PMA Lab 01-03 - Temel Statik Zararlı Analizi

Pentester

Özel Üye
8 Eyl 2016
1,646
995
Merhabalar, ileri seviye zararlı yazılım analizi çalışmalarına geçmeden evvel temel statik analiz de atladığımız lablardan biri olan Lab 1-3 zararlısının çözümünü gerçekleştireceğim.

m4ptgm8.png


İlgili exe dosyasına ait 4 adet soruyu cevaplandırmamızı istiyor. Tekrardan söylemek isterim temel statik analiz yapacağımızdan dolayı bazı sorular tam olarak açığa kavuşmayabilir. Analiz yapacağımız makine Windows XP SP3 işletim sistemi olacaktır. Buna paralel ilgili yazıyı da not düşmekte fayda var. Yani kısaca lablar XP sistemini hedefliyor, ancak tabii birçoğu diğer Windows sürümlerinde çalışsa da bazıları çalışmayabiliyor.

otidmyk.png


Biz sorularımızı cevaplandırmaya başlayalım. İlk soru da ilgili dosyayı VirusTotal de tarat bakalım bize neler söylüyor diyor.

2wols5r.png


jwz5tqj.png


69 tarayıcıdan 51 tanesi ilgili dosyanın zararlı olduğunu söylüyor.

Details sekmesinden uygulamanın mimarisi hakkında bilgileri ediniyoruz.

dfmxop9.png


71g92rc.png


Daha önce virustotal üzerine farklı isimler ile dosya taratılmış. Bu da aslında popüler bir zararlı olduğunu söylüyor. E tabii lab zararlısı olduğunu hatırlatmakta fayda var.

Bu soruya yanıt olarak bu cevapları vermiş olduk. Şimdi 2.sorumuza bakalım.

2. soru da uygulamanın paketlenip paketlenmediğini soruyor, mümkünse de çözün diyor. Şimdi uygulamanın mimarisi executable olduğundan aklıma Portable executable formatı geliyor, VirusTotal bize PE sectionları gösteriyor, bir bakalım ne diyor.


r12htpp.png


PE executable ait başlıklar değil bunlar, haliyle burada uygulamanın paketlendiği kanısına varıyorum. Şimdi ne ile paketlenmiş ona bakalım, çözebiliyorsak çözelim.

cz9wvn7.png


PEiD yazılımı ‘FSG 1.0’ ile paketlendiğini görüyorum. Küçük bir araştırma ile bunu çözebilecek hazır bir araç bulamıyorum. Bir başka bahara kaldı diyor, bu soruyu bu şekilde cevaplandırıyorum. Burada temel statik analizde bu zararlıyı çözemeyeceğiz.

3. soru da bize uygulamanın içe aktarmaları neler anlatıyor kontrol et diyor.


byff8xe.png


VirusTotal üzerinden imports alanını kontrol edebiliyoruz. KERNEL32.dll kullanıyor ve ona bağlı temel fonksiyonları kullanıyor. Sadece bu verilere erişebilmemiz de zaten uygulamanın paketlenmiş olduğunu bize ifade ediyor.

4.soru da uygulamanın ağ tabanlı göstergelerini soruyor. Yani ağ aktivitesi gerçekleştiren bir fonksiyon, belki bir ip adresi bunlar bize bu konuda yardımcı olacaktır. Bu durumdan mütevellit ‘PE Studio’ adlı yazılıma exe dosyamı sürüklüyorum bakalım uygulamanın içerisinde geçen stringlerden bir şey bulabilecek miyiz.


eujouio.png


Akıyor maşallah diyemiyorum, 27 adet stringden ağ tabanlı herhangi bir gösterge bulamıyoruz. Programı çalıştırıp ağ tabanlı aktivitelere baksaydın diyebilirsiniz, ancak analizimiz temel statik analizi kapsıyor. Uygulama zaten paketlenmiş bir biçimde ve çözemedik haliyle başka bahara kalıyor, temel statik analizde elde ettiklerimiz buraya kadar. İleri analizlere geçtiğimiz zaman tüm sırları açığa çıkarmaya çalışacağız. Okuduğunuz için teşekkürler.
 
Son düzenleme:
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.