Kayıtlar

Dridex

Resim
Dridex Giriş 2015 yılından beri faaliyette olan Dridex zararlısı 2019 yılının en popüler zararlılarından biri oldu. Bulaştığı sistemdeki parolaları çalmaya ve keyloggerlık görevi yapan Dridex, ilk çıktığı günden beri farklı mekanizmalar kullanarak yayılmaya devam etti. Diğer zararlılar gibi Dridex’in da en çok kullandığı yayılma yolu oltalama mailleri oldu.
Özet Bu analiz 2015 yılından beri aktif olan Dridex zararlı yazılımının neler yaptığını anlatmaya yöneliktir. Yazıda Dridex’in nasıl yayıldığını ve sistem üzerinde neler yaptığını bulabilirsiniz. Kısaca bir özetlemek gerekirse, zararlı oltalama mailleriyle yayılıp kurbanlarına iletiliyor. Ekte bulunan zararlı ofis dosyası açıldığında içerisinde bulunan makro kod çalışıyor. Bu makro içersinde gömülü olarak bulunan payload’ı xsl dosyasına yazarak kaydediyor. Wmic üzerinden çalıştırılan bu xsl dosyası Dridex zararlısını indirip çalıştırıyor. Zararlının amacı parola çalıp kontrol sunucusuna yollamak.





Temel Bilgiler Bu bölümde analiz edil…

Fuzzing ve AFL

Resim
FuzzingGiriş Fuzzing uygulamalara/sistemlere beklenmedik veya semi-malformed veriler yollanarak sıralı bir şekilde test etme yöntemidir. Black-box yazılım testi olarak kategorilendirilebilir. Bu yöntemle uygulamaları, protokolleri, sistemleri test edebiliriz. Fuzzing bugları bulmakta iyiyken bulduğu buglar genelde basit düzeyde oluyor. Bu bugları sömürmek için exploit geliştirmek araştırmacıya kalıyor. İnsan eliyle yapılması zor olan rastgele mutasyonları gerçekleştirip bunları sürekli deneyerek araştırma yapan kişiye önemli bulgular sağlıyor. Bu yazıda en çok kullanılan fuzzing aracı olan American Fuzzy Lop’u (AFL) anlatıp, nasıl kurulduğunu ve neler yapabildiğimizi anlatacağım. AFL American Fuzzy Lop açık kaynaklı bir fuzzing aracıdır. Genetik algoritmaların yardımıyla girdilerini değiştirerek uygulamalarda crash arar. Şimdiye kadar günlük hayatımızda kullandığımız çoğu uygulamada bug veya açık bulmak için kullanıldığını görüyoruz. Firefox’tan iOS çekirdiğine kadar büyük bir aralık…

LokiBot Analizi

Resim
LokiBot Giriş 2015 yılından beri faaliyette olan LokiBot zararlısı 2019 yılının en popüler zararlılarından biri oldu. Bulaştığı sistemdeki parolaları çalma ve keyloggerlık görevi yapan LokiBot, ilk çıktığı günden beri farklı mekanizmalar kullanarak yayılmaya devam etti. Diğer zararlılar gibi LokiBot’un da en çok kullandığı yayılma yolu oltalama mailleri oldu. Android tarafında da etkili olduğu gibi Windows tarafında da etkili. Bu yazıda Windows tarafındaki aktivitesi hakkında bilgi bulacaksınız.
Özet Bu analiz 2015 yılından beri aktif olan LokiBot zararlı yazılımının neler yaptığını anlatmaya yöneliktir. Yazıda LokiBot nasıl yayıldığını ve sistem üzerinde neler yaptığını bulabilirsiniz. Kısa bir özetlemek gerekirse, zararlı oltalama mailleriyle yayılıp kurbanlarına iletiliyor. Ekte bulunan zararlı ofis dosyası açıldığında CVE-2017-11882 kodlu zafiyeti istismar ederek uzaktan PowerShell scripti indiriyor. İndirilen script çalıştığı zaman LokiBot zararlısını indirip çalıştırmaya başlıy…