Thread Starter
#0
⚠️ YASAL ÇERÇEVE VE ETİK UYARIBu rehber, Volatility Framework kullanılarak siber olaylara müdahale ve zararlı yazılım tespiti yeteneklerini geliştirmek amacıyla hazırlanmıştır.
RAM analizi sırasında elde edilen kullanıcı parolaları, şifreleme anahtarları ve kişisel veriler KVKK ve TCK 243 kapsamında korunmaktadır. Bu teknikleri yalnızca yetkili olduğunuz (adli soruşturma, kurum içi denetim veya kendi laboratuvarınız) imajlar üzerinde uygulayınız.
Giriş: "Hayalet" Verilerin Peşinde
Saldırganlar artık diske dosya yazmıyor. "Fileless Malware" (Dosyasız Zararlılar) kullanarak sadece RAM'de yaşıyorlar. Bilgisayarı kapatıp açtığınızda delil yok oluyor. Bu yüzden, olay anında alınan bir RAM imajı (Memory Dump), saldırıyı çözmenin tek yoludur.Volatility, bu ham 0 ve 1 yığınını anlamlı verilere (çalışan programlar, ağ bağlantıları, şifreler) dönüştüren dünyanın en güçlü açık kaynak aracıdır.
1. Hazırlık: İmajı Tanımlama (Profile Identification)
RAM imajını (örneğin .mem veya .dmp uzantılı dosya) analiz etmeden önce, Volatility'ye bu imajın hangi işletim sisteminden (Windows 10, Server 2019, Linux vb.) alındığını söylemelisiniz.- Volatility 3 Komutu:CODE
1
python3 vol.py -f supheli_sunucu.mem windows.info
- Analiz: Çıktı size işletim sistemi sürümünü, kernel versiyonunu ve saati verecektir. Bu bilgiler, doğru "Plugin"leri (eklentileri) çalıştırmak için hayati önem taşır.
2. Süreç Analizi: Gizlenen Rootkit'i Bulmak
Rootkitler, kendilerini Windows Görev Yöneticisi'nden (Task Manager) gizlerler. İşletim sistemini kandırırlar ama RAM yapısını (Linked List) kandıramazlar.- Yöntem: PsList vs PsScan
- PsList: İşletim sisteminin "gördüğü" süreçleri listeler (Normal liste).
- PsScan: Bellek havuzunu tarayarak, orada var olan ama listeden silinmiş süreçleri bulur.
- PsList: İşletim sisteminin "gördüğü" süreçleri listeler (Normal liste).
- Avcılık Mantığı:Eğer bir süreç (PID) PsScan listesinde var ama PsList çıktısında yoksa; TEBRİKLER! Bir Rootkit yakaladınız. Kendini listeden "unlink" etmiş (koparmış) demektir.
- Komut:CODE
1
python3 vol.py -f supheli_sunucu.mem windows.psscan
3. Ağ Analizi: C2 (Komuta Kontrol) Bağlantıları
Zararlı yazılımın dışarıdaki "sahibiyle" konuştuğu anı yakalamak.- Plugin: windows.netscan
- Ne Aramalıyız?
- ESTABLISHED durumundaki bağlantılar.
- Tanıdık olmayan portlar (Örn: 4444, 666, yüksek numaralı rastgele portlar).
- Kritik olmayan bir işlemin (örn: notepad.exe) internete bağlanması. (Notepad neden internete bağlansın? Bu kesinlikle bir "Process Injection"dır.)
- ESTABLISHED durumundaki bağlantılar.
4. Kod Enjeksiyonu Tespiti: Malfind
Saldırganlar zararlı kodlarını meşru bir sürecin (örn: svchost.exe) içine enjekte ederler. Böylece güvenlik duvarları svchost'u güvenli sandığı için trafiğe izin verir.- Plugin: windows.malfind
- Teknik Detay (MZ Header & RWX):Bu eklenti, bellekte "Yazılabilir, Okunabilir ve Çalıştırılabilir" (RWX - Read/Write/Execute) izne sahip alanları arar. Normalde bir Windows programı aynı anda hem yazılabilir hem çalıştırılabilir olmaz. Eğer bir bellek alanının başında MZ (Windows çalıştırılabilir dosya imzası) görüyor ve izinleri RWX ise, bu %99 ihtimalle enjekte edilmiş bir zararlıdır.
- Aksiyon: Volatility ile bu zararlı kod parçasını (Payload) dışarı çıkartıp (dump), tersine mühendislik için kullanabilirsiniz.
5. En Kritik Aşama: Parola ve Hash Dökümü
Geldik en hassas noktaya. Windows, kullanıcı oturum açıkken parolaları (veya hashlerini) lsass.exe (Local Security Authority Subsystem Service) sürecinde tutar.- Hashdump:Kullanıcıların NTLM hashlerini döker. Bu hashler "Pass the Hash" saldırılarında kullanılabilir veya kırılabilir (Crack).
CODE
1python3 vol.py -f supheli_sunucu.mem windows.hashdump- Lsadump / Mimikatz Entegrasyonu:Eğer işletim sistemi eski ise veya "WDigest" özelliği açıksa, kullanıcı şifreleri açık metin (cleartext) olarak görülebilir.
- Senaryo: Yönetici "Admin123!" şifresiyle giriş yapmışsa, RAM analizi ile bu şifreyi karakter karakter okuyabilirsiniz. (Bu yüzden saldırganlar sunucuya girdikten sonra hemen RAM'i okumaya çalışırlar).
6. Komut Satırı Geçmişi: CmdScan / Console
Saldırgan sistemde hangi komutları yazdı?- Plugin: windows.cmdline
- Analiz:Saldırganın girdiği komutları görmek, niyetini anlamanın en kısa yoludur.
- net user hacker 12345 /add (Kullanıcı eklemiş)
- sc stop windefend (Antivirüsü kapatmış)Gibi komutları RAM'den çekip çıkarabilirsiniz.
- net user hacker 12345 /add (Kullanıcı eklemiş)
Sonuç
Volatility, bir cerrahın neşteri gibidir. Bir sunucu hacklendiğinde, sadece diski taramak, olayın yarısını kaçırmak demektir. Rootkitler, şifreleme anahtarları, sohbet kayıtları ve saldırganın yazdığı komutlar sadece RAM'dedir. Bir [VIP WHITE] profesyoneli için, RAM imajı almak opsiyonel değil, zorunluluktur.