Flare VM Nedir?

Flare VM, FireEye tarafından geliştirilen, Windows tabanlı güvenlik tehditlerini analiz etmek ve savunma stratejilerini geliştirmek için kullanılan bir sanal makine (VM) ortamıdır. Flare VM, çeşitli güvenlik araçlarını içerir ve bu araçları kullanarak kötü amaçlı yazılım analizi ve diğer güvenlik görevlerini gerçekleştirmenizi sağlar.

Flare VM’yi kurmak için aşağıdaki adımları takip edebilirsiniz:

1. Sanal Makine Kurulumu:
   • Öncelikle, bir sanal makine (VM) üzerinde çalışacak bir sanal ortam oluşturmanız gerekecektir. Bu, VMware, VirtualBox veya Hyper-V gibi bir sanallaştırma platformunu içerebilir.

Flare VM’nin kurulumu PowerShell kullanılarak bir dizi adımdan oluşur. Aşağıda, Flare VM’nin kurulumu için temel PowerShell komutları bulunmaktadır:

1. Flare VM Depoyu Klonla:

   git clone <https://github.com/mandiant/flare-vm.git>
   

2. Flare VM Dizinine Geçiş Yap:

   cd flare-vm
   

3. Set-ExecutionPolicy Komutu ile Execution Policy Ayarla (Opsiyonel):

   Set-ExecutionPolicy RemoteSigned -Scope CurrentUser
   

4. Install-Automation Komutunu Çalıştır:

   .\install.ps1
   

Bu komutlar, Flare VM’nin GitHub deposunu klonlar, depo dizinine geçiş yapar, PowerShell çalıştırma politikasını (execution policy) ayarlar (opsiyonel), ve ardından Flare VM’nin yüklenmesi için gerekli olan install.ps1 betiğini çalıştırır.

PowerShell’de scriptlerin yürütülmesi varsayılan olarak devre dışı bırakılmış olabilir. Bu durumda, yukarıdaki adımları çalıştırmadan önce PowerShell’inizde “Set-ExecutionPolicy Unrestricted” veya “Set-ExecutionPolicy Bypass” komutları ile yürütme politikasını geçici olarak değiştirmeniz gerekebilir.

Office Dosyalarının Analizi

Office dosyalarının zararlı yazılım açısından analizi için Flare VM içinde çeşitli güvenlik araçları bulunmaktadır. İşte bu tür analizlerde kullanılabilecek bazı önemli araçlar:

1. OLETools:
   • Office dosyalarını analiz etmek için kullanılan bir dizi araç içeren OLETools, Flare VM’nin bir parçasıdır. Özellikle, “olevba” aracı, VBA (Visual Basic for Applications) kodlarını analiz etmek ve zararlı aktiviteleri tespit etmek için kullanılır.
2. ViperMonkey:
   • ViperMonkey, Office dosyalarındaki VBA kodlarını analiz etmek için kullanılan bir araçtır. Bu araç, zararlı VBA kodlarını tespit etmeye yönelik güçlü analiz yeteneklerine sahiptir.
3. Didier Stevens Suite:
   • Didier Stevens tarafından geliştirilen bir dizi araç içeren bu suite, Office dosyalarının analizi için kullanışlıdır. Özellikle “oledump” aracı, OLE (Object Linking and Embedding) nesnelerini analiz etmek ve zararlı içeriği tespit etmek için kullanılır.
4. Maldoc-Analyzer:
   • Bu araç, Microsoft Office belgelerini analiz etmek ve zararlı olanları tespit etmek için tasarlanmıştır. Güvenlik analizi yaparken zararlı belgeleri izole etmek ve incelenmek üzere çıkartmak için kullanışlıdır.
5. Yara Rules:
   • YARA, zararlı yazılımları tespit etmek için kullanılan bir kural tabanlı bir tarama motorudur. Flare VM’de YARA kuralları ile tarama yaparak zararlı belgeleri tanımlama ve analiz etme süreçlerini otomatize edebilirsiniz.

Office Dosyalarının Analizi İçin oletools, olevba ve oleid araçları:

1. OLETools:

   • Kullanım:

     • olevba aracı, Office dosyalarındaki VBA kodlarını analiz etmek için kullanılır.Bu komut, “sample.doc” belgesindeki VBA kodlarını analiz eder.

       olevba sample.doc
       

2. OLEVBA:

   • Kullanım:

     • olevba aracı, VBA kodlarını analiz eder ve olası zararlı aktiviteleri tespit eder.Bu komut, “sample.doc” belgesindeki tüm VBA kodlarını ayrıntılı olarak analiz eder.

       olevba -a sample.doc
       

3. OLEID:

   • Kullanım:

     • oleid aracı, Office belgelerinin OLE (Object Linking and Embedding) özelliklerini inceleyerek dosyanın potansiyel olarak zararlı olup olmadığını belirler.Bu komut, “sample.doc” belgesinin OLE özelliklerini analiz eder ve potansiyel zararlı özellikleri rapor eder.

       
       oleid sample.doc
       

Executable Dosya Analizi

Exe uzantılı dosyaların statik analizi için Flare VM içinde çeşitli güvenlik araçları bulunmaktadır. İşte bu tür analizlerde kullanılabilecek bazı önemli araçlar:

1. PEStudio:

   • Kullanım:

     • PEStudio aracı, Windows PE dosyalarını (exe, dll, sys vb.) analiz etmek için kullanılır.

     pestudio sample.exe
     

     • Bu komut, “sample.exe” dosyasının statik analizini gerçekleştirir ve çeşitli bilgileri raporlar.
2. PEiD (PE Identifier):

   • Kullanım:

     • PEiD aracı, Windows PE dosyalarının içerdiği paketleme ve şifreleme tekniklerini tanımlamak için kullanılır.

     peid sample.exe
     

     • Bu komut, “sample.exe” dosyasının içerdiği paketleme ve şifreleme tekniklerini belirler.
3. Dependency Walker:
   • Kullanım:
     • depends veya depends64 komutu ile Dependency Walker’ı başlatabilir ve exe dosyasının bağımlılıklarını görsel olarak inceleyebilirsiniz.
4. Resource Hacker:
   • Kullanım:
     • Resource Hacker, exe dosyalarının içindeki kaynakları incelemek ve düzenlemek için kullanılır. Özellikle, exe dosyasının içindeki gömülü metin, ikonlar, vb. bilgileri görsel olarak görmek için kullanışlıdır.
5. Exeinfo PE:
   • Kullanım:
     • Exeinfo PE, exe dosyalarının içeriği hakkında genel bilgiler sağlar ve dosyanın içindeki paketleme veya şifreleme yöntemlerini belirlemeye çalışır.

PDF Dosya Analizi

PDF uzantılı dosyaların analizi için Flare VM içinde çeşitli araçlar bulunmaktadır. İşte PDF analizi için kullanılabilecek bazı önemli araçlar:

1. pdfid:

   • Kullanım:

     • pdfid aracı, PDF dosyalarının iç yapısını analiz etmek için kullanılır.

     
     pdfid sample.pdf
     

     • Bu komut, “sample.pdf” dosyasının özelliklerini listeler.
2. pdf-parser:

   • Kullanım:

     • pdf-parser aracı, PDF dosyalarının daha ayrıntılı analizini yapmak için kullanılır.

     pdf-parser.py sample.pdf
     

     • Bu komut, “sample.pdf” dosyasının içeriğini ayrıntılı olarak çözer ve gösterir.
3. Peepdf:

   • Kullanım:

     • peepdf aracı, PDF dosyalarının içindeki nesneleri ve diğer özellikleri analiz etmek için kullanılır.

     peepdf -c sample.pdf
     

     • Bu komut, “sample.pdf” dosyasının içeriğini ayrıntılı olarak inceleyerek çeşitli bilgiler sağlar.
4. Didier Stevens PDF Tools:
   • Kullanım:
     • Özellikle pdfid ve pdf-parser gibi araçları içerir. Belirli bir PDF dosyasını analiz etmek için bu araçları kullanabilirsiniz.

Dinamik Analiz Araçları

Flare VM, dinamik zararlı yazılım analizi için bir dizi araç içerir. İşte bu araçlar ve kullanım örnekleri:

1. Cuckoo Sandbox:

   • Kullanım:

     • Cuckoo Sandbox, zararlı dosyaları çalıştırarak davranışsal analiz yapmak için kullanılır. Bir dosyayı analiz etmek için önce Cuckoo Sandbox’a dosyayı yüklersiniz ve ardından sistemde nasıl davrandığını izleyebilirsiniz.

     cuckoo submit sample.exe
     

2. Volatility:

   • Kullanım:

     • Volatility, bellek analizi yaparak zararlı yazılım aktivitelerini tespit etmek için kullanılır. Örneğin, bir bellek görüntüsünü analiz etmek için:

     volatility -f memory.img imageinfo
     

3. Wireshark:

   • Kullanım:
     • Wireshark, ağ trafiğini yakalamak ve analiz etmek için kullanılır. Zararlı yazılımların ağ üzerindeki etkileşimlerini izlemek ve analiz etmek için kullanışlıdır.

4. Procmon:

   • Kullanım:
     • Procmon (Process Monitor), Windows üzerinde çalışan işlemleri ve dosya etkileşimlerini izlemek için kullanılır. Zararlı yazılımların sistemi nasıl etkilediğini izlemek için kullanılabilir.

5. Regshot:

   • Kullanım:

     • Regshot, sistemde yapılan kayıt defteri değişikliklerini izlemek için kullanılır. Zararlı yazılımların kayıt defterindeki değişiklikleri takip etmek için kullanılabilir.

     
     regshot -t before.txt -r after.txt
     

6. Sysinternals Suite:

   • Kullanım:
     • Sysinternals Suite, bir dizi Windows hizmetini ve aracını içerir. Örneğin, Process Explorer ile çalışan işlemleri detaylı olarak inceleyebilir ve Process Monitor ile dosya sistemine yönelik etkileşimleri gözlemleyebilirsiniz.