Kayıtlar

2019 tarihine ait yayınlar gösteriliyor

Formbook Zararlı Analizi ve Alınması Gereken Önlemler

Resim
Genel Bakış Bulut teknolojilerinin gelişmesiyle beraber servis olarak verilen hizmetlerin sayısında da büyük bir artış gözlemleniyor. Bu furyaya zararlı yazılımlarda ayak uydurmaya başladı. Malware-as-a-service olarak dağıtılan zararlı yazılımlarda, belirli bir panel üzerinden istediğiniz özelliklere ve istediğiniz süreye göre ödemeyi yapıp, zararlı yazılımı satın alabiliyorsunuz. Formbook, bu yöntemle çalışan bir veri hırsızı (stealer) zararlısıdır. Genel amacı kurbanın parolalarını ve verilerini çalmaktır. Formbook zararlısının internette reklamları bulunmaktadır[1].







Görsellerde de görüldüğü üzere haftalık/aylık/3 aylık ve pro versiyonları satılıyor. Formbook, Assembly ve C ile yazılmış, tarayıcılardan parolaları ve verileri kopyalama yetenekleri olan, kontrol sunucusu ile olan bütün iletişimi şifreli bir şekilde sağlayan zararlı yazılımdır. Özet Bu analiz 2016 yılından beri aktif olan ve fazlasıyla yetenekli olan Formbook zararlısını anlatmaya yöneliktir. Formbook, oltalama maill…

Nymaim ve Uygulanabilecek SIGMA Kuralları

Resim
Nymaim Genel Bakış Artan teknolojik gelişmelerle beraber zararlı yazılımlardaki karmaşıklıklarda artıyor. En son trend, asıl zararlı yazılımı, başka bir zararlı yazılımı kullanarak indirip çalıştırmaya çalışmak. Bu tür taşıyıcı zararlı yazılımlar dropper adını alıyor. Bu yazımızda analizini yapacağımız Nymaim zararlısı başka zararlı yazılımları taşıyan bir dropperdır. Nymaim malspam ile yayılıp, zararlı ofis dosyasındaki makronun çalışmasıyla tetikleniyor.
Özet Bu analizde popülerliği eskisi kadar çok olmayan fakat çok etkili bir dropper olan Nymaim zararlısının nasıl kulanıldığı ve neler yaptığı anlatılıyor. Emotet malspam ile yayılıp, kurbanın bilgisayarına ofis dokümanı ile bulaşıyor. Kurbanın dokümanın içerisindeki makronun çalışmasına izin vermesiyle, bir dizi işlemi tetiklemesi bir oluyor. Makro kod tarafından indirilen Nymaim zararlısı dropper görevi görerek başka bir zararlının bilgisayara yüklenmesini sağlıyor. Aşağıdaki görselde bu zararlının genel çalışma prensibini görebi…

FASTCash ve Uygulanabilecek SIGMA Kuralı

Resim
FASTCash Genel Bakış 2 Kasım 2018 tarihinde US-CERT (United States Computer Emergency Readiness Team) tarafından yayınlanan bir raporla[1,2] Lazarus (US-CERT’teki adıyla Hidden Cobra) grubunun yeni bir aktivitesini bildirdi. Yayınlanan rapora göre Lazarus grubunun FASTCash isimli bir zararlı yazılımı kullanarak ATMlerden izinsiz olarak para çektikleri anlaşıldı. Bu aktivitelerin 2016 yılında Asya ve Afrika’da başladığı ortaya çıktı. Lazarus, Kuzey Kore kökenli siber suç ve istihbarat grubudur. Kendisini ilk olarak Sony’nin 2014 yılında hacklenmesiyle duyduk. WannaCry isimli zararlının (ransomware) arkasında olduklarına dahil bilgiler bulunmaktadır. FastCash zararlısı Lazarus grubunun istediği miktarlarda (hesap bakiyesi olmasa dahi) istedikleri kadar para çekmelerini sağlıyor. Aşağıdaki görsel Lazarus grubunun FastCash’i nasıl kullandığını gösteriyor.


FastCash’in çalışma mantığı[1]

Özet Bu analizimizde Kuzey Kore kökenli Lazarus grubunun ne kadar karmaşık ve bilgi seviyelerinin ne kad…