Turkhackteam.net/org - Turkish Hacking & Security Platform  
Geri git   Turkhackteam.net/org - Turkish Hacking & Security Platform >
Turkhackteam Under Ground
> Tersine Mühendislik

Tersine Mühendislik Reverse Engineering ve Cracking ile ilgili dökümanları bulabileceğiniz, CrackMe gibi uygulamaların paylaşıldığı bölüm.





Virüs Total İle Detaylı (.exe) Malware Analizi / Black Turtle

Tersine Mühendislik

Yeni Konu aç Cevapla
 
Seçenekler
Alt 18-04-2019 20:47   #1
  • Analiz Ekibi
  • Üye Bilgileri
Üyelik tarihi
01/2015
Nereden
Remote Admin
Mesajlar
Konular

Teşekkür (Etti): 995
Teşekkür (Aldı): 1761


Virüs Total İle Detaylı (.exe) Malware Analizi / Black Turtle



Merhaba arkadaşlar bu gün sizlere "Virüs Total" ile basit bir keylogger analizi yapıcaz.

NOT: Bu yapıcağımız analiz çıplak server analizidir. Yani hiç bir şekilde crypter ile şifrelenmemiştir.


Başlıyoruz ;

İlk önce serverimizi "Virüs Total" sitesine upload ediyoruz. (https://www.virustotal.com)

Ettikten sonra çıkan sonunçlara bir bakalım ;



Gördüğünüz gibi lak diye bize 58 tane virüs buldu ve bunlara baktığımız zaman "Keylogger" virüsü olduğunu rahatlıkla görebiliyoruz.

NOT: Keylogger programları'da vt de keylogger virüsü olarak çıkmaktadır. (Bunlar ile karıştırmayınız. Biz devam edelim bakalım daha neler bekliyor bizi

Şimdi "DETAİLS" kısmına geliyoruz ;



Ve burda bir tane değişik bir isimde Mscvin.exe uzantılı bir dosya görüyoruz ? (Bakalım bu dosya neyin nesiymiş

Şimdi "RELATİONS" kısmına geliyoruz ;



Burda keylogger'in kullandığı smtp "sunucu hostunu" ve "ip adresini" görüyoruz. + Olarak bu program "http://siteadresi.com/blackturtle.exe" sitesinden bize bir indirme yapıcağını söylüyör. (Böyle bir site adresi olmadığından tabikide indirme olmuyacaktır. Ama böyle bir şey görürseniz şüphelenip tekrar kontrol etmeniz gerekmektedir. [Belki 2. virüs olabilir vs...] )

Şimdi "BEHAVİOR" kısmına geliyoruz ;



Burda gördüğünüz gibi program "History" ve "Cookies" lerimizi çekiyor. (Kayıtlı şifrelerimiz , kullanıcı adlarımız vs. Şüphe git gide artıyor...)

"BEHAVİOR" kısmından devam ediyoruz ;



İşte geldik en önemli kısma hatırlarsanız ilk başlarda bir isim söylemiştik ve ne iş yaptığını çözememiştik (mscvin.exe)

İşte bu mscvin.exe kendini başlangıça ekleyip : "C:\Program Files\Mscvin.exe" buraya kopyalıyormuş demek ki. (Başlangıç'a eklenen dosyalar çok önemlidir. Çünkü genelde keylogger veya ratlar da startup özelliği aktif olur. Buda şu demektir, server silinse bile başlangıça başka bir program eklediği için kişi, server'i sildim kurtuldum sanar fakat başlanıça eklenen exe yüzünden tekrardan virüs kurbanı olur Olay bu şekildedir.)

"BEHAVİOR" kısmından devam ediyoruz ;



Burda ise görmüş olduğunuz gibi bazı windows özelliklerini program kendisi kapatmaktadır.(security center , WinDefend ,firewall...)

Ve calc.exe olan şey ise windows hesap makinesidir. Yani programı açtığımız zaman program ile birlikte calc.exe de açılıcaktır. Bunu binderlenmiş bir resim dosyası gibi düşünebilirsiniz.

Çok basit bir işte olsa sizlere neyin ne olduğunu kısa bir şekilde anlatmak istedim hepinize teşekkürler, iyi forumlar











___________________________________________

- Siyah Kaplumbağa -

- Reverse Engineering -

Konu Black Turtle tarafından ( 4 Hafta önce Saat 10:28 ) değiştirilmiştir..
 Offline  
 
Alıntı ile Cevapla
Alt 18-04-2019 20:50   #2
  • Asteğmen
  • Üye Bilgileri
Üyelik tarihi
02/2019
Nereden
Derinlerden
Mesajlar
Konular
3

Teşekkür (Etti): 15
Teşekkür (Aldı): 1




Hocam artık bizde Keylogger analiz yapabiliriz



___________________________________________

Zalime karşı cesaret esarete karşı Hürriyet...

 Offline  
 
Alıntı ile Cevapla
Alt 18-04-2019 20:53   #3
  • Üsteğmen
  • Üye Bilgileri
Üyelik tarihi
03/2019
Mesajlar
Konular

Teşekkür (Etti): 62
Teşekkür (Aldı): 95




Hocam eğlenceli bir şekilde anlatmışsınız sağolun artık biz de şüphelendiğimiz dosyaları vs. analiz edebileceğiz



___________________________________________

“Bu Ülkeye 5 kuruş katkın yoksa 10 kuruşluk zarar Verme!”
Bir Hacker.
 Offline  
 
Alıntı ile Cevapla
Alt 19-04-2019 19:56   #4
  • Analiz Ekibi
  • Üye Bilgileri
Üyelik tarihi
01/2015
Nereden
Remote Admin
Mesajlar
Konular

Teşekkür (Etti): 995
Teşekkür (Aldı): 1761




Saolun arkadaşlar en kısa sürede apk malware analiziyle ilgilide bir konu açıcam.



___________________________________________

- Siyah Kaplumbağa -

- Reverse Engineering -
 Offline  
 
Alıntı ile Cevapla
Alt 2 Hafta önce   #5
  • Yüzbaşı
  • Üye Bilgileri
Üyelik tarihi
03/2018
Nereden
İstanbul
Mesajlar
Konular

Teşekkür (Etti): 65
Teşekkür (Aldı): 206




Hocam virustotal exe dosyasına giriyorum sadece details kısmı açılıyor behavior falan kapalı bunu nasıl çözebilirim?



___________________________________________

Ey Türk !
Vur vatanın bakirlerine
Günahkar gömleği biçenleri vur
Kemikten taslarla şarap yerine
Şehitler kanını içenleri vur.

Vur aşkın ve hakkın zaferi için
Vur senden bak dünya bunu istiyor
Vur yerde bak tarih senin seyircin
Vur gökten bak Allah sana vur diyor
 Offline  
 
Alıntı ile Cevapla
Alt 2 Hafta önce   #6
  • Analiz Ekibi
  • Üye Bilgileri
Üyelik tarihi
01/2015
Nereden
Remote Admin
Mesajlar
Konular

Teşekkür (Etti): 995
Teşekkür (Aldı): 1761




Alıntı:
ByPerPer´isimli üyeden Alıntı Mesajı göster
Hocam virustotal exe dosyasına giriyorum sadece details kısmı açılıyor behavior falan kapalı bunu nasıl çözebilirim?
Behavior kısmı her zaman acilmiyor, bu yuzden vt ye çok güvenmeksizin sanal PC ile dinamik analiz yapmamız gerekiyor.
Hybird analiz vt ye göre bı tik daha iyidir aklınızda bulunsun
@ByPerPer



___________________________________________

- Siyah Kaplumbağa -

- Reverse Engineering -
 Offline  
 
Alıntı ile Cevapla
Alt 2 Hafta önce   #7
  • Asteğmen
  • Üye Bilgileri
Üyelik tarihi
03/2019
Mesajlar
Konular

Teşekkür (Etti): 38
Teşekkür (Aldı): 3




Alıntı:
Black Turtle´isimli üyeden Alıntı Mesajı göster
Behavior kısmı her zaman acilmiyor, bu yuzden vt ye çok güvenmeksizin sanal PC ile dinamik analiz yapmamız gerekiyor.
Hybird analiz vt ye göre bı tik daha iyidir aklınızda bulunsun
@ByPerPer
Peki exe'de AntiVirtualPC varsa ?
 Offline  
 
Alıntı ile Cevapla
Alt 2 Hafta önce   #8
  • Analiz Ekibi
  • Üye Bilgileri
Üyelik tarihi
01/2015
Nereden
Remote Admin
Mesajlar
Konular

Teşekkür (Etti): 995
Teşekkür (Aldı): 1761




Alıntı:
mamo434376´isimli üyeden Alıntı Mesajı göster
Peki exe'de AntiVirtualPC varsa ?
AntiVirtualPC Veya Anti Sandboxie olduğu zaman program genellikle açılmıyor hata veriyor. Bu gibi durumlarda dahada şüphelenip ya direk konuyu siliyoruz yada vt, hybird gibi malware analiz sitelerinden analizlerimizi yapıp ona göre değerlendiriyoruz.

Özetle "Statik" analiz yapıp değerlendiriyoruz.

@mamo434376



___________________________________________

- Siyah Kaplumbağa -

- Reverse Engineering -
 Offline  
 
Alıntı ile Cevapla
Teşekkür

InSpy Teşekkür etti.
Cevapla

Bookmarks

Seçenekler


Bilgilendirme Turkhackteam.net/org
Sitemizde yer alan konular üyelerimiz tarafından paylaşılmaktadır.
Bu konular yasalara uygunluk ve telif hakkı konusunda yönetimimiz tarafından kontrol edilse de, gözden kaçabilen içerikler yer alabilmektedir.
Bu tür konuları turkhackteamiletisim [at] gmail.com mail adresimize bildirebilirsiniz, konular hakkında en kısa sürede gerekli işlemler yapılacaktır.
Please Report Abuse, DMCA, Harassment, Scamming, Warez, Crack, Divx, Mp3 or any Illegal Activity to turkhackteamiletisim [at] gmail.com

Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz.
Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.



         

Powered by vBulletin® Copyright ©2000 - 2019

TSK Mehmetçik Vakfı

Türk Polis Teşkilatını Güçlendirme Vakfı

Google+
Pomeranian Boo
Siber Güvenlik
sosyal medya bayilik paneli

wau