CTF - Malware Dynamic Analysist

Daeky · 27 Tem 2022

Öncelikle Herkese Merhabalar Bugün İçerisinde Soru - Şık Barındıran Farklı Bir CTF'ye Bakacağız Bu CTF Bir Malware Analiz Türüne Giriyor.

Difficulty = Zor

İlk Baştan Bize Bir Malware Verilmiş Bunu Temel Dinamik Analiz İle Raporunu Çıkartacağız.

Malware .exe Uzantılı Adı Biraz Karışık Bir Sayı Darcığından Oluşmakta .

İlk Soru Malware Arkaplanda Çalışıyormu - Çalışıyor İse İşlem Adı ? =

Malware'ı Direk Çalıştırdığımda REGSVCS.EXE Server Dosyası Üzerinden İşlem Olarak Çalışmakta

Cevap = RegSvcs.exe

Görev Yöneticisindende Zaten Kolay Bir Şekilde Tespit Edebiliyoruz

Tam Olarak Tespit Etmek İçin İşlemi Sonlandırıyorum .

Saat 23.14

Şimdi Yeninden Malwareı Çalıştırıyorum

Evet Gördüğünüz Gibi Yine Aynı İşlem Geldi

Başladığı Saatt'e 23.15

2.Soru Server Dosyasının Cpu Kullanım Oranı ? =

İncelediğimiz Zaman 0-1 Arası Olduğunu Görüyoruz

Cevap = 0-1

3.Soru RegSvcs.Exe Başka Bir İşlemi Başlatıyormu ? =

Belli Bir Zaman Geçtikten Sonra Gördüğünüz Gibi schtask.exe İşlemini Başlattı

İncelediğimiz Zaman Roamin Klasöründe Bulunduğunu Ve Başlangıç İşlemlerine Kendini svchost.exe Olarak Eklemekte Svchost Bir Windows İşlemi Fakat Bu Malware Aldatmaca Üzerine Kurulu .

Yine Bir Belirli Zaman İçerisinde Farklı 4 Tane İşlem Sistemde Çalışmaya Başlıyor 2 Tanesi CMD.exe Nin Farklı Yolları

Aynı Şekilde Direk Olarak Zaten Thread Paketlenen İşlemlerdede schtas.exe Yi Görebiliriz RegSvcs.exe Nin Değerlerini İncelediğimiz Zaman

Cevap = Evet - Startup Özelliğide Var

4.Soru RegSvcs.exe Her Hangi Bir Dosya Dropluyormu ? =

Direk Olarak Bu Kısmı Manuel Bir Şekilde Tespit Ettim Temp Uzantısına TXT Dropluyor

Cevap = Evet

------------------------------------------------------------------------------------

Diğer Sistem Üzerindeki Etkileri ? =

Malware Kendisini Sürekli Böyle Bir Çalışma Paneli Olarak Açıyor.

---------------------------------------------------------------------------------------------------------------------

Temp Klasörüne Bir Çok Dosya Droplanıyor Bunların Çoğu TXT - Log Dosyası

Gördüğünüz Gibi Log Kayıtlarını Tutmuş Bir Kısmı

Log Dosyaları Harici Farklı Adlarda Klasörlerde Droplanmış.

B Diskinde Bulunan Tüm Klasörler Bu Şekilde .exe İle Şifrelenmiş Girildiği Anda Az Önce Bahsettiğim Çalışma Paneli Üzerinden RegSvcs.exe Çalışıyor Buda Bulaştığı Sistemde Kalma Süresini Uzatıyor

Bu Analizin Sonucunda Gördüğümüz Gibi Bu Bir Rat(Backdoor)

Ghost Killer · 27 Tem 2022

Eline sağlık.

ElChapoİpV4 · 27 Tem 2022

Eline sağlık. Güzel bir yazı olmuş

*Crasher · 27 Tem 2022

Eline sağlık.

ARSEF7 · 27 Tem 2022

Elinize sağlık

Daeky · 27 Tem 2022

Ghost Killer' Alıntı:
Eline sağlık.

ElChapoİpV4' Alıntı:
Eline sağlık. Güzel bir yazı olmuş

*Crasher' Alıntı:
Eline sağlık.

ARSEF7' Alıntı:
Elinize sağlık

Sağolun teşekkürler

kaliroot · 27 Tem 2022

Eline Sağlık

JohnWick51 · 27 Tem 2022

Daeky' Alıntı:
Öncelikle Herkese Merhabalar Bugün İçerisinde Soru - Şık Barındıran Farklı Bir CTF'ye Bakacağız Bu CTF Bir Malware Analiz Türüne Giriyor.

Difficulty = Zor

İlk Baştan Bize Bir Malware Verilmiş Bunu Temel Dinamik Analiz İle Raporunu Çıkartacağız.

Malware .exe Uzantılı Adı Biraz Karışık Bir Sayı Darcığından Oluşmakta .

İlk Soru Malware Arkaplanda Çalışıyormu - Çalışıyor İse İşlem Adı ? =

Malware'ı Direk Çalıştırdığımda REGSVCS.EXE Server Dosyası Üzerinden İşlem Olarak Çalışmakta

Cevap = RegSvcs.exe

Görev Yöneticisindende Zaten Kolay Bir Şekilde Tespit Edebiliyoruz

Tam Olarak Tespit Etmek İçin İşlemi Sonlandırıyorum .

Saat 23.14

Şimdi Yeninden Malwareı Çalıştırıyorum

Evet Gördüğünüz Gibi Yine Aynı İşlem Geldi

Başladığı Saatt'e 23.15

2.Soru Server Dosyasının Cpu Kullanım Oranı ? =

İncelediğimiz Zaman 0-1 Arası Olduğunu Görüyoruz

Cevap = 0-1

3.Soru RegSvcs.Exe Başka Bir İşlemi Başlatıyormu ? =

Belli Bir Zaman Geçtikten Sonra Gördüğünüz Gibi schtask.exe İşlemini Başlattı

İncelediğimiz Zaman Roamin Klasöründe Bulunduğunu Ve Başlangıç İşlemlerine Kendini svchost.exe Olarak Eklemekte Svchost Bir Windows İşlemi Fakat Bu Malware Aldatmaca Üzerine Kurulu .

Yine Bir Belirli Zaman İçerisinde Farklı 4 Tane İşlem Sistemde Çalışmaya Başlıyor 2 Tanesi CMD.exe Nin Farklı Yolları

Aynı Şekilde Direk Olarak Zaten Thread Paketlenen İşlemlerdede schtas.exe Yi Görebiliriz RegSvcs.exe Nin Değerlerini İncelediğimiz Zaman

Cevap = Evet - Startup Özelliğide Var

4.Soru RegSvcs.exe Her Hangi Bir Dosya Dropluyormu ? =

Direk Olarak Bu Kısmı Manuel Bir Şekilde Tespit Ettim Temp Uzantısına TXT Dropluyor

Cevap = Evet

------------------------------------------------------------------------------------

Diğer Sistem Üzerindeki Etkileri ? =

Malware Kendisini Sürekli Böyle Bir Çalışma Paneli Olarak Açıyor.

---------------------------------------------------------------------------------------------------------------------

Temp Klasörüne Bir Çok Dosya Droplanıyor Bunların Çoğu TXT - Log Dosyası

Gördüğünüz Gibi Log Kayıtlarını Tutmuş Bir Kısmı

Log Dosyaları Harici Farklı Adlarda Klasörlerde Droplanmış.

B Diskinde Bulunan Tüm Klasörler Bu Şekilde .exe İle Şifrelenmiş Girildiği Anda Az Önce Bahsettiğim Çalışma Paneli Üzerinden RegSvcs.exe Çalışıyor Buda Bulaştığı Sistemde Kalma Süresini Uzatıyor

Bu Analizin Sonucunda Gördüğümüz Gibi Bu Bir Rat(Backdoor)

Ellerine saglik

GökBörü. · 27 Tem 2022

Eline sağlık

awesofc · 27 Tem 2022

Ellerinize Sağlık...

CTF - Malware Dynamic Analysist

Daeky

Uzman üye

Ghost Killer

Yaşayan Forum Efsanesi

ElChapoİpV4

Katılımcı Üye

*Crasher

Katılımcı Üye

ARSEF7

Katılımcı Üye

Daeky

Uzman üye

kaliroot

Katılımcı Üye

JohnWick51

Uzman üye

GökBörü.

Uzman üye

awesofc

Katılımcı Üye

Sosyal medya sayfalarımız