Herkese selamlar.
Bu konuda 30 Temmuz 2025 yılında Steam plaformunda piyasaya sürülen BlockBlasters oyununun dosya analizini yapacağız. Oyun ilk başta normal bir indie oyun gibi görünse de daha sonra yapılan incelemelerde oyunun güncellemelerinden birine zararlı script eklendiği ortaya çıktı. Bu yazıda hem olayın arka planını, hem de VirusTotal üzerinden yapılan teknik analizi ele alacağız. Şimdiden iyi okumalar.
Bu konuda 30 Temmuz 2025 yılında Steam plaformunda piyasaya sürülen BlockBlasters oyununun dosya analizini yapacağız. Oyun ilk başta normal bir indie oyun gibi görünse de daha sonra yapılan incelemelerde oyunun güncellemelerinden birine zararlı script eklendiği ortaya çıktı. Bu yazıda hem olayın arka planını, hem de VirusTotal üzerinden yapılan teknik analizi ele alacağız. Şimdiden iyi okumalar.
BlockBlasters isimli oyun Steam’de yayınlandıktan sonra bazı kullanıcılar tarafından indirilmeye başlanıyor. İlk sürümünde ciddi bir sorun olmadığı düşünülse de daha sonra gelen bir güncelleme ile oyuna zararlı bir script dosyası ekleniyor. Kullanıcı oyunu çalıştırdığında arka planda bir batch script (.bat) çalışıyor ve sistem hakkında çeşitli bilgiler toplamaya başlıyor. Batch script:
Windows’ta komut satırı üzerinden komut çalıştıran basit script dosyalarıdır.
Bu script;
- sistem bilgilerini topluyor
- antivirüs yazılımlarını kontrol ediyor
- IP ve konum bilgisi alıyor
- bazı kullanıcı verilerini topluyor
ve bu bilgileri uzaktaki bir sunucuya gönderiyor. Bu tip zararlı yazılımlara genelde Info Stealer (bilgi çalan zararlı) denir.
Dosya Adı: game2.bat
Dosya Boyutu: 9 KB
Dosya Türü: DOS Batch Script (.bat)
Şimdi dosyamızı analiz etmeye başlıyoruz.
Not: Dosya VirusTotal üzerinden detaylı şekilde analiz edilmiştir. Reverse Engineering ve diğer teknikler kullanılmamıştır.
Dosya Boyutu: 9 KB
Dosya Türü: DOS Batch Script (.bat)
Şimdi dosyamızı analiz etmeye başlıyoruz.
Not: Dosya VirusTotal üzerinden detaylı şekilde analiz edilmiştir. Reverse Engineering ve diğer teknikler kullanılmamıştır.
Detections (Antivirüs Tespitleri)
VirusTotal üzerinde birçok güvenlik motoru dosyayı zararlı olarak işaretlemiştir.
Örnek tespitler:
VirusTotal üzerinde birçok güvenlik motoru dosyayı zararlı olarak işaretlemiştir.
Örnek tespitler:
- Trojan.Win/Malscript.Gen
- Trojan.PWS.Stealer
- Script.SNH-gen
- BAT.Trojan-Stealer
- Trojan.Script.Stealer
- LummaStealer
Bu tespitler dosyanın genel olarak, Trojan / Stealer kategorisinde olduğunu göstermektedir. Stealer, sistemden veri veya hesap bilgisi çalan zararlı türü demektir.
Details (Dosya Özellikleri)
VirusTotal detay bölümünde dosyanın şu özellikleri görülmektedir.
Dosya türü:
DOS Batch File
Batch script olması önemli bir detaydır çünkü bu tür zararlılar genellikle:
VirusTotal detay bölümünde dosyanın şu özellikleri görülmektedir.
Dosya türü:
DOS Batch File
Batch script olması önemli bir detaydır çünkü bu tür zararlılar genellikle:
- sistem komutlarını kullanır
- antivirüslerden daha kolay saklanabilir
- hızlı şekilde veri toplayabilir
Dosya isimleri arasında şu isimler görülmektedir:
game2.bat
game2
game2.bat.txt
Bu da dosyanın oyun dosyası gibi gösterilmeye çalışıldığını göstermektedir.
game2.bat
game2
game2.bat.txt
Bu da dosyanın oyun dosyası gibi gösterilmeye çalışıldığını göstermektedir.
Relations (İlişkili Dosyalar ve Ağ Bağlantıları)
VirusTotal ilişkiler bölümünde zararlının çeşitli IP adresleri ve URL’lerle iletişim kurduğu görülmektedir.
Öne çıkan IP adresi:
203.188.171.156
Bu IP üzerinden şu endpointlere bağlantı kurulmaktadır:
/upload
/settings.txt
/upload1
/upload2
Bu tarz endpointler genellikle çalınan verilerin gönderildiği C2 sunucularında (Command & Control) bulunur. Command & Control (C2), saldırganın zararlı yazılımla iletişim kurduğu ve veri aldığı sunucuyu temsil eder.
VirusTotal ilişkiler bölümünde zararlının çeşitli IP adresleri ve URL’lerle iletişim kurduğu görülmektedir.
Öne çıkan IP adresi:
203.188.171.156
Bu IP üzerinden şu endpointlere bağlantı kurulmaktadır:
/upload
/settings.txt
/upload1
/upload2
Bu tarz endpointler genellikle çalınan verilerin gönderildiği C2 sunucularında (Command & Control) bulunur. Command & Control (C2), saldırganın zararlı yazılımla iletişim kurduğu ve veri aldığı sunucuyu temsil eder.
Behavior (Davranış Analizi)
Sandbox ortamında çalıştırıldığında zararlının çeşitli komutlar çalıştırdığı görülmektedir.
Sistem bilgisi toplama
Script şu komutu çalıştırıyor:
whoami
Bu komut Windows’ta aktif kullanıcı adını öğrenmek için kullanılır.
IP ve konum bilgisi alma
Script ayrıca şu servisleri kullanmaktadır:
curl ip.me
curl ipinfo.io/country
curl ipinfo.io/city
curl ipinfo.io/region
Bu servisler kullanıcının:
Sandbox ortamında çalıştırıldığında zararlının çeşitli komutlar çalıştırdığı görülmektedir.
Sistem bilgisi toplama
Script şu komutu çalıştırıyor:
whoami
Bu komut Windows’ta aktif kullanıcı adını öğrenmek için kullanılır.
IP ve konum bilgisi alma
Script ayrıca şu servisleri kullanmaktadır:
curl ip.me
curl ipinfo.io/country
curl ipinfo.io/city
curl ipinfo.io/region
Bu servisler kullanıcının:
- IP adresini
- ülkesini
- şehrini
öğrenmek için kullanılır.
Antivirüs kontrolü
Script ayrıca sistemde antivirüs olup olmadığını kontrol etmektedir.
Bu işlem Security Software Discovery olarak adlandırılır. Yani saldırgan:
Sistem üzerinde hangi güvenlik yazılımlarının çalıştığını öğrenmeye çalışır.
Sistem süreçlerini analiz etme
Script ayrıca çalışan işlemleri kontrol etmektedir.
Bunun için şu dosya oluşturulur:
running_tasks.txt
Bu dosyada sistemde çalışan uygulamalar listelenir.
Antivirüs kontrolü
Script ayrıca sistemde antivirüs olup olmadığını kontrol etmektedir.
Bu işlem Security Software Discovery olarak adlandırılır. Yani saldırgan:
Sistem üzerinde hangi güvenlik yazılımlarının çalıştığını öğrenmeye çalışır.
Sistem süreçlerini analiz etme
Script ayrıca çalışan işlemleri kontrol etmektedir.
Bunun için şu dosya oluşturulur:
running_tasks.txt
Bu dosyada sistemde çalışan uygulamalar listelenir.
MITRE ATT&CK Analizi
Sandbox analizinde şu teknikler görülmektedir.
Sandbox analizinde şu teknikler görülmektedir.
Execution
T1059 – Command and Scripting Interpreter: Zararlı CMD üzerinden script çalıştırmaktadır.
Discovery
T1057 – Process Discovery: Çalışan işlemler tespit edilmektedir.
T1082 – System Information Discovery: Sistem ve kullanıcı bilgisi toplanmaktadır.
T1082 – System Information Discovery: Sistem ve kullanıcı bilgisi toplanmaktadır.
Command & Control
T1071 – Application Layer Protocol: HTTP üzerinden veri iletişimi yapılmaktadır.
T1571 – Non Standard Port: Standart dışı port kullanımı görülmektedir.
T1571 – Non Standard Port: Standart dışı port kullanımı görülmektedir.
Diamond Model Analizi
Saldırının yapısını daha iyi anlamak için olay Diamond Model of Intrusion Analysis çerçevesinde değerlendirildi. Diamond Model, bir siber saldırıyı dört temel bileşen üzerinden analiz eder:
Saldırının yapısını daha iyi anlamak için olay Diamond Model of Intrusion Analysis çerçevesinde değerlendirildi. Diamond Model, bir siber saldırıyı dört temel bileşen üzerinden analiz eder:
- Adversary (Saldırgan)
- Capability (Kullanılan araç / malware)
- Infrastructure (Saldırgan altyapısı)
- Victim (Hedef)
Bu dört bileşen bir araya geldiğinde saldırının genel yapısı ortaya çıkar.
Adversary (Saldırgan)
Bu olayda saldırganın amacı bilgi çalma ve finansal kazanç elde etme olarak değerlendirilmektedir. Saldırganın kullandığı yöntemler:
Adversary (Saldırgan)
Bu olayda saldırganın amacı bilgi çalma ve finansal kazanç elde etme olarak değerlendirilmektedir. Saldırganın kullandığı yöntemler:
- sahte veya manipüle edilmiş oyun dağıtımı
- sosyal mühendislik
- script tabanlı zararlı yazılım
Bu saldırı tipi genellikle kripto cüzdanı veya hesap bilgisi hedefleyen siber suç gruplarında görülmektedir.
Capability (Kullanılan Araç / Zararlı)
Analiz edilen dosya bir batch script tabanlı stealer olarak değerlendirilebilir. Zararlının gerçekleştirdiği başlıca faaliyetler:
Capability (Kullanılan Araç / Zararlı)
Analiz edilen dosya bir batch script tabanlı stealer olarak değerlendirilebilir. Zararlının gerçekleştirdiği başlıca faaliyetler:
- sistem bilgisi toplama
- kullanıcı bilgisi elde etme
- antivirüs tespiti
- çalışan işlemleri listeleme
- IP ve konum bilgisi alma
- verileri uzak sunucuya gönderme
Script içerisinde kullanılan bazı komutlar:
Bu komutlar sistem hakkında bilgi toplamak amacıyla kullanılmaktadır.
Infrastructure (Saldırgan Altyapısı)
Analiz sırasında zararlının aşağıdaki IP adresi ile iletişim kurduğu görülmektedir:
203.188.171.156
Bu sunucu üzerinden çeşitli endpointlere bağlantı kurulmaktadır.
Örnek endpointler:
/upload
/upload1
/upload2
/settings.txt
Bu endpointler genellikle çalınan verilerin gönderildiği C2 (Command and Control) altyapısında bulunur. C2 sunucuları saldırganların zararlı yazılımlarla iletişim kurduğu ve veri topladığı sistemlerdir.
Victim (Hedef)
Bu saldırının hedef kitlesi:
Steam kullanıcıları,
oyuncular,
kripto kullanıcıları,
yayıncılar ve içerik üreticileri,
Zararlı özellikle aşağıdaki dosyaya erişmeye çalışmaktadır:
Bu dosya Steam hesap bilgilerini içerdiği için saldırının Steam hesaplarını hedef alabileceği değerlendirilmektedir.
Kod:
whoami
curl ip.me
curl ipinfo.io
findstr avastBu komutlar sistem hakkında bilgi toplamak amacıyla kullanılmaktadır.
Infrastructure (Saldırgan Altyapısı)
Analiz sırasında zararlının aşağıdaki IP adresi ile iletişim kurduğu görülmektedir:
203.188.171.156
Bu sunucu üzerinden çeşitli endpointlere bağlantı kurulmaktadır.
Örnek endpointler:
/upload
/upload1
/upload2
/settings.txt
Bu endpointler genellikle çalınan verilerin gönderildiği C2 (Command and Control) altyapısında bulunur. C2 sunucuları saldırganların zararlı yazılımlarla iletişim kurduğu ve veri topladığı sistemlerdir.
Victim (Hedef)
Bu saldırının hedef kitlesi:
Steam kullanıcıları,
oyuncular,
kripto kullanıcıları,
yayıncılar ve içerik üreticileri,
Zararlı özellikle aşağıdaki dosyaya erişmeye çalışmaktadır:
Kod:
Steam\config\loginusers.vdfBu dosya Steam hesap bilgilerini içerdiği için saldırının Steam hesaplarını hedef alabileceği değerlendirilmektedir.
Dosya IOC Özet Tablosu
Sha256:
aa1a1328e0d0042d071bca13ff9a13116d8f3cf77e6e9769293e2b144c9b73b3
IP Adresleri:
203.188.171.156
212.102.35.236
34.117.59.81
Domainler:
ipinfo.io
ip.me
Sha256:
aa1a1328e0d0042d071bca13ff9a13116d8f3cf77e6e9769293e2b144c9b73b3
IP Adresleri:
203.188.171.156
212.102.35.236
34.117.59.81
Domainler:
ipinfo.io
ip.me
