anonuser23532
Kıdemli Üye
- 9 Ara 2017
- 2,602
- 12
Cape Sandbox : Programlar üzerinde statik ve dinamik şekilde detaylı malware analizi yapan bir sandbox sitesidir.
Sitemize gidelim > https://cape.contextis.com/submit/
Bu şekilde bir arayüz karşımıza çıkıyor.
Gelişmiş ayarlar labeline tıkladığımızda karşımıza bu şekilde bir arayüz beliriyor.
Bu sekmede bazı disable edilecek özellikler (Process Dump'ı devre dışı bırakma vs.) , Hangi makinede analiz edileceği , Network ayarları , Hangi Packagenin analiz edileceği vs. şeyler bulunuyor.
Eğer çok detaylı bir arama yapmayacaksak bu sekme ile oynamamıza gerek yok.
Select'e basıp njRAT üzerinden oluşturduğumuz serveri seçelim ve Analyze buttonuna basalım.
Ben daha önce oluşturmuştum.
Analyze buttonuna bastığımızda bize bir link veriyor ve bu link üzerinden işlemi takip edebileceğimizi söylüyor.
Linke tıkladığımızda sayfanın 30 saniyede bir yenileneceğini söylüyor ve burada (dosyanın büyüklüğüne göre) biraz beklememiz gerekiyor.
Burada programımız üzerinde gerçekleştirilen işlemleri kısaca bir özet geçiyor.
- Temp'e eklediği " Server - THT " dosyasını firewall ' a izin vermek için komut çalıştırdığını görüyoruz.
- GetAsyncKeyState işlemini çalıştırdığı kırmızı sekme içerisinde görüyoruz. Bu işlem keyloggerlar da tuş çalma için kullanılan fonksiyondur..
Aşağı indiğimizde programımızın bağlandığı hostları görüyoruz.
Asıl işimiz bu kısımda aslında. Summary kısmı..
Burada eriştiği ve okuduğu dosyaları , değiştirdiği dosyaları , sildiği dosyaları , okuduğu değiştirdiği sildiği eriştiği registry yollarını , ulaştığı apileri , yürüttüğü kodları , oluşturduğu servisleri görmemiz mümkündür.
En yukarıya tekrar çıktığımızda başlıkları görüyoruz ve bu başlıklarda Behavioral Analysis görüyoruz
Behavioral Analysis ' e baktığımızda göreceğiz ki burada bize eriştiği tüm apileri detayları ile gösteriyor kaç kere ulaştığını vs.
Bu üst başlıklardan Statik Analizine , Dropladığı (oluşturduğu diyebiliriz) dosyaları , Network Analizine (hostların detaylı analizi UDP analizi hangi ip adresi vs.) ulaşabiliyoruz..