Hesap Oluştur


Konuyu Oyla:
  • Derecelendirme: 0/5 - 0 oy
  • 1
  • 2
  • 3
  • 4
  • 5
İnjecte Edilen Backdoor Analiz Tespiti

#1
Bu konumuzda SpyNet Rat’tan çıkma ve aşağıdaki anti özelliklerini taşıyan bir zararlının sanal ortamda, sistem seviyesinde ve network seviyesinde nasıl analiz edildiğini göstermeye çalışacağım. Bu makalede zararlının yapılandırdığımız tuzaklara aşama aşama nasıl takıldığını göreceğiz.

Anti Sandboxie
Anti Virtual PC
Anti VMWare
Anti VirtualBox
Anti ThreatExpert
Anti Anubis
Anti CWSandbox
Anti JoeBox
Anti Norman Sandbox
Anti SoftIce
Anti Debugger

Şimdi şöyle bir söz vardır aslında, hasta olduktan sonra alınan ilacın bir faydası olmaz, önemli olan hasta olmadan önlemini almaktır.

Bizde gerek fiziksel makinalarımızda, gerekse sanal lab. sistemlerinde gerekli önlemleri daha önce alıyoruz zaten. Aşağıdaki alanlarda aldığımız önlemler sayesinde zararlıyı adım adım izleyeceğiz.

Startup Programs; Başlangıca yerleşen ve her sistem açılışında çalışacak uygulamaların/programların gözlemi.
Active Tasks; O anda aktif durumda çalışan uygulamaların/programların gözlemi.
Hidden Files; Gizli dosya olarak sisteme inject olan dosyaların gözlemi.
Recent; En son yapılan işlemlerdeki hareketliliğin gözlemi.

Yukardaki saydığım 4 alandaki gözlemlerimizle yola çıkarak zararlıyı sistemde adım adım takip edeceğiz vede anti olarak özellik taşıyan rat server’ın bizi durduramadığını göreceğiz. Aslında olayı şu şekilde özetlemek gerekiyor, anti sanal özellikleri vb. durumları olan zararlı, aynen fiziksel makinada ki gibi windows’un hiçbir alanında görünmeyen ve antilere yakalanmayan özellikler taşıması demektir. Akabinde zaten windows’un ve windows’a yakın yazılımlarla bu tip zararlıları tesbit etmek için çabalamakta yersizdir.


Resim, takriben 24% (500x156) ölçeklenmiştir. Orjinal boyutta (654x203) görmek için bu çubuğa tıklayın. Yeni bir pencerede açmak için resme tıklayın.
[Resim: 1809c8.png]

İlk önce sistemde aktif olarak çalışan uygulama/programlara bakıyoruz vede tek tek kontrol ediyoruz. Ben bu kontrolümde sistemde çalışmadığı halde çalışıyor gibi görünen şüpheli bir programı tesbit ediyorum. Bu program google chrome tarayıcıdır. Bu tarayıcının pid değeri 2488’dir bunu unutmuyorum.


Resim, takriben 21% (500x116) ölçeklenmiştir. Orjinal boyutta (632x146) görmek için bu çubuğa tıklayın. Yeni bir pencerede açmak için resme tıklayın.
[Resim: 254e06.png]

Hemen arkasından en son sistem tarafından algılanan işlemler tarafına bakıyorum ve chrome.exe’nin aktif olarak çalıştığını görüyorum. Lakin chdome.exe den sonrada sisteme 4 kalem cftmon.exe adında bir işleyişin inject olduğunu tesbit ediyorum. Burada kafamı karıştıran durum şudur. Chrome.exe nin tesbit edilme tarihi ile cftmon.exe işleyişlerinin tesbit edilme tarihleri birbirini tutmuyordu. Burada acaba chrome.exe gerçek bir işleyişmidir diyede kendime sormadan geçemiyorum.


Resim, takriben 22% (500x146) ölçeklenmiştir. Orjinal boyutta (638x186) görmek için bu çubuğa tıklayın. Yeni bir pencerede açmak için resme tıklayın.
[Resim: 338e99.png]

Bu aşamada başlangıçta çalışan uygulama ve programların durumunu denetlediğimde chrome.exe yi burada göremiyorum. Lakin cftmon.exe yi burada tesbit ediyorum. Ama son eklenen değerler kısmında 4 kalem cftmon.exe vardı, bir adette chrome.exe şüphelide olsa görünüyordu, ama başlangıç durumunda neden 3 adet cftmon.exe vardı ? Neden chrome.exe görünmüyordu ? Ama chrome.exe neden aktif olarak çalışıyordu ?


Resim, takriben 21% (500x116) ölçeklenmiştir. Orjinal boyutta (631x146) görmek için bu çubuğa tıklayın. Yeni bir pencerede açmak için resme tıklayın.
[Resim: 483ef5.png]

Tekrar en son işlemler tarafına bakıyorum ve cftmon.exe işleyişlerinden birinin gizli dosya olarak çalıştığını, bu sayede başlangıçta görünmediği, ve yine akabinde başlangıçta görünmeyen chrome.exe ile bir bağı olduğunu düşünüyorum.


Resim, takriben 24% (500x111) ölçeklenmiştir. Orjinal boyutta (657x145) görmek için bu çubuğa tıklayın. Yeni bir pencerede açmak için resme tıklayın.
[Resim: 577fa3.png]

Bu aşamada ise gizli dosyaları kontrol ettiğimde cftmon.exe dosyalarının birinin gerçekten gizli olarak çalıştığını tesbit ediyorum.


Resim, takriben 24% (500x156) ölçeklenmiştir. Orjinal boyutta (654x203) görmek için bu çubuğa tıklayın. Yeni bir pencerede açmak için resme tıklayın.
[Resim: 60ffbf.png]

Hemen akabinde chrome.exe ile gizli olarak çalışan cftmon.exe dosyasının bir bağı varmı diyerek aktif çalışan dosyaları tekrar kontrol ediyorum ve daha öncede tesbit ettiğim 2488 pid değerini kaydediyorum.


Resim, takriben 34% (500x155) ölçeklenmiştir. Orjinal boyutta (750x232) görmek için bu çubuğa tıklayın. Yeni bir pencerede açmak için resme tıklayın.
[Resim: 7f9cdc.png]

Bu aşamada ise sistemde gerçek bir chrome tarayıcı çalıştırıp 2488 pid değerini kontrol ediyorum. Sol taraftakinin gerçek chrome, sağ taraftaki ise sahte chrome olduğunu anlıyorum. Ama bu nasıl olabiliyordu ? Nasıl sahte bir chrome gerçekmiş gibi sistemde çalışabiliyordu ?

Bu aşamada saldırganın uzak adresini, kullandığı portu, kurbanın adını ve saldırganla kurbanın arasındaki veri trafiğinin şifreli olduğunu anlıyoruz. Ama yinede memory bellek dökümünde keylogger hareketleri gözümüzden kaçmıyor. Eğer sanal sistemde sıradan bir kullanıcı konuşmalar yapmış olsaydı yada daha aktif bir kullanıcı olsaydı bu alana konuşmalarda dökülebilirdi.


Resim, takriben 1% (500x342) ölçeklenmiştir. Orjinal boyutta (505x345) görmek için bu çubuğa tıklayın. Yeni bir pencerede açmak için resme tıklayın.
[Resim: 13303e6.png]

Bu aşamada ise yine memory bellek dökümünden elde ettiğimiz keylogger’ın çalışma şekli, logları hangi seviyede aldığı bilgilerine ulaşıyoruz. Memory dökümünü daha fazla kurcalamak istemedim, eğer daha fazla kurcalasaydım daha çok bilgiye ulaşabilirdim.

Bütün işlemler bittiğine göre tekrar explorer altına dönüp halen çalışmakta olan zararlı dosyamızı buluyoruz ve üzerinde bütün çalışma yollarını öldüren terminate işlemini gerçekleştiriyoruz. Daha sonra sistem bazında yaptığımız aramada elimizi geçen kayıtları ve dosyalarıda silip bu rat server’dan kurtulmuş oluyoruz.
EFSANE YENİDEN
Cevapla



Hızlı Menü:


Konuyu Okuyanlar:
1 Ziyaretçi

Mc_cEzA Modifiye © 2010 - 2020 - Her Hakkı Saklıdır.