Siber güvenlik alanında, zararlı yazılımlar giderek daha karmaşık hale geliyor ve analiz edilmesi zorlaşıyor. Bu karmaşıklık, kötü niyetli yazılımların içerdiği gizli ve şifrelenmiş bilgilerin ortaya çıkarılmasını engelliyor. Araştırmacılar ise bu engeli aşmak için yeni yöntemler geliştiriyor. İşte FLARE-FLOSS (FireEye Labs Advanced Reverse Engineering – Fast Large-Scale Obfuscated String Search) bu mücadelede öne çıkan araçlardan biri olarak dikkat çekiyor. Söz konusu araç, Windows PE (Portable Executable) dosyalarındaki gizlenmiş ve karmaşık şekilde şifrelenmiş metinleri başarılı biçimde ortaya çıkarıyor.
Bu teknoloji temelinde yatan araştırma, çeşitli şifreleme ve saklama tekniklerine başvuran zararlı yazılımların string’lerini (metinsel verilerini) klasik yöntemlerle bulmanın sınırlarını ortaya koyuyor. Geliştiriciler, bir eğitim örneği olarak zararlı yazılım benzeri küçük bir Windows çalıştırılabilir dosya oluşturarak FLARE-FLOSS’un nasıl daha derin bir analiz sunduğunu gösteriyor. Oluşturulan bu örnek dosyada düz metinler, yığıt (stack) üzerinde oluşturulmuş diziler, sıkıştırılmış (tight) diziler ve XOR şifrelemeli metinler yer alıyor. Bu çeşitlilik, zararlı yazılım analizinde karşılaşılan tipik karmaşık veri gizleme tekniklerinin simülasyonunu sağlıyor.
Araştırmanın ardından klasik “strings” komutuyla elde edilen sonuçlar incelendiğinde, sadece standart ve açık metinleri çıkarabildiği görülüyor. Oysa FLARE-FLOSS, statik analiz ve emülasyon yöntemlerini kullanarak yalnızca düz metinleri değil, ayrıca yığıt üzerinde inşa edilen, sıkıştırılmış ve XOR ile şifrelenmiş metinleri de tespit ediyor. Böylece, zararlı yazılımın gizlediği komut ve kontrol sunucusu adresleri, kayıt defteri yolları veya şüpheli Windows API fonksiyonları gibi önemli göstergeler (Indicators of Compromise – IOC) ortaya çıkıyor. Bu bilgiler, analiz sürecinde kritik rol oynuyor ve zararlı yazılımın çalışma mekanizmasını anlamamıza olanak tanıyor.
Gizlenmiş string’lerin açığa çıkarılması, siber tehditlerin tespiti ve etkisiz hale getirilmesinde büyük önem taşıyor. Çünkü saldırganlar, zararlı yazılımlarına görünmezlik kazandırmak için farklı şifreleme ve obfuscation yöntemleri kullanıyor. FLARE-FLOSS ise bu yöntemlerin üstesinden gelerek, güvenlik araştırmacılarına büyük avantaj sağlıyor. Örneğin, standart araçlarla yakalanamayan veri parçalarının ortaya çıkarılması, saldırı altyapısını daha hızlı ve doğru biçimde analiz etmeye olanak veriyor.
Araştırmada ayrıca elde edilen verilerin JSON formatında düzenlenerek anlaşılması kolay hale getirildiği belirtiliyor. FLARE-FLOSS tarafından sınıflandırılan metinler; statik, yığıt tabanlı, sıkılaştırılmış ve şifrelenmiş biçimlerde kategorize edilerek kullanıcıya sunuluyor. Ayrıca, bulunan veriler üzerinde URL, IP adresleri, PE dosya isimleri, Windows API fonksiyonları veya kayıt defteri yolları gibi belirli şablonlar aranarak potansiyel tehdit göstergeleri otomatik olarak tespit ediliyor. Son olarak, elde edilen sonuçlar grafiksel olarak da görselleştirilerek analiz süreci destekleniyor.
Gelecekte FLARE-FLOSS gibi araçların kullanımı, otomatik analiz ve tersine mühendislik süreçlerini önemli ölçüde hızlandıracak ve derinleştirecek. Bilim insanları ve güvenlik uzmanları, bu tür yaklaşımları kullanarak karmaşık zararlı yazılımların bile içerisinde gizlenen kritik bilgileri kolayca açığa çıkarabilir hale gelecek. Bu da siber saldırılar karşısında daha etkin savunma stratejilerinin geliştirilmesini mümkün kılacak. FLARE-FLOSS, sadece malware analiziyle kalmayıp, siber tehdit istihbaratından yazılım güvenliğine kadar birçok alanda yüksek potansiyel taşıyan bir araç olarak öne çıkıyor.
📎 Kaynak: marktechpost.com
