Kayıtlar

FAME - Fame Automates Malware Evaluation

Resim
FAME Giriş Fame, zararlı yazılım analizi için ortaya çıkmış açık kaynaklı bir kütüphanedir. “Fame Automates Malware Evaluation” olarakta bilinen kütüphane içerisinde barındırdığı modüllerle beraber zararlı analizini kompakt ve hızlı bir hale getiriyor. Societe Generale isimli finans şirketinin olay müdahele ekibi tarafından geliştirilmiştir.
Fame modüllerden oluşmaktadır. Bu modüllerin birer birer çalışması sonucu çıktı alınarak analiz sürelerini ciddi bir şekilde azaltmaktadır. Örneğin sistemde yüklü olan modüller cuckoo, joe, office_macros ve office passwords olsun. Analist, şüphelendiği ofis dosyasını Fame’e yükleyip modülleri seçiyor. Bu modüller teker teker çalışarak analiste güzel bir rapor sunup, analisti teker teker bütün araçları kurup çalıştırma zahmetinden kurtarıyor.
Fame bize iki analiz modu sunuyor: “Just Do Your Magic” (sadece sihrini yap) ve “Hedefe Yönelik” analiz olarak ikiye ayırabiliriz. İlk modda genel modüllerin hepsini çalıştırıp analiz yapıyor. Bu modun içerisin…

NanoCore RAT Zararlı Analizi

Resim
Nanocore Genel Bakış Teknolojinin hızla ilerlemesinden zararlı yazılımlar da payını almaktadır. Zararlı yazılım üretimi ve dağıtımı artık bir servis olarak sunulmaya başlanmıştır. Zararlı işlemleri yapmanızı sağlayan araçlar internette hazır olarak satılıp, kötü niyetli kişilerin yapması gereken tek şey bunları satın alıp 1-2 tuşa basarak hazır hale getirmektir. Nanocore’da bunlardan bir tanesi olup, 20 dolara satışa sunulmaktaydı. Aşağıdaki görsellerde[1,2] Nanocore’un websitesini ve zararlıyı yazan kişinin düşüncelerini göreceksiniz.




Özet Bu analiz, son yıllarda aktif olan Nanocore zararlı yazılımının neler yaptığını anlatmaya yöneliktir. Yazıda Nanocore builder’ını, Nanocore’un nasıl yayıldığını ve sistem üzerinde neler yaptığını bulacaksınız. Zararlının amacı uzaktan erişim (RAT) sağlayıp, saldırganın kurban sistemde istediğini yapmasıdır. Aşağıda özet ve kullanılan ATT&CK tekniklerine ait görseller bulunmaktadır.








Builder Yazının girişinde de bahsettiğim gibi Nanocore hizmet ol…

GRR - Google Rapid Response

Resim
GRR GRR veya GRR Rapid Response, Google tarafından geliştirilen açık kaynaklı uzaktan ve canlı olay müdahale (incident response) kütüphanesidir. Hem sunucu hem istemci tarafı python ile yazılmıştır. GRR’ın istemci tarafı platform bağımsız olduğu için büyük bir esneklik sağlamaktadır. GRR’ın amacı büyük ekosistemlerde hızlı bir şekilde forensic analizi yapmaktır.
GRR’ın mimarisi sunucu ve istemciden oluşmaktadır. GRR sunucusu varsayılan ayarlarla kurulduğundan 8000 portundan yöneticiye web arayüzü sunmaktadır. Bunun dışında işleri otomatize etmek için gerekli API’ı sağlamaktadır. Angular JS Web UI ve RESTFul JSON API sağlayarak Python, PowerShell ve Go dillerinde programlar yazmamıza imkan tanımaktadır. Cron Work’ler  yardımıyla otomatik olarak belirli aralıklarla analiz yapmaya da olanak sağlar. Bunların dışında verdiği sonuçları birden fazla dosya türüyle (CSV, zip, Sqlite vb.) indirip analizini yapabilmekteyiz.
Analiz yapmak istediğimiz makineye de GRR’ın istemcisini kurmamız gerek…