- 16 May 2020
- 1,640
- 1,171
Hepinize merhaba THT mensupları.
Bu konumda sizlere "Temel Seviyede Zararlı Yazılım Analizi" konusunu göstereceğim.
Konu içeriği:
Zararlı Yazılım Nasıl Tespit Edilir?
Zararlı Yazılım Nasıl Oluşturulur?
DIE(Detect IT Easy)
MegaDumper
Snowman
DnSPY
Ön inceleme
DIE ile linker / compiler analizi
DnSPY ile Kodlara Erişim
Kod İncelemesi
Zararlı Yazılım Nasıl Tespit Edilir?
Zararlı yazılımları tespit etmenin bir çok yolu vardır.
Virustotal gibi sitelerde taratarak, bir çok anti virüsün tarama sonucunu görebiliriz.
Eğer emin olamazsak:
"any.run" gibi sitelerde gelen bağlantıları, dosya değişikliklerini, gönderilen - alınan verileri, bağlantının kurulduğu IP adresinin güvenli olup olmadığı, indirilen dosyaların güvenli olup olmadığı.. gibi bir çok şeyi "any.run" gibi sitelerde öğrenebiliriz.
Manuel olarak da zararlı yazılımlar tespit edilebilir.
Virustotal gibi sitelerde taratarak, bir çok anti virüsün tarama sonucunu görebiliriz.
Eğer emin olamazsak:
"any.run" gibi sitelerde gelen bağlantıları, dosya değişikliklerini, gönderilen - alınan verileri, bağlantının kurulduğu IP adresinin güvenli olup olmadığı, indirilen dosyaların güvenli olup olmadığı.. gibi bir çok şeyi "any.run" gibi sitelerde öğrenebiliriz.
Manuel olarak da zararlı yazılımlar tespit edilebilir.
Zararlı Yazılım Nasıl Oluşturulur?
Zararlı yazlım oluşturmanın da bir çok yolu vardır.
RAT(Remote Access Tool-Trojan) oluşturan uygulamalar:
DarkComet
Spynet
Spynote
Gibi uygulamalar kullanarak da RAT oluşturabiliriz.
Eğer kendi RAT'ımızı oluşturmak istersek,
VisualStudio ile "Reverse TCP Shell" oluşturabiliriz.
Oluşturduğumuz RTS'yi "NETCAT" gibi uygulamalar ile dinleyebiliriz.
RAT(Remote Access Tool-Trojan) oluşturan uygulamalar:
DarkComet
Spynet
Spynote
Gibi uygulamalar kullanarak da RAT oluşturabiliriz.
Eğer kendi RAT'ımızı oluşturmak istersek,
VisualStudio ile "Reverse TCP Shell" oluşturabiliriz.
Oluşturduğumuz RTS'yi "NETCAT" gibi uygulamalar ile dinleyebiliriz.
DIE(Detect IT Easy)
DIE uygulaması linker / compiler hakkında bizi bilgilerdiren bir yazılımdır.
Linker / Compiler olan uygulamaları DnSpy uygulaması ile açamayız.
Önce decompiler bulmalıyız.
Linker / Compiler olan uygulamaları DnSpy uygulaması ile açamayız.
Önce decompiler bulmalıyız.
MegaDumper
MegaDumper, gerektiği durumlarda .NET uygulamlarını saflaştırarak DnSpy'a yükleyebilmemizi sağlar.
Snowman
Snowman uygulaması DnSpy gibidir,
DnSpy .NET uygulamalarını açarken,
Snowman ise C++ uygulamalarını açmak için kullanılır.
DnSpy .NET uygulamalarını açarken,
Snowman ise C++ uygulamalarını açmak için kullanılır.
DnSpy
DnSpy uygulaması .NET dosyalarını açarak içinde ki kodları incelememize,
Gerektiği durumda ise düzenlememize olanak sağlar.
Gerektiği durumda ise düzenlememize olanak sağlar.
Ön inceleme
Ön inceleme aşamasında uygulamanın özellikler kısmına bakalım.
Eğer özellikler > ayrıntılar kısmında bir bilgi bulamazsak uygulamayı VirusTotal'e taratabiliriz.
Eğer özellikler > ayrıntılar kısmında bir bilgi bulamazsak uygulamayı VirusTotal'e taratabiliriz.
DIE ile Linker / Compiler Analizi
Uygulamamızı DIE uygulamasına sürükle bırak yapıyoruz,
Gelen kısımda linker / compiler kısmına bakıyoruz.
Eğer .NET yazıyor ise bir compiler kullanılmamış demektir.
Compiler kullanmamış ise direk DnSpy'a yükleyebiliriz.
Gelen kısımda linker / compiler kısmına bakıyoruz.
Eğer .NET yazıyor ise bir compiler kullanılmamış demektir.
Compiler kullanmamış ise direk DnSpy'a yükleyebiliriz.
DnSpy ile Kodlara Erişim
Uygulamamızı sürükle bırak ile DnSpy'a yüklüyoruz,
Uygulama geldiğinde diğer aşamaya geçebiliriz.
Uygulama geldiğinde diğer aşamaya geçebiliriz.
Kod İncelemesi
Gelen kısımdan,
Programın içini açıyoruz,
Form1'in içine giriyoruz(Değişiklik gösterir.)
Kodlarımız karşımıza geldi,
Şimdi inceleme aşamasına geçelim.
Gördüğümüz gibi bir "Mesaj Kutusu ve Zamanlayıcı" bulunuyor.
İkisinin de kodlarını inceleyelim.
Mesaj Kutusu: uygulamanın bir virüs olduğunu söylüyor ve ardından timer1'i başlatıyor.
Timer1 de belirlnen tick hızına göre cmd açıyor.
Tek, tek görelim.
Konumuz bu kadardı, eğer işinize yaradıysa ne mutlu bana..
İyi forumlar!