İPUCU

Zararlı Yazılım Analizi Zararlı Yazılım Analizi , CrackMe gibi uygulamaların paylaşıldığı bölüm.

Seçenekler

Basic Dynamic Malware Analysis #VB6Coder

30-03-2019 16:33
#1
VB6Coder - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
01/2017
Nereden:
Paris.
Mesajlar:
89
Teşekkür (Etti):
3
Teşekkür (Aldı):
14
Konular:
19
Dynamic Malware Analyse : Hedef yazılımı çalıştırarak, zararlı olduğunu anlamak.

Kısaca (malicious software) Malware nedir : Bilgisayar sistemlerine zarar vermek, kayıtlı bilgileri çalmak ya da bilgisayar kullanıcılarını rahatsız etmek amacıyla hazırlanmış olan kötü amaçlı yazılımlar.

Malware çeşitlerini sıralıyalım : Adware, Spyware, Ransomware, Worm, Trojan, Rootkit, Backdoors, Keyloggers ;

Malware analizi hakkında bilginiz yoksa bu konu'yu inceleyebilirsiniz :
Malware Analizi Nedir ? / SeNZeRo

Başlamadan önce arkadaşlar, dikkat etmeniz gereken şunlardır ; Zararlı yazılımı çalıştırarak analiz ediceğimiz için, bilgisayarınıza geçici veya kalıcı zarar verebilir, bu yüzden lütfen sanal bilgisayar dediğimiz VirtualBox veya Vmware kullanınız.

not : OLUŞABİLECEK BÜTÜN SORUNLAR KULLANICIYA AİTTİR, TURKHACKTEAM.ORG SORUMLU TUTULAMAZ.

Öncelikle analiz ediceğimiz .exe'nin saf halini görelim :



Şimdi'de açmadan önce StartUP + Regedit ve %temp% dosyalarını canlı izliyelim, bunu yapma sebebimiz real-time exe'nin oluşturduğu yolları ve dosya'lari görmek(tabiki bu işlemi yapmadan önce dosya ayarlarından gizli dosyaları görme seçeneğimizi aktif ediyoruz belki .exe gizli işlem yapabilir.

Gördüğünüz gibi .exe'yi çalıştırmadım ve bu dosyalar ve yollar boş :




Şimdi'de çalıştıralım .exe'mizi ve olucak işlemleri takip edelim ve zarar vermicek bir uygulama neden bunları yapsın hep beraber düşünelim :




Yukarıdaki resimi hep beraber yorumlıyalım, .EXE'yi çalıştırmadan önce startup dosyası + regedit startup + sağda gördüğünüz bayrak temizdi ama .EXE'yi çalıştırdıktan sonra microsoft startup + regedit startup "mscvin.exe" adındaki uygulamayı başlangıca ekledi ve sağdaki bayrak kırmızılaştı sebebi .EXE UAC yani kullanıcı yönetim kurallarını değiştirdi ve güvenlik duvarı dediğimiz firewall'ı devre dışı bıraktı.

ZARARSIZ BİR .EXE neden bunları yapsın ?
Başlangıca eklenme amacı bilgisayar her çalıştığında uygulamanın bilgisayarla birlikte açılması ve zarar vermek istiyen kişiye bilgi yollaması.

UAC ve Firewall'ı devre dışı bırakma amacı, bilgisayar her açıldığında rahatlıkla bağlantı gitmesi eğer program UAC devre dışı bırakılmasaydı bilgisayar çalıştığında mscvin.exe çalışsınmı uyarısı verirdi ve her kullanıcının yapacağı gibi hayır seçeneğini seçmek olurdu amaç bunu sorgusuz çalıştırmak.

----------------------------------------------------------------------------------------------------------
Şimdide CPORTS uygulaması sayesinde .EXE'miz herhangi bir IP adress ve PORT açıyormu, bağlantı kuruyormu diye bakalım.




Görebildiğiz gibi .exe'nin bir ip addresi mevcut ve port açıyor + bağlantı kuruyor, bunun zarar vermeye niyetli olan kişinin bilgileri olabilir.

Portları iyi tanımalısınız arkadaşlar, 1604 bilindiği gibi DARKCOMET, 81 felan yani portları tanırsanız hertürlü anlıyabilirsiniz zararlı .exe'yi.

----------------------------------------------------------------------------------------------------------
Arkadaşlar, tabiki yeni arkadaşlar için malware analizi basit olmasa gerek ama yıllardır sanal ortam'da virüs işinde uğraştığımız için artık az çok hiç açmadan bile virüs'leri tanıyabiliyoruz yılların verdiği gözlem.

Hiç açmadan anlıyabilmek için statik analiz yapmak lazım, statik analiz için Phemis arkadaşımın statik analiz konusunu okuyabilirsiniz.

STATİK ANALİZ : PHEMIS

SON OLARAK EMİN OLMAK İÇİN HİTMAN-PRO real-time taramasından geçirelim ve bakalım.



Gördüğünüz gibi TROJAN imzası verildi, bazen antivirüsler yanılabilir, en zararsız programı bile zararlı gösterebilir ama bu bazen.

Analiz yaparken kendinize güvenin, birşeyden şüphelenirseniz daha detaylı araştırın ve gerekli bütün analizleri(dinamik & startik) yapın arkadaşlar, .exe'yi çok iyi takip ediniz.

ANALİZ ETTİĞİNİZ .EXE ÇOK AÇIK VERDİĞİ İÇİN FAZLA İŞLEM YAPMAYA GEREK DUYMADIM AMA BAZEN ÇOK GÜZEL VE İNANDIRICI SENARYO'LARLA TROJAN'A MARUZ KALABİLİRSİNİZ, VE İŞTE O ZAMAN İŞLER DAHA ZORLAŞIR.

SON OLARAK EXE'nin VirusTotal taramasi :

Kullanıcı İmzası
0-day.
Konu VB6Coder tarafından (30-03-2019 16:37 Saat 16:37 ) değiştirilmiştir.
WhiteRed, Black Turtle, Phemis, Hichigo Teşekkür etti.

24-04-2019 12:27
#2
cemx42 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
06/2018
Yaş:
19
Mesajlar:
287
Teşekkür (Etti):
11
Teşekkür (Aldı):
24
Konular:
12
murat bunla sadece basic malware analist yapabilirsin biliyorsun değil mi
illa startupa kendini atacak diye bişe yok

ya bir bat dosyası oluşturup hizmet olarak yüklerse kendini

sana önerim api monitor nedir araştır

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı