Merhabalar arkadaşlar, bu yazımda sizlere adli bilişim incelemeleri için kullanılması oldukça mantıklı ve pratik olan Flare VM dağıtımından bahsetmek istiyorum.
Flare VM, Windows işletim sistemleri üzerine kurulan, bu sayede ;
FireEye çalışanlarının Flare VM’i oluşturmasının temel sebepleri ;
..\..\Programlar
Cygwin : Windows işletim sistemi üzerinde “Linux” dağıtımlarına benzer fonksiyonlar sağlayan OpenSource araçlar koleksiyonu.
Far Manager : Windows işletim sistemlerinde Dosyaların ve Arşivlerin yönetiminde kullanılan bir programdır.
HxD Hex Editor : Disk düzenleme ve RAM değiştirme ile birlikte her boyuttaki dosyayı işleyebilen hızlı bir hex editörüdür.
Netwide Assemblr – NASM : Taşınabilirlik ve düzenleme için tasarlanan x86-64 ve 80×86 için Assembler dili birleştiricisidir.İşlemciler üzerinde işlemci process’leri yazılabilir, analiz edilebilir.
File Insgiht : İncelenecek dosya için bilgiler sağlayan, dosya metadatalarını görülebilir ve erişilebilir hale getirmeye ondan sonra incelenmesine yardımcı olan bir araçtır.
HashCalc : Mesaj özetlerinin ve dosyaların sağlamalarının(checksum) hesaplamasında kullanılan hesap makinesidir. Ayrıca hex strings ve text strings’lerinin de hesaplamasını yapabilir.
010 Editor : Metin ve Sayısal(Hex) editör aracı. Bir çok farklı dosya formatını(XML,UTF-8) anlaşılabilir biçimde düzenleyip kullanıcıya gösterebiliyor.
PDF Stream Dumper : Malware içeren PDF dosyaları için analiz aracı.
IDA Pro Free : Programlanabilir, multi işlemcili debugger.
Process Hacker : Bilgisayarda ki işlemci ve bellek kullanımlarının hangi program tarafından yapıldığını gösteren, dilendiği zaman çalışan programı sonlandırabilmeye yarayan araç.
Resource Hacker : Kaynak kod düzenlenlemesi yapabilmemize yarayan araç. Bu araç ile DLL dosyaları da açılabilir, içerisinde düzenlemeler yapılabilir.
PE Detective : PE Dosyaları hatta direkt bir dizin seçerek o dizindeki tüm dosyaları tarayarak bir rapor oluşturan araçtır. Oluşturduğu raporda dosyanın imzasını, hash değerini vs. görüntülenebilir.
Signature Explorer : Mevcut olan imzaları inceleyebilmeye ve bunlarla etkileşime geçebilmeye yardımcı olan araç.
ImpRec : Paket programların, içeri aktarma adres tablosunu görüntüleyebilmemizi ve içerisinde değişiklikler yapabilmemizi sağlar.
Oledump : “.OLE”(Bileşik Dosya İkili Biçimi) dosyalarını analiz etmeyi sağlayan araçtır.
Cmder : Renkli ve güzel görünüm sağlayan komut satırı işlemcisi.
ILSpy : “.NET” derlemesi ve kod çözümlemesi yapmaya yarayan araçtır.
..\..\Programlar\Flare VM
Dex2Jar : APK dosyalarının kaynak kodunu görüntüleyebilmeyi sağlayan araçtır.
FFDec : Flash SWF dosyalarını ayrıştırmayı, içeriğini incelemeyi ve düzenlemeyi sağlayan araçtır.
Volatility : RAM, bellek dosyaları üzerinde analiz yapabilmemizi sağlayan araçtır.
..\..\Flare\Debuggers
OllyDbg : İkili kod analizi ile x86 debug işlemini yapmayı sağlayan araç. Kayıtları izler, prosedürleri, anahtarları, tabloları, dizeleri tanır ve dosyalar&kütüphanekerden gelen rutin işlemleri bulur.
Scdbg : 32 bit işlemci, bellek ve API ortamlarını taklit eden sanal makine üzerinden Shellcode çalıştıran ve analizini yapmayı sağlayan araç.
x64dbg : Malware analizi ve kaynak kodu olmadığı halde yürütülebilir(.exe) dosyalarının analizini yapmayı sağlar.
..\..\Flare\Dissassemblers
binaryNinja : Tersine mühendislik analizi için kullanılan, değişken analizi ve daha fazlasını otomatize olarak yapan araç.
Ghidra : NSA tarafından geliştirilmiş tersine mühendislik aracıdır.
Radare2 : İkili dosya analizleri ile birlikte tersine mühendislik analizi yapılması sağlanan araçtır.
..\..\Flare\dotNET
DnSpy : .NET debugger’i ve .NET derlemelerine tersine mühendislik analizi yapmayı sağlayan araç.
Dotpeek : DLL dosyaları, yürütülebilir dosyalar(.exe) dahil olmak üzere birden çok biçimde ki dosyalarda decompile işlemi yapabildiğimiz araçtır.
..\..\Flare\HexEditors
..\..\Flare\Java
..\..\Flare\NET
..\..\Flare\Office
Crypto, ezhexviewer, mraptor vs. : Burada bulunan bir çok python scripti “Oletools” github sayfasında ki scriptlerdir. OLE2(Yapılandırılmış Depolama Dosyaları) dosyalarında Malware analizi, forensic, debugger ve daha bir çok işlemi yapabilmeyi sağlayan python scriptleridir.
Officemalscanner : Zararlı yazılım izlerinin analizleri için Microsoft Ofis adli bilişim aracıdır.
Rtfdump : RTF dosyalarını detaylı bir şekilde analiz etmek için kullanılan araç.
..\..\Flare\PDF
PDFid : PDF dosyalarını tarayarak içerisinde Powershell, javascript veya farklı bir script var mı diye tarama yapabildiğimiz araç.
PDFparser : PDFid ile PDF dosyasının içinde farklı bir dille yazılmış script bulursak, bu PDFparser ile o scripti dosyadan ayırabiliriz.
..\..\Flare\Pentest
cacheDump : Önbelleğe alınmış parola hashlerini Registry’den bulmayı sağlayan araç.
Fgdump : Windows sistemlerde NTLM parola hashlerini kırmak için oluşturulan “pwdump” aracının daha geliştirilmiş sürümüdür.
..\..\Flare\Python
Py2ExeDecompiler : Py2Exe ile oluşturulmuş bir yürütülebilir dosyayı(.exe) bu araç ile açtığınızda, yürütülebilir dosyanın python kaynak kodlarını görüntüleyebilmemizi sağlar.
Pyinstxractor : PyInstaller ile oluşturulmuş yürütülebilir dosyanın(.exe) kaynak kodunu görüntüleyebilmemizi sağlar.
..\..\Flare\Utilities
CyberChef : 100’den fazla farklı işlemi ayrıştırmak, dönüştürmek, yürütmek için oluşturulmuş araç.
Exe2Aut : Yürütülebilir dosyaların(.exe) kaynak kodlarını görüntüleyebilmemizi sağlayan araç. Özellikle Autolt3 ile çalışması için oluşturulmuş.
Exeinfope : Yürütülebilir dosyaları(.exe) ve diğer dosya türlerini de analiz eden ve bu dosyalar hakkında bilgi veren bir araçtır.
Hollows-Hunter : Windows process’lerinde “Code Injection” var ise tespit etmeyi sağlayan araçtır.
Procdot : Sysinternal araçları sonuçları, tcpdump paketleri verileri vs. birleştirerek görsel arayüzlü bir grafik oluşturur ve etkileşimli olarak üzerinden analizler yapılabilir.
Procmon : Sysinternals aracı olan sistemde çalışan process’leri görüntüleyebilmemizi sağlayan araç.
Regshot : Dosya sistemimizin anlık görüntüsünü alabilmemizi sağlayan araç. Daha sonra sistemde değişiklikler yaptıktan sonra 2. Alacağımız dosya sistemi görüntüsü ile ilk aldığımız görüntüyü karşılaştırabilmemizi sağlayan araç.
SilkETW : Kernel seviyesinde izleme yapabilmeyi sağlayan araçtır.
UniExtract : Çıkarılabilir herhangi bir türde ki dosyaların çıkartılabilmesi(Extract) için geliştirilmiş araç.
XOR-Search : XOR kodlu ikili dosyalarda belirli bir dizeyi arayabilmemizi sağlamak için geliştirilmiş bir araç.
Yara32 : Malware tanımlamaları, sınıflandırmaları için hex, string, regex ile oluşturulmuş imza dosyalarından yararlanan çok güçlü bir araçtır.
Flare VM kurulumu için aşağıda ki bağlantıyı okuyabilirsiniz ;
https://medium.com/three-arrows-security/hazır-windows-malware-analiz-ortamı-flare-vm-1f013b8330d2
Flare VM, Windows işletim sistemleri üzerine kurulan, bu sayede ;
- Malware Analizi
- Tersine Mühendislik
- Adli Bilişim Analizi
FireEye çalışanlarının Flare VM’i oluşturmasının temel sebepleri ;
- Yapılacak malware analizlerinde sürekli farklı izole ortamlar oluşturmaktan kurtulmak,
- Tersine Mühendislik ve Forensics analizleri için her an farklı bir tool gerekebilir. Bu toolların kurulumu ve optimizasyonu bir hayli zaman alabilir. Bu sebep ile gerekli olabilecek tüm toolların tek bir sistemde toplanması ve bu sistemin kolay şekilde kurulabilir olması.
..\..\Programlar
Cygwin : Windows işletim sistemi üzerinde “Linux” dağıtımlarına benzer fonksiyonlar sağlayan OpenSource araçlar koleksiyonu.
Far Manager : Windows işletim sistemlerinde Dosyaların ve Arşivlerin yönetiminde kullanılan bir programdır.
HxD Hex Editor : Disk düzenleme ve RAM değiştirme ile birlikte her boyuttaki dosyayı işleyebilen hızlı bir hex editörüdür.
Netwide Assemblr – NASM : Taşınabilirlik ve düzenleme için tasarlanan x86-64 ve 80×86 için Assembler dili birleştiricisidir.İşlemciler üzerinde işlemci process’leri yazılabilir, analiz edilebilir.
File Insgiht : İncelenecek dosya için bilgiler sağlayan, dosya metadatalarını görülebilir ve erişilebilir hale getirmeye ondan sonra incelenmesine yardımcı olan bir araçtır.
HashCalc : Mesaj özetlerinin ve dosyaların sağlamalarının(checksum) hesaplamasında kullanılan hesap makinesidir. Ayrıca hex strings ve text strings’lerinin de hesaplamasını yapabilir.
010 Editor : Metin ve Sayısal(Hex) editör aracı. Bir çok farklı dosya formatını(XML,UTF-8) anlaşılabilir biçimde düzenleyip kullanıcıya gösterebiliyor.
PDF Stream Dumper : Malware içeren PDF dosyaları için analiz aracı.
IDA Pro Free : Programlanabilir, multi işlemcili debugger.
Process Hacker : Bilgisayarda ki işlemci ve bellek kullanımlarının hangi program tarafından yapıldığını gösteren, dilendiği zaman çalışan programı sonlandırabilmeye yarayan araç.
Resource Hacker : Kaynak kod düzenlenlemesi yapabilmemize yarayan araç. Bu araç ile DLL dosyaları da açılabilir, içerisinde düzenlemeler yapılabilir.
PE Detective : PE Dosyaları hatta direkt bir dizin seçerek o dizindeki tüm dosyaları tarayarak bir rapor oluşturan araçtır. Oluşturduğu raporda dosyanın imzasını, hash değerini vs. görüntülenebilir.
Signature Explorer : Mevcut olan imzaları inceleyebilmeye ve bunlarla etkileşime geçebilmeye yardımcı olan araç.
ImpRec : Paket programların, içeri aktarma adres tablosunu görüntüleyebilmemizi ve içerisinde değişiklikler yapabilmemizi sağlar.
Oledump : “.OLE”(Bileşik Dosya İkili Biçimi) dosyalarını analiz etmeyi sağlayan araçtır.
Cmder : Renkli ve güzel görünüm sağlayan komut satırı işlemcisi.
ILSpy : “.NET” derlemesi ve kod çözümlemesi yapmaya yarayan araçtır.
..\..\Programlar\Flare VM
Dex2Jar : APK dosyalarının kaynak kodunu görüntüleyebilmeyi sağlayan araçtır.
FFDec : Flash SWF dosyalarını ayrıştırmayı, içeriğini incelemeyi ve düzenlemeyi sağlayan araçtır.
Volatility : RAM, bellek dosyaları üzerinde analiz yapabilmemizi sağlayan araçtır.
..\..\Flare\Debuggers
OllyDbg : İkili kod analizi ile x86 debug işlemini yapmayı sağlayan araç. Kayıtları izler, prosedürleri, anahtarları, tabloları, dizeleri tanır ve dosyalar&kütüphanekerden gelen rutin işlemleri bulur.
Scdbg : 32 bit işlemci, bellek ve API ortamlarını taklit eden sanal makine üzerinden Shellcode çalıştıran ve analizini yapmayı sağlayan araç.
x64dbg : Malware analizi ve kaynak kodu olmadığı halde yürütülebilir(.exe) dosyalarının analizini yapmayı sağlar.
..\..\Flare\Dissassemblers
binaryNinja : Tersine mühendislik analizi için kullanılan, değişken analizi ve daha fazlasını otomatize olarak yapan araç.
Ghidra : NSA tarafından geliştirilmiş tersine mühendislik aracıdır.
Radare2 : İkili dosya analizleri ile birlikte tersine mühendislik analizi yapılması sağlanan araçtır.
..\..\Flare\dotNET
DnSpy : .NET debugger’i ve .NET derlemelerine tersine mühendislik analizi yapmayı sağlayan araç.
Dotpeek : DLL dosyaları, yürütülebilir dosyalar(.exe) dahil olmak üzere birden çok biçimde ki dosyalarda decompile işlemi yapabildiğimiz araçtır.
..\..\Flare\HexEditors
..\..\Flare\Java
..\..\Flare\NET
..\..\Flare\Office
Crypto, ezhexviewer, mraptor vs. : Burada bulunan bir çok python scripti “Oletools” github sayfasında ki scriptlerdir. OLE2(Yapılandırılmış Depolama Dosyaları) dosyalarında Malware analizi, forensic, debugger ve daha bir çok işlemi yapabilmeyi sağlayan python scriptleridir.
Officemalscanner : Zararlı yazılım izlerinin analizleri için Microsoft Ofis adli bilişim aracıdır.
Rtfdump : RTF dosyalarını detaylı bir şekilde analiz etmek için kullanılan araç.
..\..\Flare\PDF
PDFid : PDF dosyalarını tarayarak içerisinde Powershell, javascript veya farklı bir script var mı diye tarama yapabildiğimiz araç.
PDFparser : PDFid ile PDF dosyasının içinde farklı bir dille yazılmış script bulursak, bu PDFparser ile o scripti dosyadan ayırabiliriz.
..\..\Flare\Pentest
cacheDump : Önbelleğe alınmış parola hashlerini Registry’den bulmayı sağlayan araç.
Fgdump : Windows sistemlerde NTLM parola hashlerini kırmak için oluşturulan “pwdump” aracının daha geliştirilmiş sürümüdür.
..\..\Flare\Python
Py2ExeDecompiler : Py2Exe ile oluşturulmuş bir yürütülebilir dosyayı(.exe) bu araç ile açtığınızda, yürütülebilir dosyanın python kaynak kodlarını görüntüleyebilmemizi sağlar.
Pyinstxractor : PyInstaller ile oluşturulmuş yürütülebilir dosyanın(.exe) kaynak kodunu görüntüleyebilmemizi sağlar.
..\..\Flare\Utilities
CyberChef : 100’den fazla farklı işlemi ayrıştırmak, dönüştürmek, yürütmek için oluşturulmuş araç.
Exe2Aut : Yürütülebilir dosyaların(.exe) kaynak kodlarını görüntüleyebilmemizi sağlayan araç. Özellikle Autolt3 ile çalışması için oluşturulmuş.
Exeinfope : Yürütülebilir dosyaları(.exe) ve diğer dosya türlerini de analiz eden ve bu dosyalar hakkında bilgi veren bir araçtır.
Hollows-Hunter : Windows process’lerinde “Code Injection” var ise tespit etmeyi sağlayan araçtır.
Procdot : Sysinternal araçları sonuçları, tcpdump paketleri verileri vs. birleştirerek görsel arayüzlü bir grafik oluşturur ve etkileşimli olarak üzerinden analizler yapılabilir.
Procmon : Sysinternals aracı olan sistemde çalışan process’leri görüntüleyebilmemizi sağlayan araç.
Regshot : Dosya sistemimizin anlık görüntüsünü alabilmemizi sağlayan araç. Daha sonra sistemde değişiklikler yaptıktan sonra 2. Alacağımız dosya sistemi görüntüsü ile ilk aldığımız görüntüyü karşılaştırabilmemizi sağlayan araç.
SilkETW : Kernel seviyesinde izleme yapabilmeyi sağlayan araçtır.
UniExtract : Çıkarılabilir herhangi bir türde ki dosyaların çıkartılabilmesi(Extract) için geliştirilmiş araç.
XOR-Search : XOR kodlu ikili dosyalarda belirli bir dizeyi arayabilmemizi sağlamak için geliştirilmiş bir araç.
Yara32 : Malware tanımlamaları, sınıflandırmaları için hex, string, regex ile oluşturulmuş imza dosyalarından yararlanan çok güçlü bir araçtır.
Flare VM kurulumu için aşağıda ki bağlantıyı okuyabilirsiniz ;
https://medium.com/three-arrows-security/hazır-windows-malware-analiz-ortamı-flare-vm-1f013b8330d2
