Fileless Malware

  1. KısayolKısayol reportŞikayet pmÖzel Mesaj
    Dark_Lord
    Dark_Lord's avatar
    Kayıt Tarihi: 23/Ağustos/2005
    Erkek

    Selamlar arkadaşlar, fileless malware'ları incelemeye çalışıyorum. Bu konuda veya konsept olarak bu tür malware'lara yakın türde yapılan çalışmaları merak ediyorum. Bu konuda çalışma yapan insanları nasıl bulurum? Tavsiye ettiğiniz kitaplar var mı? Kaynaklar, insanlar ve diğer dikkate değer şeylerin peşindeyim

    Powershell öğreniyorum fileless geliştirmede kullanmak için.

    Hepinize sevgilerle.


    "biz televizyon izleyerek, milyonerler, sinema tanrıları, rock yıldızları olacağımıza inanarak büyüdük ama olamayacağız... hepimiz heba oluyoruz... bütün bir nesil benzin pompalıyor, garsonluk yapıyor ya da beyaz yakalı köle olmuş... reklamlar yüzünden araba ve kıyafet peşindeyiz... nefret ettiğimiz işlerde çalışıyor, gereksiz şeyler alıyoruz..
  2. KısayolKısayol reportŞikayet pmÖzel Mesaj
    end
    end's avatar
    Kayıt Tarihi: 16/Ekim/2016
    Erkek

    https://github.com/bytecode77/r77-rootkit


    0x0480 takilin madem ﷽﷽﷽
  3. KısayolKısayol reportŞikayet pmÖzel Mesaj
    Dark_Lord
    Dark_Lord's avatar
    Kayıt Tarihi: 23/Ağustos/2005
    Erkek

    teşekkür ederim, kaynak kodlara bakacağım.


    "biz televizyon izleyerek, milyonerler, sinema tanrıları, rock yıldızları olacağımıza inanarak büyüdük ama olamayacağız... hepimiz heba oluyoruz... bütün bir nesil benzin pompalıyor, garsonluk yapıyor ya da beyaz yakalı köle olmuş... reklamlar yüzünden araba ve kıyafet peşindeyiz... nefret ettiğimiz işlerde çalışıyor, gereksiz şeyler alıyoruz..
  4. KısayolKısayol reportŞikayet pmÖzel Mesaj
    NoktaliVirgul
    NoktaliVirgul's avatar
    Kayıt Tarihi: 02/Temmuz/2007
    Erkek

    Hiç anlamadığım ve bilmediğim için soruyorum:.

    Bu fileless sistemler bir exe'nin içinde gelip kendini servis olarak ekliyor ve sonrasında mevcut çalışan exe'lere ram'den çalışan bir dll ekleyerek diskte dosya barındırmıyor. teknik dökümandan anladığım şey bu kadar :)

    Eğer böyle ise; exe'yi tıkladık, içindeki dosyalar ile servis oluşturdu, dll'yi exe'lere inject etti, kaynak dosyalar kendini sildi. peki pc'yi kapatıp açınca nasıl kalıcı olacak? 


    If my calculations are correct, when this baby hits eighty-eight miles per hour... you"re gonna see some serious shit.
  5. KısayolKısayol reportŞikayet pmÖzel Mesaj
    Dark_Lord
    Dark_Lord's avatar
    Kayıt Tarihi: 23/Ağustos/2005
    Erkek
    NoktaliVirgul bunu yazdı

    Hiç anlamadığım ve bilmediğim için soruyorum:.

    Bu fileless sistemler bir exe'nin içinde gelip kendini servis olarak ekliyor ve sonrasında mevcut çalışan exe'lere ram'den çalışan bir dll ekleyerek diskte dosya barındırmıyor. teknik dökümandan anladığım şey bu kadar :)

    Eğer böyle ise; exe'yi tıkladık, içindeki dosyalar ile servis oluşturdu, dll'yi exe'lere inject etti, kaynak dosyalar kendini sildi. peki pc'yi kapatıp açınca nasıl kalıcı olacak? 

    Hocam benim gördüğüm ve anladığım biraz daha farklı; Regedit programı ve içindeki registry değerleri ram e ilk yüklenen olduğu için hedef bu olarak biliyorum. Kapanınca ve tekrar açılınca registry değerleri tekrar ram e yükleniyor. Yani dll i registry'ye yüklemek ve oradan çağırmak şeklinde biliyorum. bunu yapacak program ise ufak 8-10 satırlık bir şey bile olabiliyor.


    "biz televizyon izleyerek, milyonerler, sinema tanrıları, rock yıldızları olacağımıza inanarak büyüdük ama olamayacağız... hepimiz heba oluyoruz... bütün bir nesil benzin pompalıyor, garsonluk yapıyor ya da beyaz yakalı köle olmuş... reklamlar yüzünden araba ve kıyafet peşindeyiz... nefret ettiğimiz işlerde çalışıyor, gereksiz şeyler alıyoruz..
  6. KısayolKısayol reportŞikayet pmÖzel Mesaj
    cukurova
    cukurova's avatar
    Kayıt Tarihi: 21/Aralık/2003
    Erkek

    fileless malware'de bir dosyadan söz edilmez. Olayın aslı güvenlik açıklarına dayanır. Özellikle zeroday exploit gibi durumlarda ölümcüldür.
    Asıl mantık sistemin kendi yetkilerini kullanarak size bir kapı (shell, ssh, ftp...) açması olacaktır.

    Örneğin; eski windowslarda autoexec.bat dosyası içindeki komutlar sistem başlarken çalıştırılırdı. autoexec.bat içerisine "format c: /q" satırını eklemeniz tüm c hdd formatlayacaktır ve bunu av algılayamaz.
    veya powershell .net kütüphanesine erişebilir ve basit bir powershell scripti ile arka planda bütün diski ftp'ye açabilir ve uzaktan bağlanabilirsiniz. Bunu 1 kb.lık scripti sistem autorun koyarsan sessiz sedasız çalışır.

    Bu nedenler AV'ler artık firewall, malware gibi bir sürü extralarla geliyor.

  7. KısayolKısayol reportŞikayet pmÖzel Mesaj
    Dark_Lord
    Dark_Lord's avatar
    Kayıt Tarihi: 23/Ağustos/2005
    Erkek
    cukurova bunu yazdı

    fileless malware'de bir dosyadan söz edilmez. Olayın aslı güvenlik açıklarına dayanır. Özellikle zeroday exploit gibi durumlarda ölümcüldür.
    Asıl mantık sistemin kendi yetkilerini kullanarak size bir kapı (shell, ssh, ftp...) açması olacaktır.

    Örneğin; eski windowslarda autoexec.bat dosyası içindeki komutlar sistem başlarken çalıştırılırdı. autoexec.bat içerisine "format c: /q" satırını eklemeniz tüm c hdd formatlayacaktır ve bunu av algılayamaz.
    veya powershell .net kütüphanesine erişebilir ve basit bir powershell scripti ile arka planda bütün diski ftp'ye açabilir ve uzaktan bağlanabilirsiniz. Bunu 1 kb.lık scripti sistem autorun koyarsan sessiz sedasız çalışır.

    Bu nedenler AV'ler artık firewall, malware gibi bir sürü extralarla geliyor.

    Teşekkür ederim hocam paylaştığın şeyler için. Paylaştıkların işime yarayacağı için mutlu ettin beni.


    "biz televizyon izleyerek, milyonerler, sinema tanrıları, rock yıldızları olacağımıza inanarak büyüdük ama olamayacağız... hepimiz heba oluyoruz... bütün bir nesil benzin pompalıyor, garsonluk yapıyor ya da beyaz yakalı köle olmuş... reklamlar yüzünden araba ve kıyafet peşindeyiz... nefret ettiğimiz işlerde çalışıyor, gereksiz şeyler alıyoruz..
Toplam Hit: 356 Toplam Mesaj: 7
malware fileless malware