THT DUYURU

chat
Zararlı Yazılım Analizi Zararlı Yazılım Analizi , CrackMe gibi uygulamaların paylaşıldığı bölüm.

ugursuz reklam
takipci
Seçenekler

Online Sandboxlar İle Zararlı Yazılım Analizi

"Bin4ry - ait Kullanıcı Resmi (Avatar)
Hunter
Üyelik tarihi:
08/2019
Nereden:
Malware
Mesajlar:
1.263
Konular:
93
Ticaret:
(0) %
20
2088
18-06-2020 17:13
#1
Selamlarr, bu konuda sizlerle @Xowly ile "Online Sandboxlar İle Zararlı Yazılım Analizi" Konusunda
bilgi verip beraber Online sandboxlar araycılığı ile zararlı yazılım analizi yapacağız.

İlk önce "online sandboxlar nedir ?" sorusunu cevaplayayım online sandboxlar bu konumuzda işleyeceğimiz
Virüstotal ve Any Run gibi dosyayı içerisine yüklediğimizde kendi ortamlarında analiz edip bize
sonuçlarını ve ayrıntılarını gösteren platformlara denir. Biz bu platformlarda dosyamızın
zararlı olup olmadığını değerlendiririz.

Bizim işleyeceğimiz yaygın kullanılan 2 Online sandbox vardır bunlardan ilki virüstotal
ikincisi ise any run'dur. Virüs totalda 78 diğer antivirüs ile yüklediğimiz dosyayı tarar
ve bize hepsinin sonucunu yüklediğimiz dosyanın iletişimde olduğu yerleri dosya dropladığı yerleri
orjinal ismini ve birçok bilgisini önümüze getirir, konuda "Virüs Total" kısmını ben "Any Run" kısmını
@Xowly İnceleyecektir.

İnceleyeceğimiz dosyanın indirme Linki: https://mega.nz/file/A74h0brC#C7yKQ2...q7ayxlRBO399vE
Virüs Total Raporu Linki: https://www.virustotal.com/gui/file/...7de3/detection
Any Run Raporu Linki: https://app.any.run/tasks/c9fc86ad-4...-657473e04a79/ (trojenin eski ismi bu olduğu için burda yazan ismi aldırmayın)

Önemli Not: Bu yapacağımız işlemleri sanal makine ile yapmanızı şiddetle öneririm.

Şimdi ilk önce indirip bir bakalım dosyamız nedir necidir.



Dosyamızın ismi "Zararlı yazılım"mış belli olsun diye ismini öyle yaptım çok takılmayalım
şimdi hemen virüs totala sürükleyerek yükleyelim ( https://www.virustotal.com/gui/home/upload )



Şimdi karşımızda şöyle bir ekran geldi kafanız ufaktan karışmış olabilir ama hepsine teker
teker değineceğiz.



İlk olarak yukardaki menüyü anlatayım, üzerinde 66/73 yazan kırmızı biryer var gördünüzmü işte orası
yazılımın 73 antivirüsten geçip 66 anti virüsün bunun zararlı olduğuna karar verdiği anlamına
geliyor, çoğunluk bir oranla zararlı dendiği için kırmızı renkte eğer çoğunluk temiz deseydi
yeşil renkte olurdu.

Sağ tarafta "775.00 KB Size" yazan tarafta dosyanın boyutunu gösteriyor, size bir tüyo vereyim
eğer virüs totaldaki boyut ve indirme linkindeki boyut aynı değilse indirirken sanal makine kullanıp
kendiniz analiz etmelisiniz çünkü en ufak bir boyut farkında işin içine zararlı yazılımlarda girebiliyor.

En sağda EXE yazan bir resim var oda tahmin edebileceğiniz üzere dosyanın uzantısını gösteriyor.



Şimdi alttaki menüden ufaktan bahsedelim, Birazdan ayrıntılarıyla değineceğiz.

Detection kısmında birçok antivirüs tarafından yapılan taramaların sonuçlarını görüyoruz.
Details kısmında yazılım ile alakalı detaylar veriliyor.
Relations kısmında yazılımın grafik haritası ve iletişimde olduğu yerlerin güvenlik raporları yer alıyor.
Behavıor kısmında programın bağlantıda olduğu yerler ve yaptığı işlemler gösteriliyor.
Communıty kısmında programı daha önce inceleyen analizciler tarafından yapılan yorumlar yer alıyor.



Şimdi birlikte "detection" kısmına bakalım,
ilk gözümüze çarpan birçok antivirüs firmasının
bunu trojan, backdoor gibi zararlı yazılımlar olarak tespit etmesi. Ama biz analizimizi sadece
bu seçeneklere dayanarak yapamayız bir kere hata olur. Crypterlerin ne olduğunu hepimiz biliyoruzdur
bir dosyanın virüs programlarından temiz olarak geçmesi için dosyayı cryplayan programdır, biz
bir cryptere yüklenmiş programı virüstotala atarsak az sonuç gösterecektir yani crypter virüs totalı
ve sizin antivirüs programlarınızı yanıltacaktır. Böyle durumlarda programları kendimizin analiz etmesi
hayati önem taşıyor.



Şimdi zaman kaybetmeden "details" bölümüne bi bakınalım.

İlk karşımıza çıkan kısım "Basic Properties" kısmı olacaktır bu kısımda sırasıyla yazılımın md5, sha-1,
sha-256 hashları karşımıza çıkacak bu hashlar ne işe yarıyor derseniz dosyanın bütünlüğünü doğrulamak
veya virüs totala yüklenen dosyanın tekrar upload edilmesini engelleyip direkt sonuçları sunmak amacı ile
kullanılıyor. Hashlarla ve bu bölümle pek işimiz yok o yüzden diğer kısma atlayalım hemen



History kısmında sırasıyla oluşturulma tarihi, ilk ve son erişim tarihi ve son analiz tarihi yer alıyor,
burda dikkat etmemiz gereken şey eğer programımız piyasaya yeni çıkan bir program ise Creation Time bölümününde
First submisson'a yakın bir tarih olmalı, yeni çıkmasıda şart değil her türlü creation time ile first submisson
tarihleri birbirine yakın olmalıdır.



Names kısmına bakalım şimdi burda dosyaya verilen isimle yazıyor ilk isim bizim verdiğimiz isim olan "Zararlı Yazılım.exe"
ama diğer isimlere bakınca zurnanın zart dediği yere geliyoruz. MSRSAAPP ve MSRSAAP.EXE isimleri karşımıza çıkıyor bu isimler
darkcomet rat'ın default isimleri burda zaten hemen olayı çakıyoruz ama devam ediyoruz %95 zararlı olsada bir ihtimal yazılımın
sahibi programa bu ismi vermiş olabilir.



File version ınformation kısmına baktığımızda yazılımımızın versiyon bilgisi orjinal ismi gibi bilgilere ulaşıyoruz bunları yorumlayalım.
Product kısmında "Remote Service Application" yazmasıda bizim rat olma seçeneğine verdiğimiz artılardan biri.
orjinal ismine bakınca yukarda dediğim gibi darkcomet ratın default ismi olan "MSRSAAPP.EXE"ye ulaşıyoruz.



İmports kısmına baktığımızda yazılıma dahil edilen dll dosyalarını görüyoruz, burdaki dll'ler bir bakıma bizim için önemli,

Kernel32.dll malware yazılımlarinın sıkça kullandığı bu dll hafıza dosya ve donanima erişimi manipule etmek için kullanılır.

AdvApi.dll registy'e erişimi manipüle etmek için kullanılır.

GDI32.dll yazılımın grafiklerini manipüle etmek için kullanılır.

Shell32.dll komut satırında kodlarımızı çalıştırmak amacı ile kullanılır.



Şimdi sıra geldi "Relations" bölümüne bakmaya.
Contacted url ve contacted domain bölümü karşımıza çıkıyor, bu programın iletişimde olduğu bağlantıların taramalarını
görebiliriz arada burda olduğu gibi hata yapıp domaini güvenli diye işaretleyebilir burayı pek takmayalım.



Graph summary bölümünden yazılımın grafiksel şemasını görebiliriz,
burda 1 domain birde url il yazılımın bağlantı kurduğunu görüyoruz



"Behaivor" bölümüne girelim,
Network communication kısmına bakınca Http ve dns bağlantılarını görüyoruz yani "deneme.no-ip.org" kısmını görüyoruz
ki bu bağlantı genelde rat kullanımında kendi ip adreslerini gizlemek için kullanılan sitelerden ikincisidir şuan
en sık kullanılan site ise duckdns'dir. burdanda bu yazılımın rat olduğunu tespit ediyoruz.



Files Oppened kısmına geçelim bu kısımda yazılımın açtığı dosyalar veya klasörler gözükür.



Highlighted actions kısmında program içerisinde, VirusTotal'in önemli gördüğü bazı text'leri görüyoruz.



Yazılıma herhangi bir yorum yapılmadığı için "Community" kısmını boş olarak görüyoruz.


Virüs Totala bakınca bu durumlara göre ben yazılıma Zararlı//Darkcomet Rat diyorum.

Bu arada rat tarafımca oluşturulmuş olup iletişim adresi fake'dir o yüzden çalıştırdığınızda korkmanıza gerek yoktur
çünkü programın bilgisayarınıza bir zararı yoktur. Programı görev yöneticisinden durdurup masaüstüne gelen "MSDCSC" isimli
klasörü silerseniz rat bilgisayarınızdan tamamen kaldırılmış olacaktır.




---------------------
This is a "Rozz"
Etiket sistemim çalısmadıgından dolayı konuya etiketlemek yerine özel mesaj atarsanız daha hızlı ilgilenebilirim
Konu "Bin4ry tarafından (21-06-2020 17:17 Saat 17:17 ) değiştirilmiştir. Sebep: Watemark %20 + Any run raporu
Xowly - ait Kullanıcı Resmi (Avatar)
Hunter
Üyelik tarihi:
06/2019
Nereden:
ғ˦
Mesajlar:
713
Konular:
72
Ticaret:
(0) %
20-06-2020 14:50
#2
AnyRun Malware Service Kullanımı ve Hakkında Genel Bilgiler

Kullanılan Siteler: Buraya tıklayarak ulaşabilirsiniz.

Kullanılan Yazılım / Zararlı Dosya: Dosyayı buraya tıklayarak indirebilirsiniz.





Any Run büyük çoğunlukta ücretsiz bir servis olmasının yanı sıra, günlük kullanıma oldukça elverişlidir. Any Run servisini gündelik zararlı yazılım analizlerinizde veya incelemelerinizde rahatlıkla kullanabilirsiniz. Any Run'ın kullanımı basit olmasının yanı sıra sadece bir hesap oluşturmanız yeterlidir.

Ben anlatımım boyunca hesap oluşturma bölümünü anlatmayacağım. Siz hesabınızı kolaylıkla oluşturup işlemlerinize başlayabilir ve inceleme ve analizlerinizi yapabilirsiniz. Yukarıda verdiğim linkten Any Run servisine ulaşabilirsiniz.

Any Run'ı kısaca açıklayacak olursak; Any Run interaktif bir ortamda birçok dosya türünü ve yürütülebilir dosyaları Windows 7 gibi işletim sistemlerinde çalıştırarak bu yazılımlar ve dosyalar üzerinde gerçek zamanlı birçok analiz ve inceleme yapmanızı sağlamaktadır.

Any Run kullanımını gündelik hale getirebilir ve bu sayede dosyalarınızı kolaylıkla inceleyebilirsiniz. Kısacası Any Run bir Online SandBox'dır. SandBox teriminin ne olduğunu yukarıdaki post'da okuduk. Bu yüzden uzatmadan kullanıma ve detaylarına geçiyoruz.




New Task >> Yeni bir işlem başlatmak için kullanılan buton'un ismidir. Bu buton sayesinde yeni işlemler başlatabilirsiniz ve inceleme yapabilirsiniz.

Public Tasks >> Geçmiş'de herkes tarafından görülebilir yaptığınız inceleme, ve analizleri görüntülemeye yarar.

History >> Geçmişte yaptığınız tüm analiz ve incelemeleri detayları ile görüntülemeye işlemi sağlayan buton'un ismidir. Task'lerinizi buradan takip edebilirsiniz.


AnyRun ile Malware Analizi ve Genel Kullanımı Hakkında Bilgiler


AnyRun içerisinde kullanılan tüm butonları, işlem bütünlerini ve AnyRun'ı az önce tanıdık. Şimdi sıra nasıl analiz edebiliriz sorusuna geldi. Bu işlem için ilk olarak AnyRun sitesinin linkine giriyoruz ve karşımıza çıkan ekrandan aşağıdaki butona basıyoruz.

Bu bağlantıya tıkladıktan sonra aşağıdaki gibi bir sayfa ile karşılaşacaksınız. Burada daha önce anlattığım butonlar ile karşılaşıyoruz. Bu butonların ne anlama geldiğini ve ne işe yaradığını temel olarak anladık.



Örneğin "New Task" butonu ile yeni bir analiz işlemi başlatabiliriz. Fakat bu analiz işlemlerinde yapabileceğimiz şeyler kısıtlı. Örneğin yüklediğimiz dosyanın 16 mb'ı geçmemesi gerekli. Bu yüzden yükleyeceğimiz dosyaların boyutuna daha önce bakmalıyız.



Ayrıca dosyamızın boyutuna sağ tık "Özellikler" diyerek baktığımızda aşağıdaki gibi 750kb olduğunu görüyoruz.



Ardından incelemeye geçmek için "New Task" butonuna basıyoruz. Buradan resimdeki kırmızı renkli butona basarak inceleyeceğimiz dosyayı seçiyoruz.



Daha sonrasında seçtiğimiz dosyayı çalıştıracağımız aralıkları seçiyoruz. Çoğu premium özellikler olduğundan ben göstermiyorum. Seçtikten sonra "Run" butonuna basarak çalıştırıyoruz.



Gördüğünüz gibi yazılımımız Windows 7 - 32 bit işletim sisteminde başarıyla çalıştırıldı. Bunun ardından gördüğünüz gibi DNS Requests sekmesinde bir olaylar döndüğünü görüyoruz. Bu yüzden hemen oraya gidiyoruz.


Not: İşlemlerde ve diğer işlem bütünlerinde bazı değişiklikler olmasının sebebi diğer resimlerde yazılımın kısayolu üzerinden gitmemdir. Zaten birşey fark etmiyor, anlatım için.


Gördüğünüz gibi bazı DNS Adresleri ile karşılaşıyoruz. Bu adreslerin yazılım ile alakalı olmadan üçüncü parti bağlantılar olduğunu rahatlıkla görebiliriz.

Not: Yazılımda arayüz olmaması ve herhangi bir ip bağlantısı bulunmaması benim örnek için oluşturduğum bir yazılım olmasından kaynaklanmaktadır.




Ayrıca aşağıdaki sekmelerden kurduğu bağlantıları türüne bakarak görebilirsiniz. Ayrıca "More İnfo" butonuna basarak da işlem bütünü hakkında tüm bilgileri görebilirsiniz.


Gördüğünüz gibi "More İnfo" kısmına girdiğimizde sağ taraftan güncel Event'leri sol taraftan ise dosya hakkında cmd bilgilerini veya indirme linkini görüyoruz.


Evet arkadaşlar bu konumuzda @Rozzz ile birlikte sizlere SandBox Kullanımı'nı anlattık. SandBox'ları sizde bu şekilde kullanabilirsiniz.

Virüs Totel kullanımındaki oranlar kesin olarak zararlı yazılım olduğunu belirtmez. Örneğin bir yazılımın trojen olduğunu belirlemek için herhangi bir bağlantı kurması gereklidir. Bunun için Any Run ortamında analiz yaparken bağlantılar yakalayabilirsiniz.

Daha da ileri düzey analizler için temel tersine mühendislik bilgisi gereklidir. Diğer konularımızda tersine mühendislik ile ilgili konuları da anlatacağız.




Evet Türk Hack Team ailesi konumuz bu kadar. Bir sonraki konumuzda görüşmek üzere. Esenlikler.
Konu Xowly tarafından (21-06-2020 13:36 Saat 13:36 ) değiştirilmiştir.
"Bin4ry - ait Kullanıcı Resmi (Avatar)
Hunter
Üyelik tarihi:
08/2019
Nereden:
Malware
Mesajlar:
1.263
Konular:
93
Ticaret:
(0) %
21-06-2020 16:58
#3
Güncel ++
---------------------
This is a "Rozz"
Etiket sistemim çalısmadıgından dolayı konuya etiketlemek yerine özel mesaj atarsanız daha hızlı ilgilenebilirim
X-Code - ait Kullanıcı Resmi (Avatar)
Deneyimli Moderatör
Üyelik tarihi:
03/2019
Nereden:
Localhost
Mesajlar:
1.354
Konular:
133
Teşekkür (Etti):
211
Teşekkür (Aldı):
407
Ticaret:
(0) %
21-06-2020 16:59
#4
Elinize Sağlık
---------------------
Bazı aşklar Stored XSS gibidir kalıcı olurlar, bazıları da Reflected XSS gibidir, sadece sen görür ve hissedersin, kalıcı değil...
"Bin4ry Teşekkür etti.
'Leroy - ait Kullanıcı Resmi (Avatar)
Stajyer Moderatör
Üyelik tarihi:
07/2016
Nereden:
Rivia
Yaş:
4
Mesajlar:
2.547
Konular:
527
Teşekkür (Etti):
104
Teşekkür (Aldı):
497
Ticaret:
(0) %
21-06-2020 17:04
#5
Muhteşem ekip çalışması , ellerinize sağlık
---------------------

Oyun Kategori Sorumlusu

"Ne güzeldi ümitlerim, kırdı gitti sevdiklerim."
"Bin4ry Teşekkür etti.
Quality38 - ait Kullanıcı Resmi (Avatar)
Pentester & Hunter
Üyelik tarihi:
01/2017
Mesajlar:
1.200
Konular:
207
Teşekkür (Etti):
189
Teşekkür (Aldı):
195
Ticaret:
(0) %
21-06-2020 17:30
#6
Emeğinize sağlık, konu kalite kokuyor.
---------------------
Tabutlara sığmayacak kadar intihar var, şeytanın siparişi
dünyanın ninnisi olmuş sirenler, ya RAB bizi özler!
...
"Bin4ry, HackPanda Teşekkür etti.
Doctor Memotaz - ait Kullanıcı Resmi (Avatar)
Tamamen Askıya Alındı
Üyelik tarihi:
03/2017
Nereden:
SabhatinZaim
Yaş:
21
Mesajlar:
1.308
Konular:
59
Teşekkür (Etti):
0
Teşekkür (Aldı):
530
Ticaret:
(0) %
21-06-2020 17:37
#7
Beğendim
"Bin4ry Teşekkür etti.
whitend06 - ait Kullanıcı Resmi (Avatar)
Senior Pentester & Hunter
Üyelik tarihi:
04/2020
Mesajlar:
18
Konular:
2
Teşekkür (Etti):
9
Teşekkür (Aldı):
63
Ticaret:
(0) %
21-06-2020 17:45
#8
Elinize emeğinize sağlık çok iyi olmuş
"Bin4ry Teşekkür etti.
S9NTX - ait Kullanıcı Resmi (Avatar)
Senior Pentester & Hunter
Üyelik tarihi:
08/2017
Nereden:
CYBERİSTAN
Mesajlar:
5.340
Konular:
1648
Teşekkür (Etti):
654
Teşekkür (Aldı):
518
Ticaret:
(0) %
21-06-2020 17:47
#9
Yine döktürmüşsünüz elinize sağlık
--------------------- EN GUZEL INTIKAM BASARIDIR SENI SEVMEYEN HERKESI UZER

Telegram: @S9NTX
"Bin4ry, HackPanda Teşekkür etti.
Laurange - ait Kullanıcı Resmi (Avatar)
Hevesli Üye
Üyelik tarihi:
08/2017
Nereden:
Bakü
Mesajlar:
3.153
Konular:
256
Teşekkür (Etti):
674
Teşekkür (Aldı):
917
Ticaret:
(0) %
21-06-2020 18:19
#10
Bunu okuyan Avcı olmaya bir adım daha yaklaşmış olur. Ellerinize sağlık beyler.
---------------------
𝓛𝓐𝓤𝑅𝓐𝓝𝓖𝓔
ㄶ ㄷ ㄸ ㄹ ㄺ ㄻ ㄼ ㄽ ㄾ ㄿ ㅀ ㅁ
Konu Laurange tarafından (21-06-2020 18:30 Saat 18:30 ) değiştirilmiştir.
"Bin4ry, HackPanda Teşekkür etti.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler