Merhaba arkadaşlar bu gün sizinle rastgele bir malware indirip biraz statik ve dinamik analizini yapmak istedim
hem bu konuda meraklı arkadaşlar için hemde kendime bir tekrar konusu olarak bırakıyorum
öncelikle kendi kullandığım araçları buraya bırakayım:
Ben bu 4 programda gidip geleceğim statik analiz nedir ne değidir için Konu1 Konu2 ArchieN hocamın açtığı konulara
bakabilrisiniz kısaca iste virüs dosyasını çalıştırmadan yapılan işlem statik analizdir.
Açıkçası ben kendi host bilgisayarımda analiz yapıyorum dinamik kısım için sanal bulut olan
Any-Run burayı kullanıyorum 1 dakika sürede açılan programın etkilerini
yanında ne çalıştırdığını ekstra olaraksa neler yaptığını kaydedip bana gösteriyor bu benim için gayet yeterli bir
süre yavaştan başlayalım o zamanben virüsümü malwarebaazar'dan seçeceğim direk rastgele bir seçim yapalım
Bu virüse karar verdim :
Gördüğünüz gibi burada bir ibare var AgentTesla peki nedir bu AgentTesla ? :
Agent Tesla, enfekte olmuş makinelerden hassas bilgilerin çalınması ve sızması konusunda uzmanlaşmış gelişmiş bir uzaktan
erişim trojanına (RAT) örnektir.
Burada görebiliceniz bir kaç şeye deyinelim sizinle :
Daha bismillah neyi yorumluyoruz dediğinizi duyar gibiyim ama daha yeni başlıyoruz burada görmüş oluyoruz ki
hem bu konuda meraklı arkadaşlar için hemde kendime bir tekrar konusu olarak bırakıyorum
öncelikle kendi kullandığım araçları buraya bırakayım:
> Binary Ninja > Cutter>Die , GhidraBen bu 4 programda gidip geleceğim statik analiz nedir ne değidir için Konu1 Konu2 ArchieN hocamın açtığı konulara
bakabilrisiniz kısaca iste virüs dosyasını çalıştırmadan yapılan işlem statik analizdir.
Açıkçası ben kendi host bilgisayarımda analiz yapıyorum dinamik kısım için sanal bulut olan
Any-Run burayı kullanıyorum 1 dakika sürede açılan programın etkilerini
yanında ne çalıştırdığını ekstra olaraksa neler yaptığını kaydedip bana gösteriyor bu benim için gayet yeterli bir
süre yavaştan başlayalım o zamanben virüsümü malwarebaazar'dan seçeceğim direk rastgele bir seçim yapalım
Bu virüse karar verdim :
Gördüğünüz gibi burada bir ibare var AgentTesla peki nedir bu AgentTesla ? :
Agent Tesla, enfekte olmuş makinelerden hassas bilgilerin çalınması ve sızması konusunda uzmanlaşmış gelişmiş bir uzaktan
erişim trojanına (RAT) örnektir.
Burada görebiliceniz bir kaç şeye deyinelim sizinle :
Daha bismillah neyi yorumluyoruz dediğinizi duyar gibiyim ama daha yeni başlıyoruz burada görmüş oluyoruz ki
> Genel Bilgiler
Dosya Adı: NEW ORDER.exe
Boyut: 2,488,832 bytes (~2.48 MB)
Dosya Türü: exe (Windows çalıştırılabilir dosyası)
MIME Type: application/x-dosexec
Windows PE (Portable Executable) dosyası olduğunu doğruluyor.
Boyut: 2,488,832 bytes (~2.48 MB)
Dosya Türü: exe (Windows çalıştırılabilir dosyası)
MIME Type: application/x-dosexec
Windows PE (Portable Executable) dosyası olduğunu doğruluyor.
-> Hash Bilgileri
SHA256: 88e589...8d3e7c
SHA1 / MD5 gibi diğer hashler de dosyanın benzersizliğini doğrulamak için kullanılır
→ BVirusTotal, MalwareBazaar gibi platformlarda dosyayı aramak için kullanabilirsiniz.
SHA1 / MD5 gibi diğer hashler de dosyanın benzersizliğini doğrulamak için kullanılır
→ BVirusTotal, MalwareBazaar gibi platformlarda dosyayı aramak için kullanabilirsiniz.
-> İsim ve Etiketler
Humanhash: freddie-mexico-lion-hamper
→ kısaca kimlik
Signature (İmza): AgentTesla peki ne yapabilir bu ?
Şifre hırsızlığı
Klavye kaydı
Sistem bilgisi toplama gibi faaliyetlerde bulunur.
→ kısaca kimlik
Signature (İmza): AgentTesla peki ne yapabilir bu ?
Şifre hırsızlığı
Klavye kaydı
Sistem bilgisi toplama gibi faaliyetlerde bulunur.
-> Davranış / Sınıflandırma Bilgileri
First Seen: 2025-10-10 09:49:31 UTC
Last Seen: Never
Threatray: “11 similar samples on MalwareBazaar”
kısaca ne zaman yapıldı kaç örneği var gibi bilgiler
Last Seen: Never
Threatray: “11 similar samples on MalwareBazaar”
kısaca ne zaman yapıldı kaç örneği var gibi bilgiler
-> İstatistiksel Dosya Tespitleri (TrID / Magika)
%67.7 → Generic CIL Executable (.NET, Mono, vb.)
Magika: pebin
PE (Portable Executable) formatında sıkıştırılmış veya packed olduğunu gösteriyor
(muhtemelen .NET obfuscator veya packer kullanılmış).
Magika: pebin
PE (Portable Executable) formatında sıkıştırılmış veya packed olduğunu gösteriyor
(muhtemelen .NET obfuscator veya packer kullanılmış).
-> Diğer Teknik Göstergeler
İmphash: f34d5f2d4577ed6d9ceec516c15fa744
İmport Hash, aynı malware familyasına ait dosyaların API kullanımlarını karşılaştırmak için kullanılır
ssdeep / TLSH: Bunlar “fuzzy hash” algoritmalarıdır; dosyaların varyant benzerliğini ölçer
Evet daha malware bazaarda bunlara ulaşabiliyoruz daha bir çok bilgi mevcut fakat
hepsini açıklayamayacağım şimdi birkaç tane analizde biz yapalım ilk önce dosyamızı indiriyoruz
(Eğer benimle birlikte indiren biriyseniz bu tür sorumlulukları ne ben nede malwarebaazar
kabul eder gerçek bir virüs indiriyoruz oyuncak değil)
Evet dosyamızı indirdik ve ben kısaca isim koydum malware.exe olarak düzenledim artık bazaar ile
işimiz bitti şimdi ilk önce bu arkadaşın mimarisine bakalım :
Gördüğünüz gibi çıktımız ->
malware.exe: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
Peki ne demek bu : malware.exe 32-bit Windows PE (GUI) .NET/Mono assembly — yani C#/.NET ile yazılmış, grafik arayüzlü bir .exe
Şimdi birde hex değerlerine bakalım ben macos kullandığım için hexedit ama siz kali vs kullanıyorsanız hexeditor komutu ile bakabilirsiniz.
Burada görmüş olduğunuz 4D 5A ibaresi exe olarak oluşturulduğuna dair bir kanıttır her dosta exe diye o formatta değildir.
başka ne var burada :
MZ ile başlıyor → PE (Windows .exe) dosyası.
DOS stub içinde "This program cannot be run in DOS mode" görünüyor → normal PE stub.
Hex içinde PE\0\0 ve sonra .text, .rsrc, .reloc gibi bölüm isimleri okunuyor → tipik PE bölüm yapısı.
Dosyadaki çok sayıda sıfır ve rastgele görünen bloklar packed/obfuscated olabileceğini düşündürüyor (bu, analiz zorlaştırmak için kullanılır)
.rsrc bölümü var — kaynaklarda config/ikon/embedded veri olabilir (malware konfigürasyonu burada)
Şimdi dosyamızı VT de bi okutalım bakalım orada ne çıkıyor :
72 tane antivirüs programında 50 tanesi tehlike olarak görüp nasıl gördüklerini sıralamışlar.
bu eklerde details kısmında gözüktüğü gibi mimarisi ve açtığı .dll dosyaları gibi şeyler gözükmektedir.
Diğer kısımlarda relations kısmında bu bi rat olduğundan ip adreslerini kime hangi sunucuya veri gönderdiğini görebiliriz
bu trafikleri ilelerde wireshark üzerinden dinleyeceğiz trafikleri.
Community kısmında bu malware ile daha önce araştırmış insanların yorumlarına bakabilirsiniz.
buraya kadar okuduğunuz ve ilgilendiğiniz için teşekkür ederim eğer beğendiyseniz burdan sonra programlarla
bu virüsü analiz etmeye ve dinamik şekilde neler yaptığını görmeye geçeceğiz #2 de, zaman ayırdığınız için teşekkürler.
İmport Hash, aynı malware familyasına ait dosyaların API kullanımlarını karşılaştırmak için kullanılır
ssdeep / TLSH: Bunlar “fuzzy hash” algoritmalarıdır; dosyaların varyant benzerliğini ölçer
Evet daha malware bazaarda bunlara ulaşabiliyoruz daha bir çok bilgi mevcut fakat
hepsini açıklayamayacağım şimdi birkaç tane analizde biz yapalım ilk önce dosyamızı indiriyoruz
(Eğer benimle birlikte indiren biriyseniz bu tür sorumlulukları ne ben nede malwarebaazar
kabul eder gerçek bir virüs indiriyoruz oyuncak değil)
Evet dosyamızı indirdik ve ben kısaca isim koydum malware.exe olarak düzenledim artık bazaar ile
işimiz bitti şimdi ilk önce bu arkadaşın mimarisine bakalım :
cd Desktopfile malware.exeGördüğünüz gibi çıktımız ->
malware.exe: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
Peki ne demek bu : malware.exe 32-bit Windows PE (GUI) .NET/Mono assembly — yani C#/.NET ile yazılmış, grafik arayüzlü bir .exe
Şimdi birde hex değerlerine bakalım ben macos kullandığım için hexedit ama siz kali vs kullanıyorsanız hexeditor komutu ile bakabilirsiniz.
Burada görmüş olduğunuz 4D 5A ibaresi exe olarak oluşturulduğuna dair bir kanıttır her dosta exe diye o formatta değildir.
başka ne var burada :
MZ ile başlıyor → PE (Windows .exe) dosyası.
DOS stub içinde "This program cannot be run in DOS mode" görünüyor → normal PE stub.
Hex içinde PE\0\0 ve sonra .text, .rsrc, .reloc gibi bölüm isimleri okunuyor → tipik PE bölüm yapısı.
Dosyadaki çok sayıda sıfır ve rastgele görünen bloklar packed/obfuscated olabileceğini düşündürüyor (bu, analiz zorlaştırmak için kullanılır)
.rsrc bölümü var — kaynaklarda config/ikon/embedded veri olabilir (malware konfigürasyonu burada)
Şimdi dosyamızı VT de bi okutalım bakalım orada ne çıkıyor :
72 tane antivirüs programında 50 tanesi tehlike olarak görüp nasıl gördüklerini sıralamışlar.
bu eklerde details kısmında gözüktüğü gibi mimarisi ve açtığı .dll dosyaları gibi şeyler gözükmektedir.
Diğer kısımlarda relations kısmında bu bi rat olduğundan ip adreslerini kime hangi sunucuya veri gönderdiğini görebiliriz
bu trafikleri ilelerde wireshark üzerinden dinleyeceğiz trafikleri.
Community kısmında bu malware ile daha önce araştırmış insanların yorumlarına bakabilirsiniz.
buraya kadar okuduğunuz ve ilgilendiğiniz için teşekkür ederim eğer beğendiyseniz burdan sonra programlarla
bu virüsü analiz etmeye ve dinamik şekilde neler yaptığını görmeye geçeceğiz #2 de, zaman ayırdığınız için teşekkürler.
