Ana sayfa HEPSİ Zararlı Portların Tespit Edilmesi

Zararlı Portların Tespit Edilmesi

167
0

Zararlı Portların Tespit Edilmesinde Manuel ve Araç Kullanarak İşlem Yapma

Zararlı portların tespit edilmesi işleminde kullanılan bir takım port takip programları mevcuttur . Ancak bu yazımda sizlere manuel  bir takım analiz yöntemlerinden bahsedeceğim . Bu bilgiler orta seviyeli bilgisayar kullanıcıları için yazılacaktır . Anlayamadığınız noktaları yorum olarak yapabilir , tatmin edici cevaplar alabilirsiniz .

port analz
Zararlı portların analiz edilmesi

Windows platformu içerisinde genelde “.exe” uzantılı trojan worm malware gibi zararlı yazılımlarla karşılaşmak an meselesi olabilir . Reklam virüsleri, ransomware , usb autorun files (hala varlığı devam etmekte) gibi yazılımlar sizlere ciddi zararlar verebilir. Bu virüsler genelde oyun crack dosyaları , sertifikasız veya sahte sertifikalı dosyalarla bilgisayarınıza bulaşabilmektedir . Her ne kadar güvenliğinizi sağlamak için anti-virüs programları kullansanızda bu tarz yazılımlar hiç bir zaman sizlere %100 güvenlik sunmamaktadırlar . Bu yazılımların belli bir algı yöntemi bypass edildiği zaman o dosya için güvenli uyarısını verip asıl virus-trojan’ı sistemde çalışmaya devam ettirebilir . Bu yüzden manuel olarak portların takibi dosyaların incelenmesi , sistemden kaldırılması gibi işlemleri birlikte adım adım gerçekleştireceğiz .Öncelikle Bilgisayardaki zararlı olarak tanımlanan portları incelemeye başlayalım .İlk ve basit olarak kullanacağımız araç “CurrPorts” Windows Xp/7/8/8.1/10 işletim sistemlerinde çalışmaktadır (Yönetici olarak Açmaya Dikkat edelim).

  • Programı açtıktan sonra sistemde açık olan programların internet protokollerini göreceksiniz . scroll’u aşağı doğru kaydırma kısmı var ise aşağı doğru kaydıralım ve kırmızı renk ile renklendirilmiş satır var ise kontrol edelim .
zararlı port
Zararlı portların analiz edilmesi

Resimde kırmızı renk ile işaret edilen satırlara bakalım . Process ID ler üzerinden işlem yapacağımız için bir metin belgesi  içerisine not alalım .biz “2316PID Adresini kaydettik.Kırmızı satırdan birine çift tıklayalım karşımıza Process Path çalışmakta olan dosyanın bilgisayar üzerindeki yolunu görmüş olduk . “Bu yoldaki dosya şu an işlemde ve zararlı bir port üzerinden işlem yapıyor .” mesajını anlamış olmalısınız :). Şimdi gelelim bu dosyayı birazcık antivirüsler ile başını belaya sokalım 🙂 ..

Dosyaların Rapor Edilmesi Bölümü 2. Kısım :

Bu bölümde kullanacağımız program ProcessExplorer bu küçük araç yardımı ile çalışmakta olan dosyaları online olarak virustotal’da tarayacağız ve tarama sonuçlarını göreceğiz . Eğer dosya daha önceden taranmış ise bize genel durumu ile ilgili bilgiyi sunacak . Eğer daha önceden taranmamış ise yeni bir adres ile taranılan dosya adresi oluşturacaktır . Dosyalar tarandıktan sonra virustotal tarafından incelenir ve eğer zararlı bir yazılım olduğu tespit edilirse dosya imzası antivirüs şirketlerine satılır . Bu satış işlemleri genelde uzun vadede ve toplu satışlardır ancak günümüzde çok hız kazanmış olan dosya imza toplama yöntemi ile 1 veya 2 hafta içerisinde dosyaların imzaları antiviürüs programlarına güncelleme olarak gelecektir . Bunun size faydası artık o virüs size veya başka kişilerede bulaşma riskini azaltır . Kısacası  o dosyaya bağışıklık kazanarak zararlı olduğunu size söyleyip sistemden kaldıracaktır . Dosyaların analizinde çok büyük yardımı olan dosya imzalarının toplanıp antivirüs şirketleri ile paylaşması bizim yararımıza olacaktır . Ancak bu dosyalar ne kadar imza toplanırsa toplansın yeni kodlanmış virüsler sisteminize saldırmaya size maddi ve manevi zararlar vermeye devam edecek şekilde  piyasada tekrardan boy gösterebilecektir . Her ne kadar savunma mekanizması firewall’ları geliştirilmiş bir antivirüs programı olsada bu tür tehditlerden hiç bir zaman %100 kurtulmuş sayılmazsınız .Teknoloji ilerledikçe güvenlik açıklıklarıda bir yandan artmaya devam eder . Kapanan her güvenlik açığıda 100 açık daha demektir 🙂 .Biz programımıza dönelim ve incelemelerimize devam edelim ProcessExplorer programımızı yönetici olarak çalıştıralım :

zararlı portların analizi
Zararlı portların analiz edilmesi işlemi
  • Ardından Options > VirusTotal.com > Check VirusTotal.com ‘ a tıklayalım
    Zararlı portların analiz edilmesi
    Zararlı portların analiz edilmesi

     

  • Biraz bekledikten sonra virus total sonuçları ekranın sağ taraftaki kolonlarında yazmaya başlayacaktır . Tarama sonuçlarımıza bakalım :
ProcessExplorer Zararlı portların analizi işlemi
ProcessExplorer Zararlı portların analizi işlemi
  • Burada kırmızı renk ile işaretlediğim kısımlarda 1/55 , 2/52 ,1/56  değerlerini görüyorsunuz gelelim bu değerlerin anlamı ve okunması işlemine ..
  • 1/55 değerinin anlamı şudur : 55 adet anti-virüs yazılımı tarafından taranmış ve içlerinden bir tanesi bu dosyayı zararlı olarak bulmuş. anlamına gelir .

Peki biz bu değerden ne anlamalıyız ?  

Öncelikle kırmızı renkli görünen 55 antivirüsten sadece 1 tanesinin zararlı olarak gördüğü raporu incelemek için değer üzerine tıklayalım .

ProcessExplorer raporun incelenmesi
ProcessExplorer raporun incelenmesi

Bu dosya yukardada bahsettiğim üzere daha önceden birileri taranfından taranmış ve aynı dosya imzasına sahip ! … 2 gün 2 saat önce birileri tarafından taranmış olan dosya 9 kişi tarafından zararsız 3 kişi tarafından zararlı olarak işaretlenmiş . Ancak asıl bilgi virustotal tarafından dosyaların analiz edilip anti-virüs programları ile dosya imzasını paylaştıktan sonra belli olacak .

Bu dosya Advanced System’in orjinal sitesinden indirilmiş olan program tarafından kullanılmakta . Site adresi ve indirdiğimiz yeri güvenli olduğunu biliyor isek o kadar telaş etmemize gerek yok . Çünkü program içerisinde kullanılan bazı kodlar antivirüs programları tarafından resimdede görüldüğü gibi DrWeb tarafından zararlı yazılım olarak görülmüş .Ayrıca sonuç kısmında yazan detect türü trojan ve malware gibi kötü yazılımların oluşturabileceği bir sonuç değil (sonuç kısmı ile ilgili detaylı paylaşım yapılacaktır) Sürekli kullandığınız programlar kirli bir defter gibi görünüyor değil mi 🙂 .. Merak etmeyin herşeyi sürekli bu şekilde kontrol etmeniz gerekmiyor . Sadece bilgisayarınıza güvenemediğiniz kaynaklardan indirdiğiniz dosyalar için bu işlemleri gerçekleştirebilir gerekli güvenlik önlemlerinizi alabilirsiniz . Anlatıma devam edelim

Dosyaların sistemden temizlenmesi işlemi 3. kısım :

Bu kısımda yukarıda cpors programının kullanımından sizlere bahsetmiştim . programı açtığınızda kırmızı renk ile yazan satırdaki PID adresini kaydettik ve kırmızı satıra çift tıkladığımızda Process Path bölümündeki dosya yolunu almıştık . Şimdi o dosya yolunu bir metin belgesine alalım ben örnek olarak ASCServices.exe dosyasını yani DrWeb programının zararlı olduğu dosyayı kaldıracağım .ProcessExplorer programında virustotal raporlarına bakmıştık en son bu kısımdan programa çift tıklayarakta ulaşabiliriz . Benim bilgisayarımdaki dosya yolu şu şekilde oluşmuş : C:\Program Files\IObit\Advanced SystemCare\ASCService.exe buradaki kırmızı yeri silip dosya konumuna erişiyoruz

Zararlı portların analizi
Zararlı portların analizi

Evet dosyamızı bulduk . bu dosyayı silmek için önce görev yöneticisinden veya currports , ProcessExplorer gibi kullandığımız iki aracın herhangi birini kullanarakta yapabiliriz .PID adresine göre kapatalım . kapattıktan sonra dosyayı rahatlıkla silebiliriz . Ancak bu dosya şuan güvenliği tehdit etmemekle birlikte güvenli bir kaynaktan indirildiği için herhangi bir zararı olmayacaktır .Bize asıl zarar verecek olan portları currports ile tespit edip bu şekilde dosya dizinine erişip bilgisayarımızdan sileceğiz . Bunların dışında msconfig veya çalıştır satırına shell:startup yazarak açılışta başlayan uygulamaları yönetebilir sizin hatırlamadığınız yazılımları kaldırabilirsiniz . Bu araçların kullanımı basit olmakla birlikte cmd üzerindende yapılabilmektedir . Birde araç kullanmadan inceleyelim ve aynı işlemleri cmd’den yapalım .

  1. netstat -a: Tüm bağlantıları ve dinleyen portları gösterir
  2. netstat -b: bağlantıları ve portları onları kullanan uygulama adı ile birlikte görüntüler
  3. netstat -n: port numaralarını gösterir
  4. netstat -o: Bağlantıları ilgili PID  ile birlikte gösterir
Cmd ile zararlı portların bulunması işlemi
Cmd ile zararlı portların bulunması işlemi

gördüğünüz “LISTENING” sistemin bağlantı beklediğini göstermektedir. Buna ek olarak aşağıdaki bağlantı durumlarıda anlamları ile verilmiştir.

  • CLOSED: Bağlantının kapalı olduğunu gösterir
  • ESTABLISHED: Bağlantı kurulmuş
  • TIME_WAIT: Bağlantı açık ancak kullanılmıyor

Dikkat ettiyseniz PID adresleri gözükmemekte bunun için girmemiz gereken komut : netstat -ano:

cmd ile nestat -ano komutunun kullanılması
cmd ile nestat -ano komutunun kullanılması

Bu adımdan sonrasını sanırım artık biliyorsunuz pid adreslerinide gördüğünüze göre görev yöneticisinden sonlandırabiliriz . burada göreceğimiz zararlı SYN_SENT ‘tir . currports programında kırmızı olarak gördüğümüz şey burada SYN_SENT olarak çıkacaktır karşımıza bu port trojanlar ve botnet tarzı kullanıcıyı tamamen ele geçiren yazlımlar tarafından kullanılan bir bağlantı türüdür.PID numarasından aynı işlemleri uygulayabiliriz bizi takip etmeye devam edebilirsiniz..

 

BİR CEVAP BIRAK

Lütfen bir yorum yazın!
Lütfen Adınızı Girin!