Otomatik analiz sistemlerini atlatma ve alınabilecek olası önlemler

Abstract

Her geçen gün artan zararlı yazılım türü ve sayısı ile etkin bir mücadele için otomatik analiz sistemlerinin kullanımı büyük önem arz etmektedir. Otomatik analiz sistemleri ile şüpheli dosyalar güvenli ve kontrollü bir ortamdan çalıştırılarak zararlı yazılım olup olmadıkları ve eğer zararlı yazılım iseler ne tür özelliklere sahip oldukları gibi bilgilere hızlıca erişile bilinmektedir. Diğer taraftan zararlı yazılım yazarları da hazırladıkları uygulamaların, daha çok sisteme bulaşma ve bulaştığı sistemde daha uzun süre kalabilme adına otomatik analiz sistemleri tarafından tespit ve analiz edilebilme riskini azaltmaya çalışmaktadırlar. Bunun için zararlı yazılım yazarları, çeşitli otomatik analiz sistemi tespiti yöntemleri kullanmakta ve hazırladıkları zararlı yazılım eğer bu tür bir sistemde çalışıyor ise normalden farklı davranış sergileyerek analiz sistemini aldatmaya ve atlatmaya çalışmaktadırlar. Bu sebeple, zararlı yazılımlar ile mücadele de önemli bir rolü olan otomatik analiz sistemlerini etkisiz hale getiren ve devamlı olarak güncellenen otomatik analiz sistemi tespit yöntemlerine karşı yeni çözüm yöntemlerinin geliştirilmesi gerekmektedir. Bu ihtiyaç doğrultusunda da, bu çalışmamızda, otomatik analiz sistemi tespit yöntemleri ile mücadele yöntemleri araştırılmıştır. Bu bağlamda, otomatik analiz sistemi tespit etme yöntemleri araştırılmış ve bu yöntemlerin kullanımı herkese açık otomatik analiz sistemlerinde test edilerek, otomatik analiz sistemlerinin bu yöntemlere karşı yeterli düzeyde önlem almadığı tespit edilmiştir. Otomatik analiz sistemlerini tespit etme yöntemlerini engellemek için mevcut teknikler incelenmiş ve bunlara ilaveten yeni teknikler geliştirilmiştir. Bu tekniklerinin kullanılarak yapılan testlerde, otomatik analiz sistemi sonuçlarının önemli ölçüde iyileştirilebildiği ispatlanmıştır.

Utilization of automated analysis systems for the purpose of battling with the increasing number of malware types and samples have become more important than ever.With the help of automated analysis systems, suspected files are run on a safe and controlled environment then the maleficence of the file and if so, harmful features of the malware can be collected in a swift manner.On the other hand malware authors aim to minimize the risk of being identified and analyzed by automated malware systems in order to spread to more victims and become more persistent.As a result malware authors utilize varying methods to detect automated analysis systems and behave differently when they detect the underlying system with the hopes of evasion. In the light of the above mentioned facts, novel combating methods are required to fight the up-to-date automated analysis system detection methods which take away an important advantage of using automated analysis systems.In accordance with this requirement, in this thesis, automated analysis system detection methods are studied. In this regard automated analysis system detection methods are investigated and tested on public automated analysis services and as a result it has been concluded that the countermeasures for this type of detection methods are insufficient.Current countermeasures are examined and additionally novel methods have been introduced in order to battle automated analysis system detection methods. In conclusion by utilizing afore-mentioned countermeasures, automated analysis system results have been proven to be improvable.