THT DUYURU

Trojan ve Virüsler Trojan ve Virüsler Hakkında Bilgiler.

chat
Seçenekler

RAT'ın Yılı 2020 // Xowly

Xowly - ait Kullanıcı Resmi (Avatar)
Hunter
Üyelik tarihi:
06/2019
Nereden:
ғ˦
Mesajlar:
568
Konular:
72
Teşekkür (Etti):
528
Teşekkür (Aldı):
329
Ticaret:
(0) %
07-03-2020 12:39
#1
RAT'ın Yılı 2020 // Xowly
Merhabalar, değerli Türk Hack Team ailesi bu gün sizlere "Rat'ın Yılı" konusunu anlatacağım.
Önemli olan başlıkları inceleyelim.




RAT ve Mobil Bankacılık


Çoğu uzman ve şirkete göre 2020 yılı rat'ın yılıdır. Rat son yıllarda analistlere göre mobil bankacılıkta truva atlarının gözlemlendiği bir
kaynak olmaya başlamıştır. Kötü amaçlı yazılımlarda RAT terimi

"Uzaktan Erişim Truva Atı" olarak kullanılmaktadır. Bu nedenle bu çeşit virüslü cihaz ile saldırgan bağlantısı olarak uzaktan kontrol sağlayabilir. Aynı zamanda bu nedenden kötü amaçlı yazılımlar kategorisine girmektedir. Uzaktan erişim, bu yöntem ile SSH veya

RDP (Uzak Masaüstü Protokolü) gibi yerel hizmetler hatta TeamViewer, VNC veya RAdmin gibi yazılımlar kullanılarak farklı yollarla elde edilebilir.


Aynı zamanda bu kontrol çeşitinin temel olarak kötü olmadığını, kullanıcılara destek sağlama gibi amaçlarlada kullanılabilmektedir.

Bazen kötü niyetli saldırganlar kendi kod veya yazılımlarını geliştirerek belirli denetlemelerden kaçmayı amaçlarlar.

Tarihte ilk olarak bu tür yöntemler mobil bankacılıkta kötü amaçlı yazılımlarla bilgileri elde etmek veya suistimal etmek için kullanılmıştır.

Fakat bankacılıkta güvenliklerin ve yazılım tespitlerinin gelişmesiyle saldırganlar için bu durum gittikçe zorlaşmaya başladı.






Bunun ardından saldırganlarda kurbanın cihazını kandırarak tespit mekanizmalarını atlatmak için yöntemler ortaya çıkarmıştır. Fakat önemli olan kurbanın cihazının şifreleme kombinasyonunun
back-connect proxy ile parmak izinin atlatılarak saldırganın gerçek olan kullanıcı gibi gösterilmesidir.

Parmak izi yöntemlerinin kandırılması gibi çözümler bu tür tekniklerin tespit edilmesine olanak sağladı, bu nedenle saldırganlar tekrar yöntemlerde yenilik yapmak zorunluluğunda kaldılar.

Bu durumda ratlar, kurban cihazdan doğrudan bağlantı olanağı sunmaktadır. Bunu yaparak, suçlular, istemci tabanlı bir algılama çözümü olmadan hileli işlemleri tespit etmeyi önemli ölçüde zorlaştırıyor.


Aynı zamanda 2016 yılında karşımıza "Retefe" çıktı. Retefe ile beraber saldırganlar nerdeyse TeamWiewer uygulamasını kötüye kullanarak cihazlar
üzerinde tam yetkiyi elde etti. Daha sonrasında Retefe kötü amaçlı bazı saldırganlar

tarafından yeniden android cihazlara karşı kullanılmaya başlandı. Kısacası kötü amaçlı bu tür yazılımlara karşı çıkan tespit ve kontrol
sistemlerine karşın kötü amaçlı yazılımlarda (Rat gibi) evrimleşme yaşadı.



Cerberus

Diğer kullanımlar enfekte cihazlardan kişisel olarak bilgilerin başarılı bir şekilde çıkarılmasını sağlayan bir
özellik seti sunarken, Cerberus hala çalınan bilgi ve

sahtekarlığın kötüye kullanımı sırasında algılama bariyerini düşürmeye yardımcı olabilecek özelliklerden yoksundu.

2020 Ocak ayı sıralarında Cerberus denetmenleri bu sorunu çözmek amacıyla yeni bir yöntemle geldi. Bu yöntem kod tabanının yeniden

düzenlenmesine ve C2 iletişim protokolünün güncellemelerine tabi tutuldu,

Ancak en önemlisi, rat özelliği, cihaz ekran kilidi kimlik bilgilerini (PIN kodu veya kaydırma deseni) ve 2fa jetonlarını çalma imkanı ile oluşturdu.

TeamViewer oturum açma ve başlatma sorumlu kodu:**

Kod:
String runningPackage = this.lowerPkgName;

if (getNodeFromEvent.contains ("com.teamviewer.host.market")) {

*** AccessibilityNodeInfo kullanıcı adı = AcccesibilityUtils.getNodeFromEvent (event, 
"com.teamviewer.host.market:id/host_assign_device_username");
*** AccessibilityNodeInfo password = AcccesibilityUtils.getNodeFromEvent (event, "com.teamviewer.host.market:id/host_assign_device_password");
*** AccessibilityNodeInfo send = AcccesibilityUtils.getNodeFromEvent (event, "com.teamviewer.host.market:id/host_assign_device_submit_button");
*** if (kullanıcı adı! = null) {
******* this.teamviewerUsername = this.utils.readShPrStr (this, this.strings.connect_teamviewer);
******* if (! this.teamviewerUsername.isEmpty ()) {
*********** this.teamviewerPassord = this.utils.readShPrStr (this, this.strings.password);
*********** this.credsSubitted = yanlış;
*********** this.passwordFilled = yanlış;
*********** this.userFilled = yanlış;
*********** this.permissionStatus = 0;
*********** this.utils.writeShPrStr (this, this.strings.connect_teamviewer, "");
*********** this.utils.writeShPrStr (this, this.strings.password, "");
******* }

}


Kod:
}

*** if (this.permissionStatus == 0) {
******* AccessibilityNodeInfo v7_7 = AcccesibilityUtils.getNodeFromEvent (event, "com.teamviewer.host.market:id/action_bar_root");
******* if (v7_7! = null && AcccesibilityUtils.getNodeFromEvent (event, "com.teamviewer.host.market:id/buttonPanel")! = null) {
*********** this.permissionStatus = 1;
*********** AccessibilityNodeInfo tmButton = AcccesibilityUtils.getNodeFromEvent (event, "
*********** if (tmButton! = null) {
*************** this.acc_utils.clickButton (tmButton);
*********** }

*********** AccessibilityNodeInfo klmCheckBox = AcccesibilityUtils.getNodeFromEvent (event, "com.samsung.klmsagent: id / checkBox1");
*********** AccessibilityNodeInfo klmConfirm = AcccesibilityUtils.getNodeFromEvent (event, "com.samsung.klmsagent: id / btn_confirm");
*********** if (klmCheckBox! = null && this.permissionStatus == 1) {
*************** this.acc_utils.clickButton (klmCheckBox);
*************** this.acc_utils.clickButton (klmConfirm);
*************** this.permissionStatus = 2;
*************** Utils utils = this.utils;
*************** utils.launchPkg (bu, "com.teamviewer.host.market");
*********** }
******* }
*** }

*** if (! this.teamviewerUsername.isEmpty () &&! this.teamviewerPassord.isEmpty ()) {
******* if (kullanıcı adı! = null &&! this.userFilled) {
*********** this.acc_utils.setInput (kullanıcı adı, this.teamviewerUsername);
*********** this.userFilled = true;
******* }

******* if (şifre! = boş &&! this.passwordFilled) {
*********** this.acc_utils.setInput (şifre, this.teamviewerPassord);
*********** this.passwordFilled = true;
******* }

******* if ((this.userFilled) && (this.passwordFilled) &&! this.credsSubended) {
*********** this.permissionStatus = 0;
*********** this.acc_utils.clickButton (gönderme);
*********** this.credsSubended = true;
*********** Dize v0_9 = this.utils.readShPrStr (this, this.strings.hidden);
*********** if (v0_9.equals ("true")) {
*************** this.goBack ();
*********** }
******* }
*** }



Cihazın ekran kilidi kimlik bilgilerinin (PIN ve kilit deseni) çalınmasını sağlayan özellik, kurbanın cihazın kilidini açmasını gerektiren basit bir kaplama ile güçlendirilmiştir.*

Bu ekran kilidi kimlik bilgisi hırsızlığının, oyuncuların kurbanı kullanmadığı zamanlarda sahtekarlık yapmak için cihazın uzaktan kilidini açabilmesi için inşa edildiği sonucuna varabiliriz.

Başarılı olmak için doğru araçları oluşturmak için suçluların yaratıcılığını bir kez daha göstermektedir. Erişilebilirlik ayrıcalıklarını kötüye kullanan Trojan, artık Google Şifrematik uygulamasından 2FA kodları çalabilir.

Uygulama çalışırken, Trojan arayüzün içeriğini alabilir ve C2 sunucusuna gönderebilir. Bir kez daha, bu işlevselliğin OTP kodlarına dayanan kimlik doğrulama hizmetlerini atlamak için kullanılacağını söyleyebiliriz.



Hydra


Root yetkilendirmelerini bir “dropper hizmetleri” olarak gören Hydra, eski saldırı tekniklerini kullanmaktan tamamen kötü amaçlı yazılımına kadar uzun bir yol kat etti. Hala böyle bir kabiliyete sahip olmasına

Rağmen, Şubat 2019'dan itibaren Hydra artık dropper olarak değil, fonksiyonel ve bağımsız bir bankacılık Truva atı olarak kullanılıyor.

Oyuncuların cihazda olup bitenleri gerçek zamanlı olarak görselleştirmelerini sağlayan screencast yetenekleri (Anubis Trojan gibi), aynı zamanda geri bağlanan bir proxy seçeneği ile aktörlerin

virüslü cihazı taklit etmesini ve dolandırıcılık yapmak için kullanmasını sağlar. Diğer bazı özellikler arasında uzaktan uygulama yükleme, uzaktan ekran kilitleme ve Google firebase'i komut işleyici olarak kullanma olasılığı bulunur.

Aşağıdaki ekran görüntüleri, Türkiye'de faaliyet gösteren bankalara karşı kullanılan bazı kaplamaları göstermektedir:







Anibus

Artık resmi olarak desteklenmese de Anubis, Android bankacılık kötü amaçlı yazılımları konusunda hala yaygın bir suçlu seçimi. Hem istemci hem de sunucu kaynak

Kodu ücretsiz olarak herkesin erişimine açık olduğundan, bu bir sürpriz olarak gelmez. Bazı yeni kullanıcılar, değişiklikleri düzeltti, hataları düzeltti ve Truva'nın bazı yönlerini yeraltı forumlarında satmak veya kiralamak için yavaş yavaş geliştirdi.

Bazı Anubis kampanyalarında bazı değişiklikler gözlenmiş olmasına rağmen, bu ikincil satıcılar tarafından önemli bir değişiklik yapılmamıştır. Değişikliklerin çoğu ya bilinen sorunların düzeltilmesi ya da mevcut özelliklerin

İyileştirilmesidir (Google Play Protect'in otomatik olarak devre dışı bırakılması gibi). Ocak 2020'de, bazı yeraltı forumlarında, bir RAT özelliği vaat eden Anubis 2.5'in değiştirilmiş bir sürümünü sunan yeni bir satış yazısı ortaya çıktı:






Çözümlerimiz

Tespit çözümüm - CSD , finansal kuruluşlara çevrimiçi ve ilgili cihazlarının risk durumu hakkında gerçek zamanlı tespit ve gösterim imkanı sunmaktadır.
Bu tespit ve gösterim imkanı tehditlere karşı harekete geçmek için gerekli tüm bilgileri içerir.






Evet Türk Hack Team ailesi konum bu kadar. Bir sonraki konumda görüşmek üzere. Esenlikler.


---------------------
Konu "P4RS tarafından (07-03-2020 19:32 Saat 19:32 ) değiştirilmiştir.
"P4RS - ait Kullanıcı Resmi (Avatar)
Purple Team Lideri
Üyelik tarihi:
01/2017
Nereden:
Balkes
Yaş:
19
Mesajlar:
4.772
Konular:
534
Teşekkür (Etti):
1356
Teşekkür (Aldı):
2737
Ticaret:
(0) %
07-03-2020 19:52
#2
Cevap: RAT'ın Yılı 2020 // Xowly
Ellerine sağlık
---------------------



purple-team@turkhackteam.org

Xowly Teşekkür etti.
Xowly - ait Kullanıcı Resmi (Avatar)
Hunter
Üyelik tarihi:
06/2019
Nereden:
ғ˦
Mesajlar:
568
Konular:
72
Teşekkür (Etti):
528
Teşekkür (Aldı):
329
Ticaret:
(0) %
07-03-2020 21:20
#3
Cevap: RAT'ın Yılı 2020 // Xowly
Alıntı:
"P4RS´isimli üyeden Alıntı Mesajı göster
Ellerine sağlık
Çok teşekkürler liderim
---------------------
'Creative - ait Kullanıcı Resmi (Avatar)
Forumdan Uzaklaştırıldı
Üyelik tarihi:
03/2017
Mesajlar:
3.168
Konular:
95
Teşekkür (Etti):
228
Teşekkür (Aldı):
1094
Ticaret:
(0) %
07-03-2020 23:20
#4
Cevap: RAT'ın Yılı 2020 // Xowly
Emeğine sağlık Xowlyy
Xowly Teşekkür etti.
PourLa - ait Kullanıcı Resmi (Avatar)
Green Team
Üyelik tarihi:
03/2016
Nereden:
Mesajlar:
1.431
Konular:
290
Teşekkür (Etti):
437
Teşekkür (Aldı):
468
Ticaret:
(0) %
08-03-2020 14:44
#5
Arrow
Cevap: RAT'ın Yılı 2020 // Xowly
Ellerin sağlık güncel hayattakı konuya parmak basman çok güzel olmuş
---------------------
PourLa
Html/Css > Python > C ve C++
( }-----{ TÜRK HACK TEAM }-----{ )
Twitter | Telegram | İnstagram
Konu PourLa tarafından (08-03-2020 14:47 Saat 14:47 ) değiştirilmiştir.
Xowly Teşekkür etti.
azezaq - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
04/2015
Nereden:
Baki
Mesajlar:
91
Konular:
30
Teşekkür (Etti):
30
Teşekkür (Aldı):
3
Ticaret:
(0) %
08-03-2020 15:26
#6
Cevap: RAT'ın Yılı 2020 // Xowly
anibus 2.5 var kim isterse veririm
Xowly - ait Kullanıcı Resmi (Avatar)
Hunter
Üyelik tarihi:
06/2019
Nereden:
ғ˦
Mesajlar:
568
Konular:
72
Teşekkür (Etti):
528
Teşekkür (Aldı):
329
Ticaret:
(0) %
08-03-2020 18:31
#7
Cevap: RAT'ın Yılı 2020 // Xowly
Alıntı:
THE HACKER 21´isimli üyeden Alıntı Mesajı göster
Emeğine sağlık Xowlyy
Alıntı:
PourLa´isimli üyeden Alıntı Mesajı göster
Ellerin sağlık güncel hayattakı konuya parmak basman çok güzel olmuş
Çok teşekkür ederim arkadaşlar
---------------------

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler