Roblox Delta Executor Stealer Analizi

reqz' Alıntı:

Roblox camiasında oldukça popüler olan Delta Executor yazılımının modifiye edilmiş bir versiyonu üzerinde yaptığım teknik analizler aşağıdadır.

Yaptığım incelemeler, bu yazılımın sadece bir "script executor" değil, bir Stealer olduğunu teknik kanıtlarla ortaya koymaktadır.

Analizlerimde, uygulamanın trafiği resmi Roblox sunucuları yerine 128.116.95.3 IP adresine yönlendirdiği tespit edilmiştir. Ancak bu IP adresi üzerinden kurulan bağlantıda, kurbana Roblox Corporation adına düzenlenmiş geçerli bir SSL sertifikası sunulmaktadır.

Ekran Görüntüsü

Lightshot ile Yakalanmış

prnt.sc

Trafik kayıtlarında yakaladığım en kritik veri, sunucunun döndürdüğü HTTP 307 Temporary Redirect yanıtıdır. Saldırgan bu yöntemi kasten seçmiştir; zira 307 protokolü, kullanıcının giriş bilgilerini (kullanıcı adı ve şifre içeren POST body) içeriğini hiç bozmadan doğrudan saldırganın kontrolündeki sunucuya aktarmakta oldugunu dusunuyorum.

Ekran Görüntüsü

Lightshot ile Yakalanmış

prnt.sc

Sunucu önünde konumlandırılan HAProxy katmanı, analiz araçlarını "408 Request Time-out" gibi hatalarla yanıltırken, arka plandaki hırsızlık mekanizmasını gizlemektedir.

Not: Bu konu hazirlanirken yapay zekadan yardim alinmistir.

Bir hatam varsa yazarsaniz sevinirim

+ sanirim konuyu yanlis baslikta actim duzeltebilirsiniz

Genişletmek için tıkla ...

reqz' Alıntı:

Roblox camiasında oldukça popüler olan Delta Executor yazılımının modifiye edilmiş bir versiyonu üzerinde yaptığım teknik analizler aşağıdadır.

Yaptığım incelemeler, bu yazılımın sadece bir "script executor" değil, bir Stealer olduğunu teknik kanıtlarla ortaya koymaktadır.

Analizlerimde, uygulamanın trafiği resmi Roblox sunucuları yerine 128.116.95.3 IP adresine yönlendirdiği tespit edilmiştir. Ancak bu IP adresi üzerinden kurulan bağlantıda, kurbana Roblox Corporation adına düzenlenmiş geçerli bir SSL sertifikası sunulmaktadır.

Ekran Görüntüsü

Lightshot ile Yakalanmış

prnt.sc

Trafik kayıtlarında yakaladığım en kritik veri, sunucunun döndürdüğü HTTP 307 Temporary Redirect yanıtıdır. Saldırgan bu yöntemi kasten seçmiştir; zira 307 protokolü, kullanıcının giriş bilgilerini (kullanıcı adı ve şifre içeren POST body) içeriğini hiç bozmadan doğrudan saldırganın kontrolündeki sunucuya aktarmakta oldugunu dusunuyorum.

Ekran Görüntüsü

Lightshot ile Yakalanmış

prnt.sc

Sunucu önünde konumlandırılan HAProxy katmanı, analiz araçlarını "408 Request Time-out" gibi hatalarla yanıltırken, arka plandaki hırsızlık mekanizmasını gizlemektedir.

Not: Bu konu hazirlanirken yapay zekadan yardim alinmistir.

Bir hatam varsa yazarsaniz sevinirim

+ sanirim konuyu yanlis baslikta actim duzeltebilirsiniz

Genişletmek için tıkla ...

voidsec.exe' Alıntı:

Elinize sağlık, gerçekten iyi bir analiz çıkarmışsınız. Özellikle 307 redirect detayını yakalaman ve POST verisiyle ilişkisini doğru yorumlaman ciddi bir teknik farkındalık gösteriyor. Mantık akışın da gayet sağlam, doğru yerlerden bakmışsınız.

Bunu daha da ileri taşımak için IP adresini ASN, lokasyon ve geçmiş kayıtlar açısından analiz edebilir, SSL sertifikasının gerçekten kime ait olduğunu detaylı inceleyebilir ve bulgularını mümkünse VirusTotal veya sandbox çıktılarıyla destekleyebilirsiniz. Ayrıca sadece trafik değil, davranış ve olası persistence izlerine de bakarsan analiz çok daha profesyonel bir seviyeye çıkar. Yapay zekaya ek kendi yorumunuz ve analizlerinizi de eklemeniz senin için faydalı olacaktır.

Analiz gayet iyi noktada. Yukarda belirttiğim şekilde detaylandırarak ilerlerseniz, üst seviye ve referans gösterilecek analizler çıkarabilirsiniz. Elinize emeğinize sağlık

Genişletmek için tıkla ...

voidsec.exe' Alıntı:

Elinize sağlık, gerçekten iyi bir analiz çıkarmışsınız. Özellikle 307 redirect detayını yakalaman ve POST verisiyle ilişkisini doğru yorumlaman ciddi bir teknik farkındalık gösteriyor. Mantık akışın da gayet sağlam, doğru yerlerden bakmışsınız.

Bunu daha da ileri taşımak için IP adresini ASN, lokasyon ve geçmiş kayıtlar açısından analiz edebilir, SSL sertifikasının gerçekten kime ait olduğunu detaylı inceleyebilir ve bulgularını mümkünse VirusTotal veya sandbox çıktılarıyla destekleyebilirsiniz. Ayrıca sadece trafik değil, davranış ve olası persistence izlerine de bakarsan analiz çok daha profesyonel bir seviyeye çıkar. Yapay zekaya ek kendi yorumunuz ve analizlerinizi de eklemeniz senin için faydalı olacaktır.

Analiz gayet iyi noktada. Yukarda belirttiğim şekilde detaylandırarak ilerlerseniz, üst seviye ve referans gösterilecek analizler çıkarabilirsiniz. Elinize emeğinize sağlık

Genişletmek için tıkla ...

Jusstthe' Alıntı:

Fotoğraftaki IP'ler Roblox, Cloudflare, Amazon ASN'leriyle ilişkili. 307 statü kodunun dönmesi POST isteğinin bir sonucu değil. Statü kodları web sunucusu tarafından manipüle edilebilir, saldırgan kasıtlı olarak da bunu döndürüp de şüpheye neden olmaz. Zaten bunlar potansiyel bir saldırgana ait sunucular değil. Mesele büyük ihtimal sunuculara front olan load balancer'ın dağıttığı sunuculara direkt olarak IP ile bağlantı yapılması, katı yönlendirme kuralları bu tip hatalar döndürüyor. Bu kadar sığ, Virus Total gibi ortam simülasyonunun kısıtlı olduğu çevrimiçi tehdit analiz platformlarının kullanımına dayalı bir analiz ile bir uygulamanın yüksek şüpheyle zararlı olduğuna karar vermek çok zor. Bir cheat'in oyun sunucularına bağlantı kurmasından daha doğal bir şey yok. Sınırsız kontrolünüzün bulunduğu analiz ortamında statik ve dinamik analiz şart. Son zamanlarda forumda statik analizle malware inceleyen görmedim, sadece metadata'lar inceleniyor. Binary kodunu inceleyip okumak şart. Dinamik analizi tespit eden, Virus Total gibi davranışsal IoC toplayan sistemleri boşa çıkaran kod parçaları bulunduruyor olabilir

Genişletmek için tıkla ...