Kayıtlar

Covenant

Resim
Covenant Covenant .NET’in kırmızı takım uygulamalarında ki gücünü ortaya koymak için .NET ile yazılmış komuta kontrol (command and control, yazıda C&C kısaltması da kullanılacaktır) kütüphanesidir. Birden fazla kişinin beraber çalışmasına imkan sunan bir yapısı vardır. Covenant’ı anlatmadan önce komuta kontrol nedir, çeşitleri nelerdir, ne için kullanılır onu anlatmak istiyorum. Bilgisayar terminolojisinde komuta kontrol, sisteme bulaşan zararlı yazılımların saldırgan tarafından yönetildiği sunucuya/sisteme denir. Şöyle bir senaryo düşünelim: Siber saldırganlar DDoS saldırısı yapmak üzere tasarlanmış bir zararlı yazılım yazıp yayıyorlar. Bu zararlının 1000 adet sistemde çalıştığını ve bir hedefe DDoS saldırısı yapacağını düşünelim. Zararlıdan etkilenen bilgisayarları (DDoS’un yapılacağı değil, zararlının bulunduğu sistemler) asker, kötü niyetli saldırganı da bunların komutanı gibi düşünebiliriz. Bu sistemlerin bir yerden komut alıp bu komutları yerine getirmesi gerekir. İşte kom…

PlugX Zararlı Analizi ve Uygulanabilecekler

Resim
PlugX PlugX 2012 yılından beri kullanılan zararlı yazılımdır. Daha önce DragonOK, APT3 gibi gruplar tarafından çok fazla kullanılmıştır. PlugX bir RAT (remote access tool) olup, devlet kurumlarına ve büyük şirketlere yapılan siber saldırılarda kullanıldığını görüyoruz. RAT, kullanıcıların sistemlere, fiziksel erişimi olmadan,uzaktan erişmesine olanak sağlayan yazılım türüdür. RAT grubundaki yazılımların hepsi zararlı olmayıp, normal kullanımı bulunan RAT araçları bulunmaktadır. APT grupları RAT yazılımlarını sistemlere erişim sağlayıp istediklerini yapmak için kullanıyorlar. ÖzetBu yazıda PlugX zararlısının ne olduğunun nasıl yayıldığının ve neler yaptığının cevaplarını arayacağız. PlugX spearphishing maillerindeki zararlı eklerle yayılıp, ofis programlarında bulunan spesifik güvenlik zafiyetlerini (CVE-2013-3906, CVE-2012-0158 vb.) kullanarak sisteme bulaşıyor. Sisteme bulaştıktan sonra 3 ana dosyanın kullanıldığını görüyoruz. İlk dosya XOR’lanmış ve sıkıştırılmış olan dll dosyası, …

Formbook Zararlı Analizi ve Alınması Gereken Önlemler

Resim
Genel Bakış Bulut teknolojilerinin gelişmesiyle beraber servis olarak verilen hizmetlerin sayısında da büyük bir artış gözlemleniyor. Bu furyaya zararlı yazılımlarda ayak uydurmaya başladı. Malware-as-a-service olarak dağıtılan zararlı yazılımlarda, belirli bir panel üzerinden istediğiniz özelliklere ve istediğiniz süreye göre ödemeyi yapıp, zararlı yazılımı satın alabiliyorsunuz. Formbook, bu yöntemle çalışan bir veri hırsızı (stealer) zararlısıdır. Genel amacı kurbanın parolalarını ve verilerini çalmaktır. Formbook zararlısının internette reklamları bulunmaktadır[1].







Görsellerde de görüldüğü üzere haftalık/aylık/3 aylık ve pro versiyonları satılıyor. Formbook, Assembly ve C ile yazılmış, tarayıcılardan parolaları ve verileri kopyalama yetenekleri olan, kontrol sunucusu ile olan bütün iletişimi şifreli bir şekilde sağlayan zararlı yazılımdır. Özet Bu analiz 2016 yılından beri aktif olan ve fazlasıyla yetenekli olan Formbook zararlısını anlatmaya yöneliktir. Formbook, oltalama maill…