Kayıtlar

Mart, 2019 tarihine ait yayınlar gösteriliyor

Kovter Zararlı Yazılımı ve Uygulanabilecek SIEM Kuralları

Resim
Giriş Kovter kötü amaçlı yazılım ailelerinden biridir. Zaman içerisinde kullandığı yöntemlerde kapsamlı değişiklikler yaptı. Tespiti ve analizi zorlaştırmak için PowerShell scriptlerinde ve kayıt defteri anahtarlarındaki zararlı modülleri gizler. Bu yazımda kovter zararlısının bir örneğini incelemeye çalışacağım. Takip eden bölümlerde zararlı hakkında genel bir bilgi, zararlının sistemlere nasıl bulaştığı, bulaştığı sistemlerde çalıştıktan sonra hangi davranışları gösterdiği, hangi adreslerle bağlantı kurduğu ve tespiti için yazılabilecek kurallardan   bahsedeceğim.Çayınızı da aldıysanız artık başlayabiliriz:) Fidye yazılımları  son zamanlarda siber suçluların para kazanma yollarından biri haline geldi. Kovter olarak bilinen kötü amaçlı yazılım da bu fidye yazılımlarından biridir. Kovter fidye yazılımı günde yaklaşık 44.000 cihaza zarar vermekte ve başarılı saldırı başına 1000 dolar kazanmaktadır[1].Bir çok zararlı yazılım gibi ömrü boyunca ceşitli mutasyonlara uğramıştır

Ghidra

Resim
Ghidra ABD Ulusal Güvenlik Ajansı (NSA) tarafından RSA konferasında yayınlanan Ghidra aracı, kurumun tersine mühendislik işleri için kullandığı bir yazılımdır. İlk olarak 2017’de “Vault 7” isimli WikiLeaks belgeleriyle ifşa olan yazılım, 5 Mart 2019 tarihinde açık kaynak olarak yayınlandı. Java ile yazılmış olan Ghidra’yı kullanmak için Java 11’in yüklü olması gerekiyor. Ghidra, Ida’nın bedava versiyonunda olmayan decompile etme, projeleri paylaşma vb. özellikleri barındırırken, Ida’dan daha yavaş ve hafıza tüketiminin daha fazla olduğu göze çarpıyor. Ghidra’yı aşağıdaki linkten indirebilirsiniz: https://www.ghidra-sre.org Bu yazıda daha önce blogta yayınlanan Rising Sun zararlısına birde Ghidra üzerinde inceleyeceğiz. İlk Bakış Ghidra’yı kurup, ilk açılışını yaptığımızda yardım sayfası bizi karşılıyor.   Bu sayfayla beraber proje oluşturma sayfasını ve Ghidra ile alakalı ipuçlarını barındıran Tip of the Day penceresini görüyoruz.