Zararlı Yazılım Trafiğini Simüle Etme | InetSim

INetSim, network servislerini simüle eden Linux temelli ücretsiz bir yazılım setidir. Bu özelliği sayesinde zararlı kodların dinamik olarak analiz edilmesi sırasında belirli ağ servisleri simüle edilerek zararlı kodun davranışı tespit edilebilir. INetSim’in simüle ettiği başlıca ağ servisleri ise şunlardır; HTTP/HTTPS, SMTP/SMTPS, POP3/POP3S, DNS, FTP/FTPS, TFTP, IRC, NTP, Ident, Finger, Syslog gibi servisleri taklit ederek bilinmeyen zararlı yazılım örneklerinin ağ davranışını analiz etmenize olanak sağlar.

InetSim

INetSim’in en iyi özelliklerinden bazıları HTTP ve HTTPS sunucu simülasyonunda yerleşiktir. Örneğin, INetSim istenen her dosyaya hizmet verebilir. Örneğin, bir kötü amaçlı yazılım parçası bir web sitesinden JPEG’in çalışmasını sürdürmesini isterse, INetSim düzgün biçimlendirilmiş bir JPEG ile yanıt verir. Bu görüntü, kötü amaçlı yazılımınızın aradığı dosya olmayabilir, ancak sunucu 404 veya başka bir hata döndürmezse ve yanlış olsa da, kötü amaçlı yazılımın çalışmasını devam ettirebilir.

InetSim Servisini Başlatma

Yukarıda yer alan görsellerde Listening yani dinleme yapılan ip adresi 192.168.216.133 olarak görülmektedir. Bu ip adresi InetSim sunucunun yüklü olduğu makinenin ip adresidir. Sadece ip adresinin görülmesi yetmez tabikide InetSim servisinin sağlıklı dinleme ve simülasyon işlemini yapabilmesi için InetSim servisinin konfigürasyon dosyasını düzenlememiz gerekmektedir. # nano /etc/inetsim/inetsim.conf isimli dosya nano paremetresi ile düzenlenerek “service_bind_address InetSim_Makine_IP ” değeri ve “dns_default_ip InetSim_Makine_IP” değeri verileri girilmelidir. Bizim örneğimizde InetSim sunucu makine ip adresimiz 192.168.216.133 olduğundan bu değeri iki alana da giriyoruz.

InetSim sunucunun yüklü olduğu makine IP adresi
InetSim Conf Dosyasının Düzenlenmesi
InetSim Conf Dosyasının Düzenlenmesi
InetSim Conf Dosyasının Düzenlenmesi
InetSim Simülasyonunun Çalıştırılması

InetSim sunucu ayarlarını yaptıktan sonra servisi başlattık. Şuan 192.168.216.X yani 216 bloğunda yer alan kurban makinemizin dns ip adresini InetSim sunucu ip adresi olarak değiştirdiğiimizde artık kurban makine tarafından yapılan network istekleri InetSim sunucusu tarafından kayıt altına alınarak simüle edilebilecek. InetSim fake file özelliği ile zararlı yazılımın dropper özelliğini kullanmak istemesine yönelik fake dosyalar ile sonraki aşamayı analiz etmenizi sağlayacaktır.

Kurban makinin yapmış olduğu network istekleri InetSim tarafından kayıt altına alınmaktadır.
Zararlı analiz işlemi sonrasında durdurulan InetSim sunucusunun oluşturmuş olduğu log dosyası.
InetSim tarafından kayıt altına alınan olaylar.