diğer özelliklerinden en önemlileri şu şekildedir:

  • VirusTotal topluluğu (community) tarafından hazırlanan bir blog mevcuttur.
  • Taranan ve analiz edilen dosyalara istatistikler sunulmaktadır.
  • Belli bir VirusTotal üyesi veya belli bir tag için arama yapılabilmektedir. 

 

http://www.behindthefirewalls.com/2013/10/do-you-know-all-virustotal-features.html

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.