Zararlı Yazılım Trafiğini Simüle Etme | InetSim
INetSim, network servislerini simüle eden Linux temelli ücretsiz bir yazılım setidir. Bu özelliği sayesinde zararlı kodların dinamik olarak analiz edilmesi sırasında belirli ağ servisleri simüle edilerek zararlı kodun davranışı tespit edilebilir. INetSim’in simüle ettiği başlıca ağ servisleri ise şunlardır; HTTP/HTTPS, SMTP/SMTPS, POP3/POP3S, DNS, FTP/FTPS, TFTP, IRC, NTP, Ident, Finger, Syslog gibi servisleri taklit ederek bilinmeyen zararlı yazılım örneklerinin ağ davranışını analiz etmenize olanak sağlar.
INetSim’in en iyi özelliklerinden bazıları HTTP ve HTTPS sunucu simülasyonunda yerleşiktir. Örneğin, INetSim istenen her dosyaya hizmet verebilir. Örneğin, bir kötü amaçlı yazılım parçası bir web sitesinden JPEG’in çalışmasını sürdürmesini isterse, INetSim düzgün biçimlendirilmiş bir JPEG ile yanıt verir. Bu görüntü, kötü amaçlı yazılımınızın aradığı dosya olmayabilir, ancak sunucu 404 veya başka bir hata döndürmezse ve yanlış olsa da, kötü amaçlı yazılımın çalışmasını devam ettirebilir.
Yukarıda yer alan görsellerde Listening yani dinleme yapılan ip adresi 192.168.216.133 olarak görülmektedir. Bu ip adresi InetSim sunucunun yüklü olduğu makinenin ip adresidir. Sadece ip adresinin görülmesi yetmez tabikide InetSim servisinin sağlıklı dinleme ve simülasyon işlemini yapabilmesi için InetSim servisinin konfigürasyon dosyasını düzenlememiz gerekmektedir. # nano /etc/inetsim/inetsim.conf isimli dosya nano paremetresi ile düzenlenerek “service_bind_address InetSim_Makine_IP ” değeri ve “dns_default_ip InetSim_Makine_IP” değeri verileri girilmelidir. Bizim örneğimizde InetSim sunucu makine ip adresimiz 192.168.216.133 olduğundan bu değeri iki alana da giriyoruz.
InetSim sunucu ayarlarını yaptıktan sonra servisi başlattık. Şuan 192.168.216.X yani 216 bloğunda yer alan kurban makinemizin dns ip adresini InetSim sunucu ip adresi olarak değiştirdiğiimizde artık kurban makine tarafından yapılan network istekleri InetSim sunucusu tarafından kayıt altına alınarak simüle edilebilecek. InetSim fake file özelliği ile zararlı yazılımın dropper özelliğini kullanmak istemesine yönelik fake dosyalar ile sonraki aşamayı analiz etmenizi sağlayacaktır.