RAM(Random Access Memory), verileri geçici olarak depolayan fiziksel donanımdır. Bilgisayar üzerine kurduğunuz program, oyun vb. herşeyin programlara ait verileri çalıştırmak için kullandığı kısa süreli bellek olarak ifade edilebilir. Bunun yanı sıra bilgisayar içinde bulunan sabit disk ve SSD ise verilerin uzun süreli depolandığı bellektir. RAM tam olarak ifade edilecek olursa, bilgisayarınızın gücü kapatıldığında kaybolan uçucu verilerin depolandığı donanımdır. RAM birden fazla programa aynı anda hız ve verimlilikle erişmenizi sağlamaktadır. Bu durum şu şekilde açıklanabilir, programlar arasında hızlı geçişler yapabilmeye olanak sağlar.
Adli Bilişim Açısında RAM
Adli bilişim sektörü için olay yeri müdahalelerinde şüpheli bilgisayar içinde çok sayıda verilerin bulunacağı ve bu verilerin uçucu veriler olması sebebiyle adli bilişimde RAM büyük önem arz etmektedir. Suç işlenmeden önce cihaz içinde ne tür işlemler yapıldığı hakkında bilgiler alınır. Bilgisayarda çalışan tüm programlar RAM’den geçtiği için bilgisayar kapatılmadan önce verilerin alınması önemlidir.
RAM’de Hangi Veriler Bulunur?
Geçmiş ve mevcut ağ bağlantıları: Ağ bağlantıları kurulan IP adres bilgisi, port bilgilerini verir. Bu bilgi ile malware türü yazılımların bilgisayar içinde olup olmadığı konusunda bilgi sahibi oluruz.
Çalışan prosess bilgisi: Ram üzerinde çalışan prosessler ve bu prosesslein hangi sistem dosyaları tarafından çalıştırılıp çalıştırılmadığı hakkında bilgi alınabilir.
Kullanıcı adı ve şifreler: Kullanıcıların kullanmış olduğu sosyal medya, e-posta vb. bilgiler elde edilir.
DLL Dosyaları: Çalışan işlemler hakkındaki DLL listeleri bulunur.
Kayıt defteri bilgileri: Malware analiz süreçlerinde en önemli noktalar biri kayıt defteri kontrolüdür. Bu kontrol ile ağ oluşturma yetenekleri, şifreleme vb. konularda bilgiler alabiliriz.
Açık Dosyalar: Sistem içinde bulunan açık dosyaların listesini elde edebiliriz.
Cridex Malware Nedir?
Cridex Malware W32.Cridex olarak bilinmektedir. Bilgisayar içinde kendi kopyalar ve ağ üzerindeki bilgisayarlara yayılan bir worm’dur. Bulaştığı bilgisayar/bilgisayarlar içinde kendisine arka kapı açar, kendisini diske indirir. Bu worm bankacılık verileri dahil olmak üzere web oturumları, şifreler gibi verilerinizi toplar ve bu bilgileri üçüncü tarafa iletir.
Volatility W32.Cridex RAM Analizi
RAM analizlerinde başlangıç olarak kullanılacak komut imageinfo komutudur. Bu komut bize işletim sistemi hakkında bilgi verir. Volatility ile analize devam edebilmek için bu komutun kullanılması gerekmektedir. Bu komut ile Volatility’ ye profil bilgisi verilmiş olur.
Şüpheli sürecin 1640 PID’e sahip reader_sl.exe dosyası olduğunu gördük bunun kesin tespiti için 1640 PID numaralı süreci dump etmemiz gerekir.
Strings ile bu dosyanın içinde bazı aramalar yapılmalıdır. Bağlantının devam ettiği 41.165.5.140 IP adresini arıyoruz.
Bu IP üzerinden /zb/v_01_a/in dizini ile bağlantı kurulduğu görülüyor.
Less komutu ile dump edilen dosyanın içeriği incelenir.
İçerisinde birçok banka domain adresi vardır. Bu tür durumlarda dump edilen dosyayı virüstotal ile taratabilir ve malware olup olmadığını anlayabiliriz. Fakat unutulmamalıdır ki VirüsTotal birçok antivirüs programları tarafından alınan sonuçları sitesinde yayınlar yani daha önce bu programlar tarafından malware olduğu söylenmemiş dosyaları size malware yok olarak gösterecektir.