Kötücül yazılımların tespitinde imza temelli ve dinamik analiz yöntemlerinin zayıflıkları: Örnek olay çalışması

Authors : Derviş AYGÖR, Ertuğrul AKTAN

Pages : 305-316

Doi:10.17341/gazimmfd.668290

View : 21 | Download : 8

Publication Date : 2021-11-10

Article Type : Research Paper

Abstract :Kötücül yazılımlar, süregelen evrimi nedeniyle günümüzde de birçok bilgisayarı etkilemeye devam etmektedir. Kötücül yazılımların amacı hedef sistemleri manipüle etmek olduğundan, bu amacın önündeki en büyük engellerden biri konumunda olan antivirüs yazılımlarının atlatılması için birçok yöntem geliştirilmiştir. Bu çalışmada; kod enjeksiyonu, anti-dinamik modifikasyon ve şifreleme adımlarından oluşan deneysel metotla manipüle edilen masum bir programın, imza ve dinamik analiz temelli antivirüs yazılımlarını büyük ölçüde atlatabildiği gösterilmiştir. Masum bir program olarak Notepad++ metin editörü, kötücül kod üretmek için Metasploit zafiyet analiz ve test çatısı, anti-dinamik modifikasyon için Ollydbg hata ayıklayıcısı ve kötücül yazılım analizi için Virustotal platformu kullanılmıştır. Virustotal sonuçlarına bakıldığında; masum program içerisine enjekte edilmiş kötücül kod başlangıçta 30/67 adet antivirüs yazılımı tarafından tespit edilmiş, fakat anti-dinamik modifikasyon ve şifreleme uygulandıktan sonra bu değer, sırasıyla 9/67 ve 4/66 adede düşmüştür. Özetle birçok antivirüs yazılımının, farklı anti-tespit yöntemleri ile atlatılabildiği anlaşılmıştır. Bu sonuç, mevcut antivirüs çözümlerinin yanı sıra kum havuzu teknolojisi gibi farklı güvenlik yaklaşımlarına ihtiyaç olduğunu ortaya koymaktadır.
Keywords : Kötücül yazılım, antivirüs, imza temelli tespit, antivirüs atlatma teknikleri