Backdoor Behavior Analysis

Daeky

Daeky

Uzman üye
16 Nis 2022
1,144
966
23
BJK
MODERASYONaa2a5c0e17b83f26.png



Herkese Hayırlı Akşamlar Diliyorum Ben Moderasyon Ekibinden Daeky / Bugün Temelden Backdoor Davranışsal Analizi - Daha Doğrusu Sistem Üzerindeki Etkilerine Bakacağız Ve Backdoor Hakkında Bazı Şeyler Anlatacağım / İnceleyeceğimiz Dosya Diğer Bölümlerde'ki Gibi Yine Bir Exe Uzantılı Dosya Ve Bu Dosya Tamamiyle Riskli ( Yüksek Tehlike İçeriyor ) .


cxun73h.png


File Contents =

-

Suspicious !!!!!

Types = EXE



Infections = Backdoor.MSIL.BLADABINDI.SMJJ / Backdoor Trojan - RAT



TR/Dropper.gen



Trojan.MSIL.DİSFA





Backdoor Hareketleri =




bd71Uz1W_o.png




Ekran-Alintisi-167.png




İlk Baştan Process Explorer Üzerinden Backdoor'un Arka Planda'ki Tespitini Yapıyoruz / Görüldüğü Üzere Backdoor Arka Plan'da Server.exe Adı Üzerinden Aktif Olarak Çalışmakta .



Ekran-Alintisi-199.png




Aynı Şekilde Tamamiyle Emin Olmak İçin Process Hacker' Yazılımından'da Arka Plan Durumunu Kontrol Ediyoruz | .



Ekran-Alintisi-168.png




Burada'da Backdoor'un Sistem Üzerindeki Güç Tüketimini Görüyorsunuz CPU = %35-45 / Bytes=15.8 MB



Güç Kullanımı = Yüksek !!






bd71Uz1W_o.png


Dropper Files =



Ekran-Alintisi-200.png
resim_2022-06-04_225228028.png
Ekran-Alintisi-169.png




Dropper Aracılığı İle Kendini Kopyalıyor Yayılım Var !! / Fakat Dropper İşlemi Sadece Tek Dosya Yolundan Değil Bir Çok Uzantıdan Gerçekleşiyor .



Trojan.MSIL.DİSFA = Uzantısı EXE Dosyası Açıldığından İtibaren Uzantı Sayesinde Hata Mesajı Verip Dropper İşlevi Görüyor Desktop'a Gelen Dosyalar Bu Uzantı Kaynaklı Diğer Yollar Dropper Sayesinde .



Dosya Yolları =



C/USERS/Desktop/Trojan.exe / C/USERS/DESKTOP/Explower.exe



C/autorun.inf - C/Umbrella.flv.exe




bd71Uz1W_o.png

Bağlantı Akışı Var !!


resim_2022-06-04_230831091.png



Backdoor'un Oluşturulduğu - Bağlantı Sağladığı Konum

Protocol = TCP

Host = 127.0.0.1

Port = 5552

Buradan Anlaşılacağı Üzere Rat ( Backdoor ) NJRAT Üzerinden Oluşturulmuş Çünki NJRATIN Açılıştaki Verdiği Port 5552 Fakat Port Dinleme Yok .


bd71Uz1W_o.png



resim_2022-06-04_231758556.png

Backdoor Anti-Kill Özelliğine Sahip Antivirüsü Devre Dışı Bırakmış Bu Sayede Tespit Edilme Durumunu Oldukça Düşük Seviyelere İndirdi .


resim_2022-06-04_232053851.png


Backdoor Kendini Başlangıç İşlemlerinede Eklemiş Yani Buradan Anlaşılacağı Üzere Sistem Her Açılıp Kapandığında Backdoor Önceden Sonlandırılsa Bile Yeninden Aktif Duruma Gelecek .


resim_2022-06-04_232851893.png



resim_2022-06-04_232358267.png


USB Spread = Backdoor'da USB Spread Özelliği Aktif Sisteme Takılacak Herhangi Bir USB Aygıtına Direk Olarak Görüldüğü Gibi UPX.EXE Dosyası Üzerinden Dropper İşlemi Gerçekleştiriyor .


bd71Uz1W_o.png


iUBacd.gif



















 
Cevap yazmak için giriş yap yada kayıt ol.
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.