Fileless Malware
-
Selamlar arkadaşlar, fileless malware'ları incelemeye çalışıyorum. Bu konuda veya konsept olarak bu tür malware'lara yakın türde yapılan çalışmaları merak ediyorum. Bu konuda çalışma yapan insanları nasıl bulurum? Tavsiye ettiğiniz kitaplar var mı? Kaynaklar, insanlar ve diğer dikkate değer şeylerin peşindeyim
Powershell öğreniyorum fileless geliştirmede kullanmak için.
Hepinize sevgilerle.
-
-
end bunu yazdı
teşekkür ederim, kaynak kodlara bakacağım.
-
Hiç anlamadığım ve bilmediğim için soruyorum:.
Bu fileless sistemler bir exe'nin içinde gelip kendini servis olarak ekliyor ve sonrasında mevcut çalışan exe'lere ram'den çalışan bir dll ekleyerek diskte dosya barındırmıyor. teknik dökümandan anladığım şey bu kadar :)
Eğer böyle ise; exe'yi tıkladık, içindeki dosyalar ile servis oluşturdu, dll'yi exe'lere inject etti, kaynak dosyalar kendini sildi. peki pc'yi kapatıp açınca nasıl kalıcı olacak?
-
NoktaliVirgul bunu yazdı
Hiç anlamadığım ve bilmediğim için soruyorum:.
Bu fileless sistemler bir exe'nin içinde gelip kendini servis olarak ekliyor ve sonrasında mevcut çalışan exe'lere ram'den çalışan bir dll ekleyerek diskte dosya barındırmıyor. teknik dökümandan anladığım şey bu kadar :)
Eğer böyle ise; exe'yi tıkladık, içindeki dosyalar ile servis oluşturdu, dll'yi exe'lere inject etti, kaynak dosyalar kendini sildi. peki pc'yi kapatıp açınca nasıl kalıcı olacak?
Hocam benim gördüğüm ve anladığım biraz daha farklı; Regedit programı ve içindeki registry değerleri ram e ilk yüklenen olduğu için hedef bu olarak biliyorum. Kapanınca ve tekrar açılınca registry değerleri tekrar ram e yükleniyor. Yani dll i registry'ye yüklemek ve oradan çağırmak şeklinde biliyorum. bunu yapacak program ise ufak 8-10 satırlık bir şey bile olabiliyor.
-
fileless malware'de bir dosyadan söz edilmez. Olayın aslı güvenlik açıklarına dayanır. Özellikle zeroday exploit gibi durumlarda ölümcüldür.
Asıl mantık sistemin kendi yetkilerini kullanarak size bir kapı (shell, ssh, ftp...) açması olacaktır.Örneğin; eski windowslarda autoexec.bat dosyası içindeki komutlar sistem başlarken çalıştırılırdı. autoexec.bat içerisine "format c: /q" satırını eklemeniz tüm c hdd formatlayacaktır ve bunu av algılayamaz.
veya powershell .net kütüphanesine erişebilir ve basit bir powershell scripti ile arka planda bütün diski ftp'ye açabilir ve uzaktan bağlanabilirsiniz. Bunu 1 kb.lık scripti sistem autorun koyarsan sessiz sedasız çalışır.Bu nedenler AV'ler artık firewall, malware gibi bir sürü extralarla geliyor.
-
cukurova bunu yazdı
fileless malware'de bir dosyadan söz edilmez. Olayın aslı güvenlik açıklarına dayanır. Özellikle zeroday exploit gibi durumlarda ölümcüldür.
Asıl mantık sistemin kendi yetkilerini kullanarak size bir kapı (shell, ssh, ftp...) açması olacaktır.Örneğin; eski windowslarda autoexec.bat dosyası içindeki komutlar sistem başlarken çalıştırılırdı. autoexec.bat içerisine "format c: /q" satırını eklemeniz tüm c hdd formatlayacaktır ve bunu av algılayamaz.
veya powershell .net kütüphanesine erişebilir ve basit bir powershell scripti ile arka planda bütün diski ftp'ye açabilir ve uzaktan bağlanabilirsiniz. Bunu 1 kb.lık scripti sistem autorun koyarsan sessiz sedasız çalışır.Bu nedenler AV'ler artık firewall, malware gibi bir sürü extralarla geliyor.
Teşekkür ederim hocam paylaştığın şeyler için. Paylaştıkların işime yarayacağı için mutlu ettin beni.