Ram Nedir?
RAM(Random Access Memory), verileri geçici olarak depolayan fiziksel donanımdır. Bilgisayar üzerine kurduğunuz program, oyun vb. herşeyin programlara ait verileri çalıştırmak için kullandığı kısa süreli bellek olarak ifade edilebilir. Bunun yanı sıra bilgisayar içinde bulunan sabit disk ve SSD ise verilerin uzun süreli depolandığı bellektir. RAM tam olarak ifade edilecek olursa, bilgisayarınızın gücü kapatıldığında kaybolan uçucu verilerin depolandığı donanımdır. RAM birden fazla programa aynı anda hız ve verimlilikle erişmenizi sağlamaktadır. Bu durum şu şekilde açıklanabilir, programlar arasında hızlı geçişler yapabilmeye olanak sağlar.
Adli Bilişim Açısında RAM
Adli bilişim sektörü için olay yeri müdahalelerinde şüpheli bilgisayar içinde çok sayıda verilerin bulunacağı ve bu verilerin uçucu veriler olması sebebiyle adli bilişimde RAM büyük önem arz etmektedir. Suç işlenmeden önce cihaz içinde ne tür işlemler yapıldığı hakkında bilgiler alınır. Bilgisayarda çalışan tüm programlar RAM’den geçtiği için bilgisayar kapatılmadan önce verilerin alınması önemlidir.
RAM’de Hangi Veriler Bulunur?
- Geçmiş ve mevcut ağ bağlantıları: Ağ bağlantıları kurulan IP adres bilgisi, port bilgilerini verir. Bu bilgi ile malware türü yazılımların bilgisayar içinde olup olmadığı konusunda bilgi sahibi oluruz.
- Çalışan prosess bilgisi: Ram üzerinde çalışan prosessler ve bu prosesslein hangi sistem dosyaları tarafından çalıştırılıp çalıştırılmadığı hakkında bilgi alınabilir.
- Kullanıcı adı ve şifreler: Kullanıcıların kullanmış olduğu sosyal medya, e-posta vb. bilgiler elde edilir.
- DLL Dosyaları: Çalışan işlemler hakkındaki DLL listeleri bulunur.
- Kayıt defteri bilgileri: Malware analiz süreçlerinde en önemli noktalar biri kayıt defteri kontrolüdür. Bu kontrol ile ağ oluşturma yetenekleri, şifreleme vb. konularda bilgiler alabiliriz.
- Açık Dosyalar: Sistem içinde bulunan açık dosyaların listesini elde edebiliriz.
Cridex Malware Nedir?
Cridex Malware W32.Cridex olarak bilinmektedir. Bilgisayar içinde kendi kopyalar ve ağ üzerindeki bilgisayarlara yayılan bir worm’dur. Bulaştığı bilgisayar/bilgisayarlar içinde kendisine arka kapı açar, kendisini diske indirir. Bu worm bankacılık verileri dahil olmak üzere web oturumları, şifreler gibi verilerinizi toplar ve bu bilgileri üçüncü tarafa iletir.
Volatility W32.Cridex RAM Analizi
RAM analizlerinde başlangıç olarak kullanılacak komut imageinfo komutudur. Bu komut bize işletim sistemi hakkında bilgi verir. Volatility ile analize devam edebilmek için bu komutun kullanılması gerekmektedir. Bu komut ile Volatility’ ye profil bilgisi verilmiş olur.
<!– /* Font Definitions */ @font-face {font-family:”Cambria Math”; panose-1:2 4 5 3 5 4 6 3 2 4; mso-font-charset:0; mso-generic-font-family:roman; mso-font-pitch:variable; mso-font-signature:3 0 0 0 1 0;} @font-face {font-family:Calibri; panose-1:2 15 5 2 2 2 4 3 2 4; mso-font-charset:162; mso-generic-font-family:swiss; mso-font-pitch:variable; mso-font-signature:-469750017 -1073732485 9 0 511 0;} /* Style Definitions */ p.MsoNormal, li.MsoNormal, div.MsoNormal {mso-style-unhide:no; mso-style-qformat:yes; mso-style-parent:””; margin-top:0cm; margin-right:0cm; margin-bottom:8.0pt; margin-left:0cm; line-height:107%; mso-pagination:widow-orphan; font-size:11.0pt; font-family:”Calibri”,sans-serif; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-fareast-font-family:Calibri; mso-fareast-theme-font:minor-latin; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin; mso-bidi-font-family:”Times New Roman”; mso-bidi-theme-font:minor-bidi; mso-fareast-language:EN-US;} .MsoChpDefault {mso-style-type:export-only; mso-default-props:yes; font-family:”Calibri”,sans-serif; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-fareast-font-family:Calibri; mso-fareast-theme-font:minor-latin; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin; mso-bidi-font-family:”Times New Roman”; mso-bidi-theme-font:minor-bidi; mso-fareast-language:EN-US;} .MsoPapDefault {mso-style-type:export-only; margin-bottom:8.0pt; line-height:107%;} @page WordSection1 {size:612.0pt 792.0pt; margin:70.85pt 70.85pt 70.85pt 70.85pt; mso-header-margin:35.4pt; mso-footer-margin:35.4pt; mso-paper-source:0;} div.WordSection1 {page:WordSection1;} –>
Çıkan sonuçlarda birden fazla profil bilgisi gelebilir. Volatility size kesin profil bilgisi vermez. Bunun sebebi, sahip olduğu profillerin mimarilerin birbirine yakın olmasıdır.
Profil seçimden sonra RAM üzerinde çalışan prosesslerin görüntülenmesi gerekir. “Pstree” ve “pslist” komutları RAM içinde imaj alınırken çalışan prosesslerin görüntülenmesini sağlar. Bu komut gizli süreçleri görüntüleyemez gizli süreçleri görüntüleyebilmek için “psscan” komutu kullanılır. “Pstree” ile çalışan prosesslerde hangi prosessin child hangisinin parrent olduğunu görüntüleyebiliriz. Şüpheli görünen sürecin bulunmasına yardımcı olacaktır. Readred_sl.exe dosyasının Explorer.exe dosyası tarafından çalıştırılmaz. Xplorer.exe dosyası grafiksel ara yüzü görmemizi, sabit sürücü ve klasörlerin görüntülenmesini sağlar.
<!– /* Font Definitions */ @font-face {font-family:”Cambria Math”; panose-1:2 4 5 3 5 4 6 3 2 4; mso-font-charset:0; mso-generic-font-family:roman; mso-font-pitch:variable; mso-font-signature:3 0 0 0 1 0;} @font-face {font-family:Calibri; panose-1:2 15 5 2 2 2 4 3 2 4; mso-font-charset:162; mso-generic-font-family:swiss; mso-font-pitch:variable; mso-font-signature:-469750017 -1073732485 9 0 511 0;} /* Style Definitions */ p.MsoNormal, li.MsoNormal, div.MsoNormal {mso-style-unhide:no; mso-style-qformat:yes; mso-style-parent:””; margin-top:0cm; margin-right:0cm; margin-bottom:8.0pt; margin-left:0cm; line-height:107%; mso-pagination:widow-orphan; font-size:11.0pt; font-family:”Calibri”,sans-serif; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-fareast-font-family:Calibri; mso-fareast-theme-font:minor-latin; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin; mso-bidi-font-family:”Times New Roman”; mso-bidi-theme-font:minor-bidi; mso-fareast-language:EN-US;} .MsoChpDefault {mso-style-type:export-only; mso-default-props:yes; font-family:”Calibri”,sans-serif; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-fareast-font-family:Calibri; mso-fareast-theme-font:minor-latin; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin; mso-bidi-font-family:”Times New Roman”; mso-bidi-theme-font:minor-bidi; mso-fareast-language:EN-US;} .MsoPapDefault {mso-style-type:export-only; margin-bottom:8.0pt; line-height:107%;} @page WordSection1 {size:612.0pt 792.0pt; margin:70.85pt 70.85pt 70.85pt 70.85pt; mso-header-margin:35.4pt; mso-footer-margin:35.4pt; mso-paper-source:0;} div.WordSection1 {page:WordSection1;} –>
Çalışan prosesslerin görüntülenmesi sonrasında kurulan bağlantıların ve aktif ağ bağlantılarının görüntülenmesidir. Açık ağ bağlantı bilgisi sistem içinde arkada network ile iletişim içinde olan prosess ID’leri hakkında bilgi sahibi olmamızı sağlar. Sockets komutu ile hangi protokol kullanıldığını ve imaj işlemi sırasında bu bağlantının devamlılığı hakkında bilgi verir.
Şüpheli sürecin 1640 PID’e sahip reader_sl.exe dosyası olduğunu gördük bunun kesin tespiti için 1640 PID numaralı süreci dump etmemiz gerekir.
Strings ile bu dosyanın içinde bazı aramalar yapılmalıdır. Bağlantının devam ettiği 41.165.5.140 IP adresini arıyoruz.
Bu IP üzerinden /zb/v_01_a/in dizini ile bağlantı kurulduğu görülüyor.
Less komutu ile dump edilen dosyanın içeriği incelenir.
İçerisinde birçok banka domain adresi vardır. Bu tür durumlarda dump edilen dosyayı virüstotal ile taratabilir ve malware olup olmadığını anlayabiliriz. Fakat unutulmamalıdır ki VirüsTotal birçok antivirüs programları tarafından alınan sonuçları sitesinde yayınlar yani daha önce bu programlar tarafından malware olduğu söylenmemiş dosyaları size malware yok olarak gösterecektir.
