Kayıtlar

Agent Tesla

Resim
Agent Tesla Giriş 2016 yılından beri aktif olan Agent Tesla zararlısı, spyware olarak nitelendirebileceğimiz bir zararlı yazılımdır. Kurban sistemin klavye hareketlerini kaydedip bunu kontrol sunucusuna yollama kabiliyetine sahiptir. Bunun dışında tarayıcılardan parola bilgilerini alıp yolladığını da biliyoruz. İlk çıktığında kendi ismiyle bir web sitesinden direk satışa sunulan zararlı şimdi başka platformlardan satışa sunuluyor. Agent Tesla 9 Dolar ile 30 Dolar arasında değişen fiyatlarla 7/24 destekle beraber satılıyordu[1].




Agent Tesla’nın yazarının Türk olduğu hakkında iddialar da[2] bulunuyor. Bu iddiaların sebebi ise Agent Tesla ile ilişkisi olduğu düşünülen bir web sitesinin WHOIS kaydının bir Türk adına olması.

Özet Bu analiz 2016 yılından beri aktif olan Agent Tesla zararlı yazılımının neler yaptığını anlatmaya yöneliktir. Yazıda Agent Tesla'nın nasıl yayıldığını ve sistem üzerinde neler yaptığını bulabilirsiniz. Kısaca özetlemek gerekirse, zararlı oltalama mailleriyle ya…

FAME - Fame Automates Malware Evaluation

Resim
FAME Giriş Fame, zararlı yazılım analizi için ortaya çıkmış açık kaynaklı bir kütüphanedir. “Fame Automates Malware Evaluation” olarakta bilinen kütüphane içerisinde barındırdığı modüllerle beraber zararlı analizini kompakt ve hızlı bir hale getiriyor. Societe Generale isimli finans şirketinin olay müdahele ekibi tarafından geliştirilmiştir.
Fame modüllerden oluşmaktadır. Bu modüllerin birer birer çalışması sonucu çıktı alınarak analiz sürelerini ciddi bir şekilde azaltmaktadır. Örneğin sistemde yüklü olan modüller cuckoo, joe, office_macros ve office passwords olsun. Analist, şüphelendiği ofis dosyasını Fame’e yükleyip modülleri seçiyor. Bu modüller teker teker çalışarak analiste güzel bir rapor sunup, analisti teker teker bütün araçları kurup çalıştırma zahmetinden kurtarıyor.
Fame bize iki analiz modu sunuyor: “Just Do Your Magic” (sadece sihrini yap) ve “Hedefe Yönelik” analiz olarak ikiye ayırabiliriz. İlk modda genel modüllerin hepsini çalıştırıp analiz yapıyor. Bu modun içerisin…

NanoCore RAT Zararlı Analizi

Resim
Nanocore Genel Bakış Teknolojinin hızla ilerlemesinden zararlı yazılımlar da payını almaktadır. Zararlı yazılım üretimi ve dağıtımı artık bir servis olarak sunulmaya başlanmıştır. Zararlı işlemleri yapmanızı sağlayan araçlar internette hazır olarak satılıp, kötü niyetli kişilerin yapması gereken tek şey bunları satın alıp 1-2 tuşa basarak hazır hale getirmektir. Nanocore’da bunlardan bir tanesi olup, 20 dolara satışa sunulmaktaydı. Aşağıdaki görsellerde[1,2] Nanocore’un websitesini ve zararlıyı yazan kişinin düşüncelerini göreceksiniz.




Özet Bu analiz, son yıllarda aktif olan Nanocore zararlı yazılımının neler yaptığını anlatmaya yöneliktir. Yazıda Nanocore builder’ını, Nanocore’un nasıl yayıldığını ve sistem üzerinde neler yaptığını bulacaksınız. Zararlının amacı uzaktan erişim (RAT) sağlayıp, saldırganın kurban sistemde istediğini yapmasıdır. Aşağıda özet ve kullanılan ATT&CK tekniklerine ait görseller bulunmaktadır.








Builder Yazının girişinde de bahsettiğim gibi Nanocore hizmet ol…