Siber Güvenlik

LetsDefend -Dinamik Kötü Amaçlı Yazılım Analizi Örneği

Dynamic Malware Analysis Example #2

Photo of Osman Güneş Osman Güneş Kasım 14, 2022
2 500 2 dakika okuma süresi

Merhabalar değerli SiberEğitmen okurları. Bu yazımda LetsDefend sitesinde bulunan Dynamic Malware Analysis Example #2 adlı kötü amaçlı yazılım örneğini çözmeye çalışacağım.

LetsDefend: SOC Analistleri ve Olay Müdahalecileri için bir eğitim platformudur. Ayrıntılı eğitim materyalleri, olaylar ve yönetim raporları ile SOC ekibinin araştırma becerilerini geliştirmesine yardımcı olur.

LetsDefend -Dinamik Kötü Amaçlı Yazılım Analizi Örneği

Lab Ortamı Hazırlama

Bu aşamada LetsDefend’in sağlamış olduğu sanal makineyi kullanacağız. Analize başlamadan önce kullanacağımız araçları aktif hale getirmemiz gerekiyor. ‘Connect’ butonuna tıklayarak sanal makinemizi aktif hale getirelim.

letsdefend,

LetsDefend-Dinamik-Kötü-Amaçlı-Yazılım-Analizi-Örneği,

İzleme araçlarımız, kötü amaçlı yazılımın çalıştırıldığı andan itibaren yapılan tüm etkinlikleri listelediğinden, şüpheli programı çalıştırmadan önce bu araçları çalıştırmalıyız. Aksi takdirde, kötü niyetli yazılım faaliyetleri yürütseler bile bu araçlar üzerinde kötü niyetli faaliyetler göremeyeceğiz.

Analizde kullanacağımız araçlar;

Süreç aktivitelerini görmek için ‘Process Hacker’ adlı aracımızı çalıştıralım.

process-hacker,

Ağ etkinliklerini görmek için ‘Wireshark’ uygulamasını Ethernet üzerinden paket yakalayacak şekilde çalıştıralım.

Dinamik-Kötü-Amaçlı-Yazılım-Analizi-Örneği,

 

Analiz Etmeye Başlayalım

Makinemiz açıldıktan sonra analiz yapacağımız Kötü amaçlı yazılımı masa üstüne çıkartalım. Malware sample adlı dosyayı açalım ve içerisinde bulunan payment advice.exe.zip dosyasını masaüstüne çıkartalım. (Parola: infected)

makine,

dosya-1,

dosya-2,

Kötü amaçlı yazılımı çalıştırmadan önce gerekli hazırlıkları tamamladığımıza göre, kötü amaçlı yazılımı sanal makinenizde çalıştırabilirsiniz. İki defa üzerine tıklayıp çalıştıralım ve faaliyetlerini göstere bilmesi için biraz bekleyelim.

Süreç Faaliyetleri Process Hacker kullanarak çalışan işlemleri incelediğimizde zararlı yazılıma ait süreç faaliyetlerini görebiliriz.

process-hack,

 

Sorular ile analize devem edelim.

  1. Soru : What is the domain name of the web application that the malware is requesting to learn its IP address? (Kötü amaçlı yazılımın IP adresini öğrenmek istediği web uygulamasının alan adı nedir?)

Saldırganlar, hedefli saldırılar gerçekleştirmek veya kurbanın IP adresini öğrenmek için genellikle IP adresi öğrenme hizmetlerini kullanır. Bu davranış, kötü amaçlı yazılımlar için yaygın olarak kabul edilebilir.

IP adresini hangi web sitesinden öğrendiğini bulmak için Wireshark’ta ağ aktivitelerini incelememiz gerekiyor.

Kötü amaçlı yazılımın hangi web sitelerine istek gönderdiğini wireshark’ta arama çubuğuna “http.request” yazıp enter’a basıyoruz.

İlk pakete tıkladığımız zaman, aşağıdaki alanda paketin detayları karşımıza çıkıyor. Burada Hypertext Transfer Protocol kısmına baktığımızda, host kısmında kötü amaçlı yazılımın genel IP adresini bulmak için checkip.dyndns.org‘a istekte bulunduğunu görüyoruz.

wireshark-http,

Http isteklerine üst menüde bulunan Statistics > HTTP > Requests yolunu takip ederekten de ulaşabiliriz.

Cevap: checkip.dyndns.org

  1. Soru : What is the domain name that the malware connects to for data hijacking? (Kötü amaçlı yazılım hangi bağlantı noktası üzerinden iletişim kuruyor?)

Wireshark’ta  SMTP trafiğini incelemeye başladım ve aşağıda da göründüğü gibi, kötü amaçlı yazılımımız “stilltech.ro” mail sunucusu ile iletişim kuruyor.

wireshark-smtp,

Cevap : mail.stilltech.ro

  1. Soru: What port does the malware communicate over? (Kötü amaçlı yazılım hangi bağlantı noktası(port) üzerinden iletişim kuruyor?)

Kötü amaçlı yazılımımız SMTP protokolü üzerinden iletişim kurduğunu diğer soruda bulmuştuk. Wireshark’ta SMTP protokolünün kullandığı port numarasına baktığımızda, 587 olduğunu görüyoruz.

  1. Soru: What is the username used by the malware to authenticate to the mail server it connects for data hijacking? (Kötü amaçlı yazılım tarafından veri kaçırmak için bağlandığı posta sunucusunun kimliğini doğrulamak için kullanılan kullanıcı adı nedir?)

Yakalanan herhangi bir SMTP paketinin üstüne sağ tıklayıp, TCP akışını izlediğimizde karşımıza daha detaylı bir alan geldi. Burası SMTP trafiği hakkında bize detaylı bilgi verir.

smtp,

tcp-smtp,

Sorumuzda bizden kullanılan kullanıcı adını istemişti. TCP akışına baktığımızda girişin aşağıdaki gibi olduğunu görüyoruz.

AUTH login b2ZmaWNlQHN0aWxsdGVjaC5ybw== (Kullanıcı Girişi ve Kullanıcı Adı)

334 UGFzc3dvcmQ6 (Parola Girişi)

ZXVyb2JpdDU1NXJv (Parola)

235 Authentication succeeded (Giriş Başarılı)

Burada anlamsız bazı şeyler görüyoruz. Bunları anlamlı bir hale getirmek için CyberChef sitesinde çözelim.

cyberchef,

Gördüğünüz gibi kullanıcı adı olarak ” office@stilltech.ro” kulanılmış.

Cevap: office@stilltech.ro

  1. Soru: What is the password that the malware uses to authenticate to the mail server it connects for data hijacking? (Kötü amaçlı yazılımın, veri ele geçirme için bağlandığı posta sunucusunda kimlik doğrulaması yapmak için kullandığı parola nedir?)

Bir önceki soru için yaptığımız analizde, bize bu sorunun cevabını da vermişti. Parola olarak “eurobit555ro” kullanılmış.

Cevap: eurobit555ro

Diğere yazılarıma buradan ulaşabilirsiniz!!!

Siber Eğitmen Sosyal Medya Hesapları

Youtube

Instagram

Siber Eğitmen Osman GÜNEŞ

 

 

Etiketler
Photo of Osman Güneş

Osman Güneş

İlgili Makaleler

Photo of FİREWALL NEDİR VE NE İŞE YARAR  

FİREWALL NEDİR VE NE İŞE YARAR  

Mayıs 28, 2021
Photo of Siber Saldırıların Tespiti

Siber Saldırıların Tespiti

Haziran 17, 2021
Photo of SİBER GÜVENLİK ve YAPAY ZEKA

SİBER GÜVENLİK ve YAPAY ZEKA

Mayıs 29, 2021
Photo of Dark Web Nedir

Dark Web Nedir

Nisan 5, 2021

2 Yorum

Bir yanıt yazın

© Telif Hakkı 2025, Tüm Hakları Saklıdır  |   Siber Eğitmen
Başa dön tuşu
Kapalı