Cape SandBox ile Malware Analizi // Phemis

A

anonuser23532

Kıdemli Üye
9 Ara 2017
2,602
12
IT23OH.png

Q7cBIz.png

Cape Sandbox : Programlar üzerinde statik ve dinamik şekilde detaylı malware analizi yapan bir sandbox sitesidir.

x1BBWJ.png




Sitemize gidelim > https://cape.contextis.com/submit/



m7Z8mt.png



Bu şekilde bir arayüz karşımıza çıkıyor.
Gelişmiş ayarlar labeline tıkladığımızda karşımıza bu şekilde bir arayüz beliriyor.
Bu sekmede bazı disable edilecek özellikler (Process Dump'ı devre dışı bırakma vs.) , Hangi makinede analiz edileceği , Network ayarları , Hangi Packagenin analiz edileceği vs. şeyler bulunuyor.


Eğer çok detaylı bir arama yapmayacaksak bu sekme ile oynamamıza gerek yok.
Select'e basıp njRAT üzerinden oluşturduğumuz serveri seçelim ve Analyze buttonuna basalım.


1OAipd.png

Ben daha önce oluşturmuştum.


YM2W8n.png


Analyze buttonuna bastığımızda bize bir link veriyor ve bu link üzerinden işlemi takip edebileceğimizi söylüyor.


9qBccM.png

Linke tıkladığımızda sayfanın 30 saniyede bir yenileneceğini söylüyor ve burada (dosyanın büyüklüğüne göre) biraz beklememiz gerekiyor.

x1BBWJ.png




qnd3Kd.png



Burada programımız üzerinde gerçekleştirilen işlemleri kısaca bir özet geçiyor.
- Temp'e eklediği " Server - THT " dosyasını firewall ' a izin vermek için komut çalıştırdığını görüyoruz.
- GetAsyncKeyState işlemini çalıştırdığı kırmızı sekme içerisinde görüyoruz. Bu işlem keyloggerlar da tuş çalma için kullanılan fonksiyondur..


WwJxlu.png



Aşağı indiğimizde programımızın bağlandığı hostları görüyoruz.

1xoykF.png



Asıl işimiz bu kısımda aslında. Summary kısmı..
Burada eriştiği ve okuduğu dosyaları , değiştirdiği dosyaları , sildiği dosyaları , okuduğu değiştirdiği sildiği eriştiği registry yollarını , ulaştığı apileri , yürüttüğü kodları , oluşturduğu servisleri görmemiz mümkündür.


HTtqkV.png



En yukarıya tekrar çıktığımızda başlıkları görüyoruz ve bu başlıklarda Behavioral Analysis görüyoruz


mHX4Vb.png

Behavioral Analysis ' e baktığımızda göreceğiz ki burada bize eriştiği tüm apileri detayları ile gösteriyor kaç kere ulaştığını vs.

Bu üst başlıklardan Statik Analizine , Dropladığı (oluşturduğu diyebiliriz) dosyaları , Network Analizine (hostların detaylı analizi UDP analizi hangi ip adresi vs.) ulaşabiliyoruz..



 
Cevap yazmak için giriş yap yada kayıt ol.
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.