Zararlı yazılım analizi Giriş part -1

Suppressor

Suppressor

Hunter
16 Kas 2022
855
487
X

hu0mmvg.png


Herkese selam! Uzun ağlamalarım sonucu bugün zararlı yazılım analizi yapacağım. Hey, sen hazırsan başlayalım.
(Bu ders biraz daha direkt analize dayalı terimlerden ilerkeyen derslerde bahsedeceğim)
*-*-**-*-*--*-*-*-*-*----------*-*-*-*-*--*-*-*-*--**-*-*-*-*-*--**-*-*-*-*-*-*-------------------*-*-*-*-*-*-*-**-*-*-*-*-*--*-*-*----*-*-*--*-*-*-*-



İlk olarak temel statik analizde ne yapacağız


Uygulama çalıştırılmaz.


Şüpheli yazılım hakkında bilgi kazanılması için yapılan analizdir.

Zararlı yazılıma ait hash değerlerinin online sandbox platformları tarafından araştırılması.

Zafiyete ait string değerleri çıkartılır.

Yazılımın karıştırılmış mı paketlenmiş mi analizi zorlaştırmak için bir işlem uygulanacak mı?

PE (Portable Executable) Header, export ve import tablolarını inceleyeceğiz.



hu0mmvg.png



Hash değerli incelemesi: daha önce veritabanına yakalanmış mı, yakalanmamış mı, popüler mi, yeni mi, eski mi? Bu bilgileri öğrenmek istiyoruz

İlk olarak hashmyfiles'a atıp hash değerlerini öğreniyoruz.
64g7nqx.png


Değerleri aldık, şimdi virüs toplamına gidiyoruz bakalım bize ne diyecek?


28z7d03.png



VT LİNK




Şimdi sıra string analizinde.
339ybpo.png

Kod: 
strings "{71257279-042b-371d-a1d3-fbf8d2fadffa}.exe" > çıktı1.txt







Evet, uzun yırtınmalarım sonucunda bir IP adresi keşfettik. Bu IP adresini kullanarak bir DNS, DLL dosyaları, Fonksiyonları, site adresi vb. bulmayı amaçlıyoruz.

5aursxr.png



hu0mmvg.png


Şimdi ise herhangi bir UPX işlemi uygulandı mı, bunu tespit etmek için 'PEİD' aracından yardım alacağız
o68dsv6.png

Bu zararlı yazılımda UPX1 kullanıldığını görüyoruz. Buradaki package string değerleri ile çok fazla bağlantılı olduğu için string değerlerini fazla gösteremedim, ama genel olarak yazılımın çalışma mantığı kullanılan fonksiyonlar, DLL'ler vb. şeylerle bağlantılıdır.
DEVAMI PART 2 DE
 
Son düzenleme:
rootibo

rootibo

Kıdemli Üye
13 Mar 2023
2,121
1,380
Suppressor' Alıntı:

hu0mmvg.png


Herkese selam! Uzun ağlamalarım sonucu bugün zararlı yazılım analizi yapacağım. Hey, sen hazırsan başlayalım.
(Bu ders biraz daha direkt analize dayalı terimlerden ilerkeyen derslerde bahsedeceğim)
*-*-**-*-*--*-*-*-*-*----------*-*-*-*-*--*-*-*-*--**-*-*-*-*-*--**-*-*-*-*-*-*-------------------*-*-*-*-*-*-*-**-*-*-*-*-*--*-*-*----*-*-*--*-*-*-*-



İlk olarak temel statik analizde ne yapacağız


Uygulama çalıştırılmaz.


Şüpheli yazılım hakkında bilgi kazanılması için yapılan analizdir.

Zararlı yazılıma ait hash değerlerinin online sandbox platformları tarafından araştırılması.

Zafiyete ait string değerleri çıkartılır.

Yazılımın karıştırılmış mı paketlenmiş mi analizi zorlaştırmak için bir işlem uygulanacak mı?

PE (Portable Executable) Header, export ve import tablolarını inceleyeceğiz.



hu0mmvg.png



Hash değerli incelemesi: daha önce veritabanına yakalanmış mı, yakalanmamış mı, popüler mi, yeni mi, eski mi? Bu bilgileri öğrenmek istiyoruz

İlk olarak hashmyfiles'a atıp hash değerlerini öğreniyoruz.
64g7nqx.png


Değerleri aldık, şimdi virüs toplamına gidiyoruz bakalım bize ne diyecek?


28z7d03.png



VT LİNK




Şimdi sıra string analizinde.
fhi8urc.png

Kod: 
strgins "{71257279-042b-371d-a1d3-fbf8d2fadffa}.exe" > analyz.txt komutu ile kaydettik.

(SS DE KAYDETMEMİŞ O DİZİNDE OLDUĞUM İÇİN OLMAMIŞ, O DİZİNE TEKRAR GİTTİM VE OLDU. ZARARLI YAZILIM İLE AYNI DİZİNDE OLMANIZ GEREKİYOR)






Evet, uzun yırtınmalarım sonucunda bir IP adresi keşfettik. Bu IP adresini kullanarak bir DNS, DLL dosyaları, Fonksiyonları, site adresi vb. bulmayı amaçlıyoruz.

5aursxr.png



hu0mmvg.png


Şimdi ise herhangi bir UPX ile şifreleme işlemi uygulandı mı, bunu tespit etmek için 'PIED' aracından yardım alacağız
o68dsv6.png

Bu zararlı yazılımda UPX1 kullanıldığını görüyoruz. Buradaki şifreleme string değerleri ile çok fazla bağlantılı olduğu için string değerlerini fazla gösteremedim, ama genel olarak yazılımın çalışma mantığı kullanılan fonksiyonlar, DLL'ler vb. şeylerle bağlantılıdır.
DEVAMI PART 2 DE
Genişletmek için tıkla ...
Eline saglik o virustotal ne oyle yav
 
K

"KARAHANLI"

Kıdemli Üye
17 Mar 2022
2,146
2,903
elvada form
Kısaca özetleyem bomba atarlar füze yagdırırlar verimli kullanılan şeylerde iciniz rahat olur yani dikkatli ol her şeye tıklama indirme verimli kullan eline saglık.
 
Grimner

Grimner

Haftanın Moderatörü
28 Mar 2020
4,460
3,518
Her şey çok güzel olacak ❤️
Suppressor' Alıntı:

hu0mmvg.png


Herkese selam! Uzun ağlamalarım sonucu bugün zararlı yazılım analizi yapacağım. Hey, sen hazırsan başlayalım.
(Bu ders biraz daha direkt analize dayalı terimlerden ilerkeyen derslerde bahsedeceğim)
*-*-**-*-*--*-*-*-*-*----------*-*-*-*-*--*-*-*-*--**-*-*-*-*-*--**-*-*-*-*-*-*-------------------*-*-*-*-*-*-*-**-*-*-*-*-*--*-*-*----*-*-*--*-*-*-*-



İlk olarak temel statik analizde ne yapacağız


Uygulama çalıştırılmaz.


Şüpheli yazılım hakkında bilgi kazanılması için yapılan analizdir.

Zararlı yazılıma ait hash değerlerinin online sandbox platformları tarafından araştırılması.

Zafiyete ait string değerleri çıkartılır.

Yazılımın karıştırılmış mı paketlenmiş mi analizi zorlaştırmak için bir işlem uygulanacak mı?

PE (Portable Executable) Header, export ve import tablolarını inceleyeceğiz.



hu0mmvg.png



Hash değerli incelemesi: daha önce veritabanına yakalanmış mı, yakalanmamış mı, popüler mi, yeni mi, eski mi? Bu bilgileri öğrenmek istiyoruz

İlk olarak hashmyfiles'a atıp hash değerlerini öğreniyoruz.
64g7nqx.png


Değerleri aldık, şimdi virüs toplamına gidiyoruz bakalım bize ne diyecek?


28z7d03.png



VT LİNK




Şimdi sıra string analizinde.
fhi8urc.png

Kod: 
strgins "{71257279-042b-371d-a1d3-fbf8d2fadffa}.exe" > analyz.txt komutu ile kaydettik.

(SS DE KAYDETMEMİŞ O DİZİNDE OLDUĞUM İÇİN OLMAMIŞ, O DİZİNE TEKRAR GİTTİM VE OLDU. ZARARLI YAZILIM İLE AYNI DİZİNDE OLMANIZ GEREKİYOR)






Evet, uzun yırtınmalarım sonucunda bir IP adresi keşfettik. Bu IP adresini kullanarak bir DNS, DLL dosyaları, Fonksiyonları, site adresi vb. bulmayı amaçlıyoruz.

5aursxr.png



hu0mmvg.png


Şimdi ise herhangi bir UPX ile şifreleme işlemi uygulandı mı, bunu tespit etmek için 'PIED' aracından yardım alacağız
o68dsv6.png

Bu zararlı yazılımda UPX1 kullanıldığını görüyoruz. Buradaki şifreleme string değerleri ile çok fazla bağlantılı olduğu için string değerlerini fazla gösteremedim, ama genel olarak yazılımın çalışma mantığı kullanılan fonksiyonlar, DLL'ler vb. şeylerle bağlantılıdır.
DEVAMI PART 2 DE
Genişletmek için tıkla ...
Eline sağlık, yararlı bir içerik olmuş.
 
alexandre20

alexandre20

Federal Agent \n .
13 Tem 2022
603
418
konu troll mü anlayamadım ama paylaştığınız komutlar yanlış, daha "strings" yazmayı bilmeden cmd'de gidip yanlış şeyleri (strgings vs) yazıp sonra neden çalışmadı diye soruyorsunuz, ve bunu gelip burda paylaşıyorsunuz. Hatanızı düzeltmek yerine hatalı bir şekilde bu konuyu açtığınız için insanların da kafası karışacak. Düzeltmenizi öneririm

Ayrıca kullandığınız terminoloji yanlış, anlamını bilmediğiniz kelimeleri seçip konunun üzerie atmışsınız, "PEID" diye yazılır pied değil. UPX şifreleme değil packer'dir.
"Bu IP adresini kullanarak bir DNS, DLL dosyaları, Fonksiyonları" zaten tamamen mantıksız bir cümle olmuş, ip adresi dns dll rastgele terimler kullanılmış, ip adresi ile dll dosyalarının veya fonksiyonlarının ne alakası var?

Çok kafa karıştırıcı bir konu, yeni başlayanlar için olmadığı kesin

Ayrıca konuda kullanılan "strings" tool'u default olarak windows'da yüklü gelmez sizin indirmeniz gerekir

edit:
bahsettiğim yazım hatalarını aşağıda bıraktım. Konu sahibi kendi konusu içinde bu yazım hatalarını bulup düzeltebilir.
image.png
image.png
 
Son düzenleme:
TurkGokay

TurkGokay

Basın&Medya Ekibi
4 Ara 2022
978
519
Kemalizm
Suppressor' Alıntı:

hu0mmvg.png


Herkese selam! Uzun ağlamalarım sonucu bugün zararlı yazılım analizi yapacağım. Hey, sen hazırsan başlayalım.
(Bu ders biraz daha direkt analize dayalı terimlerden ilerkeyen derslerde bahsedeceğim)
*-*-**-*-*--*-*-*-*-*----------*-*-*-*-*--*-*-*-*--**-*-*-*-*-*--**-*-*-*-*-*-*-------------------*-*-*-*-*-*-*-**-*-*-*-*-*--*-*-*----*-*-*--*-*-*-*-



İlk olarak temel statik analizde ne yapacağız


Uygulama çalıştırılmaz.


Şüpheli yazılım hakkında bilgi kazanılması için yapılan analizdir.

Zararlı yazılıma ait hash değerlerinin online sandbox platformları tarafından araştırılması.

Zafiyete ait string değerleri çıkartılır.

Yazılımın karıştırılmış mı paketlenmiş mi analizi zorlaştırmak için bir işlem uygulanacak mı?

PE (Portable Executable) Header, export ve import tablolarını inceleyeceğiz.



hu0mmvg.png



Hash değerli incelemesi: daha önce veritabanına yakalanmış mı, yakalanmamış mı, popüler mi, yeni mi, eski mi? Bu bilgileri öğrenmek istiyoruz

İlk olarak hashmyfiles'a atıp hash değerlerini öğreniyoruz.
64g7nqx.png


Değerleri aldık, şimdi virüs toplamına gidiyoruz bakalım bize ne diyecek?


28z7d03.png



VT LİNK




Şimdi sıra string analizinde.
fhi8urc.png

Kod: 
strgins "{71257279-042b-371d-a1d3-fbf8d2fadffa}.exe" > analyz.txt komutu ile kaydettik.

(SS DE KAYDETMEMİŞ O DİZİNDE OLDUĞUM İÇİN OLMAMIŞ, O DİZİNE TEKRAR GİTTİM VE OLDU. ZARARLI YAZILIM İLE AYNI DİZİNDE OLMANIZ GEREKİYOR)






Evet, uzun yırtınmalarım sonucunda bir IP adresi keşfettik. Bu IP adresini kullanarak bir DNS, DLL dosyaları, Fonksiyonları, site adresi vb. bulmayı amaçlıyoruz.

5aursxr.png



hu0mmvg.png


Şimdi ise herhangi bir UPX ile şifreleme işlemi uygulandı mı, bunu tespit etmek için 'PEİD' aracından yardım alacağız
o68dsv6.png

Bu zararlı yazılımda UPX1 kullanıldığını görüyoruz. Buradaki package string değerleri ile çok fazla bağlantılı olduğu için string değerlerini fazla gösteremedim, ama genel olarak yazılımın çalışma mantığı kullanılan fonksiyonlar, DLL'ler vb. şeylerle bağlantılıdır.
DEVAMI PART 2 DE
Genişletmek için tıkla ...
Ellerine sağlık, cidden merak ettiğim ve öğretilsin diye uğraştığım bir konuydu (@'ReDLiNe
1071093410410283028.webp
) 2. bölümü merakla bekliyor olacağım.
 
Suppressor

Suppressor

Hunter
16 Kas 2022
855
487
X
TurkGokay' Alıntı:
Ellerine sağlık, cidden merak ettiğim ve öğretilsin diye uğraştığım bir konuydu (@'ReDLiNe
1071093410410283028.webp
) 2. bölümü merakla bekliyor olacağım.
Genişletmek için tıkla ...
Teşekkürler.
alexandre20' Alıntı:
konu troll mü anlayamadım ama paylaştığınız komutlar yanlış, daha "strings" yazmayı bilmeden cmd'de gidip yanlış şeyleri (strgings vs) yazıp sonra neden çalışmadı diye soruyorsunuz, ve bunu gelip burda paylaşıyorsunuz. Hatanızı düzeltmek yerine hatalı bir şekilde bu konuyu açtığınız için insanların da kafası karışacak. Düzeltmenizi öneririm

Ayrıca kullandığınız terminoloji yanlış, anlamını bilmediğiniz kelimeleri seçip konunun üzerie atmışsınız, "PEID" diye yazılır pied değil. UPX şifreleme değil packer'dir.
"Bu IP adresini kullanarak bir DNS, DLL dosyaları, Fonksiyonları" zaten tamamen mantıksız bir cümle olmuş, ip adresi dns dll rastgele terimler kullanılmış, ip adresi ile dll dosyalarının veya fonksiyonlarının ne alakası var?

Çok kafa karıştırıcı bir konu, yeni başlayanlar için olmadığı kesin

Ayrıca konuda kullanılan "strings" tool'u default olarak windows'da yüklü gelmez sizin indirmeniz gerekir

edit:
bahsettiğim yazım hatalarını aşağıda bıraktım. Konu sahibi kendi konusu içinde bu yazım hatalarını bulup düzeltebilir.
image.png
image.png
Genişletmek için tıkla ...
Düzeltildi++
Malware analysis, yeni başladığım bir konu. Hatalarım olduysa kusura bakmayın, ama daha doğru bir dil ile uyarabilirdiniz. İyi günler dilerim.
{Teşekkürler.}
Floria1' Alıntı:
Eline sağlık
Genişletmek için tıkla ...
Teşekkürler.
Grimner' Alıntı:
Eline sağlık, yararlı bir içerik olmuş.
Genişletmek için tıkla ...
Teşekkürler.
rootibo' Alıntı:
Eline saglik o virustotal ne oyle yav
Genişletmek için tıkla ...
Teşekkürler.
KARAHANLI' Alıntı:
Kısaca özetleyem bomba atarlar füze yagdırırlar verimli kullanılan şeylerde iciniz rahat olur yani dikkatli ol her şeye tıklama indirme verimli kullan eline saglık.
Genişletmek için tıkla ...
Teşekkürler.
 
Cevap yazmak için giriş yap yada kayıt ol.
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.