Hash (Özet) Değeri İle Statik Analiz

Hash (Özet) Değeri İle Statik Analiz, indirdiğimiz dosyanın hash (özet) değerlerini alarak bu değeri virustotal.com sitesinde daha önceden sorgulanmış databasesinde olan dosyaların özet değerleri ile karşılaştırıp dosyanın zararlı yazılım içerip içermediğini bize gösterecektir. Bu işlemi yapmak için vtTool scriptini (betik) kullanacağız.

NOT: Bu kullandığımız yöntem Statik Analiz yöntemlerindendir.

NOT: İndirdiğimiz dosyaya ait özet değeri daha virustotal sitesinin databasesinde yok ise dosyanın zararlı yazılım içerip içermediğini bize göstermez.

Hash (Özet) Değeri Nedir ?

Hash değeri, kısaca bir dosyanın sanal ortamdaki parmak izidir. Dosyanın orijinal halinden farklı bir değişiklik yapılıp yapılmadığını gösterir. Orijinal dosyanın hash değeri ve elinizdeki dosyanın hash değerini karşılaştırarak dosyada herhangi bir değişiklik yapılıp yapılmadığını kolay bir şekilde öğrenebilirsiniz.

Hash olarak en çok MD5 ve SHA hash algoritmaları kullanılır. Hash değerlerinin nerede kullanılacağını daha iyi anlamak için basit bir örnek verelim. Mesela Kali Linux 2019.2 versiyon 64 Bit İSO dosyası indireceksiniz. İSO dosyasının özet değeri resmi sitesinde indirirken karşımıza çıkıyor. Bu dosyayı indirdikten sonra özet değerine bakarak İSO üzerinde oynama yapılıp yapılmadığını öğrenebilirsiniz.

Kali Linux 64 Bit 2019.2 Versiyon SHA256 Değeri = 67574ee0039eaf4043a237e7c4b0eb432ca07ebf9c7b2dd0667e83bc3900b2cf

Hash (Özet) Değeri Nasıl Alınır ?

Dosyaların özet değerini almak için md5sum ve shasum adlı programları kullanacağız. Farklı platformlar için farklı programlar var, bu programlar kali linux işletim sisteminde yüklü geldiği için bunlarla anlatım yapacağım.

md5sum dosya_adı

shasum dosya_adı 

Yukarıdaki komutlar ile dosyaların özet değerini alabilirsiniz.

Özet değerlerimizi de aldığımıza göre artık bu değerleri sorgulatarak zararlı yazılım içerip içermediğini öğrenebiliriz.

vtTool Scripti İle Hash Değeri Karşılaştırması

vtTool scriptini kullanarak virustotal sitesinin databasesindeki daha önceden analiz edilmiş dosyaların hash değerleri ile bizim indirdiğimiz dosyanın hash değerlerini karşılaştırıp dosyanın zararlı yazılım içerip içermediğini analiz edeceğiz.

vtTool scriptini indirmek ve kurmak için aşağıdaki kodları kullanabilirsiniz.

git clone https://github.com/robbyFux/vtTool

cd vtTool/

cd src/

chmod +x vtTool.py

Scripti indirdik ve kurduk. Şimdi md5sum aracı ile aldığımız özet değeri ile scripti çalıştıracağız. Ben analizde kullanmak için msfvenom aracı ile bir backdoor oluşturdum. O backdooru analiz edeceğim.

vtTool scriptini çalıştırmak için aşağıdaki kodu kullanabilirsiniz.

./vtTool.ph -hash md5sumdanaldığınız_özet_değeri

Sonuçta gördüğünüz gibi toplamda 67 tane antivirüs yazılımı taramış ve bunlardan 49 tanesi bu dosyanın zararlı yazılım olduğunu söylüyor. Zararlı yazılım diyenler doğru söylüyor 🙂 Böylelikle statik analiz yöntemlerinden birisini görmüş olduk.