Eğitim Açıklaması
Son yıllarda yaşanan karmaşık ve farkedilmesi zor siber saldırılar APT kavramı ortaya çıkmıştır. Gelişmiş, hedef odaklı siber tehditler olarak tanımlayabileceğimiz APT kavramının en önemli bileşenini Zararlı Yazılımlar oluşturmaktadır. Siber dünyanın en etkili sihahları olarak da bilinen zararlı yazılımlar, alınan tüm klasik güvenlik önlemlerini atlatarak sistemler/kişiler veya mobil cihazlar üzerinden bilgi kaçırma, zarar verme ve istihbarat toplama amaçlı kullanılmaktadır.
Malware Analiz eğitimin temel amacı kurumsal ağ ortamlarında sık rastlanılan ve klasik güvenlik yazılımları(Antivirüs, HIPS vb) tarafından farkedilemeyen zararlı yazılımların analiz edilmesi, etki ve aktivitelerinin belirlenmesi ve sistemden kaldırılması için gerekli çalışmaların yapılmasıdır.
Eğitim süresince katılımcılar gerçek hayattan alınmış zararlı yazılımların analizlerini yaparak konu hakkında pratik bilgiye sahip olacaklardır.
Eğitim Kodu
YOK
Eğitim Seviyesi
Orta Seviyesi
Kimler Katılmalı
Sistem ve ağ yöneticileri, IT denetçileri, SOC(Security Operation Center) çalışanları, Bilgi Güvenliği ekipleri
Ön Gereksinimler
Orta seviye Windows bilgisi, temel seviye ağ ve Linux bilgisi.
Eğitim Süresi
3 Gün
Sertifika
Eğitime katılanlara, BGA tarafından katılım sertifikası verilecektir.
Eğitim İçeriği
Zararlı Yazılım(Malware) Dünyası
- Temel kavramlar
- Malware, Virus, Worm, Trojan, Spyware, Ransomware
- Yeni Nesil Suçlar vs Siber Suç Kavramı
- Yeraltı Ekonomisi ve Dinamikleri
- Siber Casusluk Amaçlı Kullanılan Zararlı Yazılımlar
- Zararlı Yazılım(Malware) Analizi
- Türkiye ve Dünyadan Zararlı Yazılım Haberleri
- APT(Advanced Persistent Threat) Kavramı
- Örnek Bir APT(Advanced Persistent Threat) Senaryosu
Zararlı Yazılım (Malware) Analiz Yöntemleri
- Dinamik Analiz Yöntemleri
- Statik Analiz Yöntemleri
- Gelişmiş Analiz Yöntemleri
- Etkilediği Sisteme Göre Zararlı Yazılım Çeşitleri
- Windows Sistemleri Etkileyen Zararlı Yazılımlar
- Linux Sistemleri Etkileyen Zararlı Yazılımlar
- Mobil (Android/iOS) Sistemleri Etkileyen Zararlı Yazılımlar
Malware Analiz Araçları ve Temel Kullanımı
- Debugger(Ayıklama) ve Disassembler Kavramları
- Temel Seviyede Debugger ve Disassembler Kullanımı
- Online Malware Analiz Siteleri ve Temel Çalışma Yöntemleri
- Malware Yayılma Mekanizmaları
- Malware Keşfinde Microsoft SysInternals Araçları
Botnet Konusuna Giriş
- Botnet Kullanılarak Gerçekleştirilen Saldırı Tipleri
- Botnet Takip ve Tespiti Amaçlı Trafik Analizi
- Snort Saldırı Tespit Sistemi Botnet Kuralları
- C&C Koruma Amaçlı Fastflux Kullanımı
- DNS Sinkhole Kullanarak Malware ve BotNet Keşfi
- Örnek Botnet Analizi (Zeus)
Malware Analiz Amaçlı Lab. Ortamının Hazırlanması
- Sanal Makinelerin Malware Analizinde Kullanım Avantaj/Dezavantajları
- Malware Analizi için Vmware Kurulum/Yapılandırması
- Inetsim Kullanarak Sahte Ağ Servisleri Hazırlama
- Malware Analiz Amaçlı Hazır Linux Dağıtımı:Remnux
- Sandbox Kurulumu
- Cuckoo Sandbox Kurulum ve Örnek Kullanımı
- Sandboxie Kullanımı
Basit Araçlar Kullanarak Tanınmaz Malware Geliştirme/Üretimi
- Hazır Malware Üretim Araçları ve Online Servisler
- FUD(Fully Undetectable) Zararlı Yazılım Geliştirme
- Crypter, Packer, Joiner, Wrapper, Binder Kavramları ve Kullanım Amaçları
- İnceleme Amaçlı Malware Örneklerine Ulaşım
- Windows/UNIX/Linux Sistemlerde Zararlı Yazılım Analizi
- Linux/UNIX Sistemlerde Malware Analizi Araçları
Zararlı Yazılım Tespitinde Statik Analiz Yöntemleri
- Temel Antivirüs ve AntiMalware Yazılımlarının Çalışma Mantığı
- Paketleme Yapılmamış Malware İçinden Anlamlı Kelime Yakalama
- Paketlenmiş ve Karıştırılmış(obfuscate) malware Kullanımı
- Paketleme ve Çözme Araçları
- Peid ile Paketleme Tipini Belirleme
- Paketleme için UPX Kullanımı
- Paketlenmiş Dosyayı OllyDbg Kullanarak Açma
- Bilinmeyen Paketleme Yöntemleri için Analiz Araçları
- Windows PE Dosya Tipi ve Bölümleri
Dinamik Analiz Yöntemi ile Malware Tespiti
- Dinamik Analiz Yöntemi Avantaj ve Dezavantajları
- Sandbox Kavramı
- Dinamik Analiz için Kullanılan Araçlar
- Windows SysInternals Araçları
- Malware Tarafından Başlatılan Süreç(proses) Takibi
- Procman, Process Explorer Kullanımı
- Malware Tarafından Diske Yazılan/Silinen Dosyaların Belirlenmesi
- Capturebat Kullanımı
- Firemon Kullanımı
- Malware Tarafından Değiştirilen Registry Ayarları
- Regshot Kullanımı
- Pdf ve Microsoft Ofis Döküman Analizi
- Javascript Analizi
Malware Tarafından Üretilen Trafiğin İncelenmesi
- SSL Trafiğinde Araya Girme
- Wireshark,Ngrep, Tshark Kullanarak Trafik Analizi
- Snort Kullanarak Zararlı Yazılım için IDS İmzası Yazma
- Zararlı Yazılım Analizinde Ağ Trafiği Analizi
- Malware Engelleme ve Tespitinde DNS Sinkhole Kullanımı
Malware Analizi Amaçlı Memory Dump(Bellek Dökümü) İnceleme
- İşletim Sistemi Çalışmasına Belleğin Yeri ve Önemi
- Bellek Analizi için Gerekli Temel Bilgiler
- Memory Dump Alma Yöntem ve Araçları
- Sanal Makinelerde Bellek Dökümü Alma
- Bellek Dökümü Alma Amaçlı Kullanılan Ticari/Ücretsiz Araçlar
- Volality Yazılımı Kullanarak Bellek Analizi
- Çalıştırılan Dosyaya Ait Ağ Bağlantılarını Bulma
- Bellekte Parola Bulma
- Bellekten Zararlı Yazılıma Ait Çalıştırılabilir Dosyanın Ayıklanması
- Bellekte Zararlı Yazılım Avı
Örneklerle Malware Analizi Çalışmaları
- Basit Araçlarla StuxNet Analizi (Temel Seviye)
- Basit Araçlarla Duqu Analiz (Temel Seviye)
- Karmaşık Zararlı Yazılımların Analizinde Standart Araçların Yetersizliği
- İleri Seviye Malware Analizi için Gerekli Araçlar ve Yöntemler
Final Çalışması
Gruplara bölünerek eğitmenler tarafından önceden hazırlanmış ve internette örneği olmayan, çalıştırıldığında değişik aktiviteler gerçekleştiren zararlı yazılım örneğinin sistem üzerinde belirlenmesi, aktivitelerinin ortaya çıkarılması ve sistemden silinmesi için gerekli olan işlemlerin formal raporunun hazırlanması.
