RAT mı Yoksa Backdoormu?

34semih54545 · 25 Ara 2024

RAT mı daha iyi yoksa backdoor mu daha iyi

slowbaskan123 · 25 Ara 2024

34semih54545' Alıntı:
RAT mı daha iyi yoksa backdoor mu daha iyi

Aynı şey RAT ile yaptığın trojan kalıcı olursa ona backdoor denir.

Avalanche1 · 25 Ara 2024

34semih54545' Alıntı:
RAT mı daha iyi yoksa backdoor mu daha iyi

eğer ratı migrate edebilirsen backdoor oluyor*

hiram abas · 25 Ara 2024

Backdoor tabiri genellikle sistemlerdeki veyahut uygulamalardaki izinsiz erişimi tanımlamak için kullanılır, RAT ise başlı başına bir program olup çeşitli açıklar, kullanıcının manipüle edilmesi vahıstasıyla sisteme bulaşan kötücül programlardır.

İkisinin kesin tanımları olmasada ikibinli yılların başlarında insanlar backdoor termini geliştirici hatası veyahut kötü geliştirici olarak algılıyordu.

lyxG · 25 Ara 2024

Komik gelebilir ama manuel ilerlemeyi biliyorsan reverse shell de işine yarar.

u1ku1912 · 26 Ara 2024

slowbaskan123' Alıntı:
Aynı şey RAT ile yaptığın trojan kalıcı olursa ona backdoor denir.

Zeph1r · 26 Ara 2024

Merhaba,

RAT ve Backdoor terimleri birbirinden farklı kullanım amaçları var. Aslında kullanım amacına göre değişir. Hangisi daha iyidir gibi bir şey dile getiremeyiz.

RAT

Geniş bir kullanım özelliği sunar, GUI tabanlı panelleri vardır, sistemin kontrolünü almamıza yardımcı olur ve aktif bir bağlantı olması gerekir. Server-Client modeli çalışır. RAT tespitir edilebilir.

Backdoor

Daha basit ve erişimi koruma, yaratmaya odaklı, fark edilmemesi için sistemde çalışır, veri çekmek, kod çalıştırmak için kullanılır. Daha az tespit edilir.

Amaca göre değiştiğini dile getirmiştim. Eğer sistemi kontrol etmek istiyorsanız RAT, erişim elde etmek, oturum almak istiyorsanız backdoor tercih etmelisiniz.

Peki RAT nasıl Backdoor Edilir?

Persistence sağlamak gerekir. Yani windows registry, scheduled taks kullanılmalı.
Şifreleme olması ve paketleme yapılması gerekir. UPX gibi araçlar örnek verilebilir.
Reverse shell mantığında çalışması sağlanırsa backdoor gibi davranmasını sağlayabiliriz.
Evasion gerçekleşmemesi için RAT'ın iz bırakmaması için dikkat etmeliyiz.

slowbaskan123 · 26 Ara 2024

Zeph1r' Alıntı:
Merhaba,

RAT ve Backdoor terimleri birbirinden farklı kullanım amaçları var. Aslında kullanım amacına göre değişir. Hangisi daha iyidir gibi bir şey dile getiremeyiz.

RAT

Geniş bir kullanım özelliği sunar, GUI tabanlı panelleri vardır, sistemin kontrolünü almamıza yardımcı olur ve aktif bir bağlantı olması gerekir. Server-Client modeli çalışır. RAT tespitir edilebilir.

Backdoor

Daha basit ve erişimi koruma, yaratmaya odaklı, fark edilmemesi için sistemde çalışır, veri çekmek, kod çalıştırmak için kullanılır. Daha az tespit edilir.

Amaca göre değiştiğini dile getirmiştim. Eğer sistemi kontrol etmek istiyorsanız RAT, erişim elde etmek, oturum almak istiyorsanız backdoor tercih etmelisiniz.

Peki RAT nasıl Backdoor Edilir?

Persistence sağlamak gerekir. Yani windows registry, scheduled taks kullanılmalı.
Şifreleme olması ve paketleme yapılması gerekir. UPX gibi araçlar örnek verilebilir.
Reverse shell mantığında çalışması sağlanırsa backdoor gibi davranmasını sağlayabiliriz.
Evasion gerçekleşmemesi için RAT'ın iz bırakmaması için dikkat etmeliyiz.

Backdoor RAT ile üretilen trojan kalıcı ise bu şekilde adlandırılır onun haricinde backdoor tespit edilemeyen bir şey değildir Runtime ve Scantime özelliklerine göre değişiklik gösterir.

Zeph1r · 26 Ara 2024

slowbaskan123' Alıntı:
Backdoor RAT ile üretilen trojan kalıcı ise bu şekilde adlandırılır onun haricinde backdoor tespit edilemeyen bir şey değildir Runtime ve Scantime özelliklerine göre değişiklik gösterir.

Evet, haklısınız. RAT veya Backdoor sistemde kalıcı olur ancak oturum kapatıldığında erişim gidebiliyor. Bunun için zaten yöntemler var. Startup'a dosya kaydetme, scheduled taks ile aralıklarla çalışmasını sağlama, registry üzerinde anahtar oluşturma.

Crypter, Obfuscation gibi yöntemler ile atlatılabilir. Runtime'a da yakalanmak olası. Bunun için de davranışları kısıtlamak, ağ trafiğini zorlamamak gerekir. Evet, başka bir uygulamanın sertifikası kopyalanabilir, kod enjekte ederek kimliğini gizleyebiliriz ancak sysmon, wireshark gibi yerlerde iyi bir analizle bunlar da bulunabilir. Geçtiğimiz günlerde Lockbit 4.0 duyurdu ve duyurulduktan 2 gün sonra bizzat kendim IoC çıkardım.

Bir sürü tespit etme yöntemi var. Edilememe yöntemi de var. Signature-based, behavior-based, FUD gibi gibi.

YARA kullanılması, kodların incelenmesi, Hashlerin çıkarılması gibi işlemlerle analiz edilebilir.

Behavior-based'de de sysmon ile davranış izlenebilir. Biliyorsunuz ki buna özel config yazılır. Ufak bir örnek vermek gerekirse;

Kod:

<RuleGroup name="Suspicious Processes" groupRelation="or">
  <ProcessCreate onmatch="include">
    <Image condition="contains">cmd.exe</Image>
    <ParentImage condition="contains">powershell.exe</ParentImage>
  </ProcessCreate>
</RuleGroup>

şüpheli işlemleri kaydeder ve bunları analiz edebiliriz. Olay günlüğünde etkinlikleri arayabiliriz.

wevtutil qe...

Honeypot ile analize sokabiliriz. Cowrie, Dionaea gibi gibi araçlar... Birden fazla honeypot ile daha çok veri toplayabilir ve davranışını anlayabiliriz.

Wireshark ile ağ trafik analizi edildiğinde C2 trafiğini görebiliriz. ŞÜpheli ip bulunur ve filtreye sokulur. Portlar izlenir. DNS analizi yapılır HTTP/HTTPS trafiği istekleri, header'leri incelenir.

FUD'lar için sandbox kurulumu yapabiliriz.

Cuckoo güzel bir tercihtir ve ben bunu çok severim. Dinamik, Statik analize girer. PracMon ile uygulama çalışırken yaptığı işlemler izlenir.PEiD ve Exeinfo ile dosyanın paketlenmesini kontrol ederiz. Ghidra, IDA gibi araçlarla da kod davranışını inceleriz.

Bunlar yapılamiyor ise bile Memory Forensics, Reverse Engineering, CTI gibi karşılaştırılır.

RAT mı Yoksa Backdoormu?

34semih54545

Üye

slowbaskan123

Kıdemli Üye

Avalanche1

Üye

hiram abas

Üye

lyxG

Katılımcı Üye

u1ku1912

Kıdemli Üye

Zeph1r

Üye

slowbaskan123

Kıdemli Üye

Zeph1r

Üye

Sosyal medya sayfalarımız