CRYPTTECH BLOG

PlugX PlugX 2012 yılından beri kullanılan zararlı yazılımdır. Daha önce DragonOK, APT3 gibi gruplar tarafından çok fazla kullanılmıştır. PlugX bir RAT (remote access tool) olup, devlet kurumlarına ve büyük şirketlere yapılan siber saldırılarda kullanıldığını görüyoruz. RAT, kullanıcıların sistemlere, fiziksel erişimi olmadan,uzaktan erişmesine olanak sağlayan yazılım türüdür. RAT grubundaki yazılımların hepsi zararlı olmayıp, normal kullanımı bulunan RAT araçları bulunmaktadır. APT grupları RAT yazılımlarını sistemlere erişim sağlayıp istediklerini yapmak için kullanıyorlar. Özet Bu yazıda PlugX zararlısının ne olduğunun nasıl yayıldığının ve neler yaptığının cevaplarını arayacağız. PlugX spearphishing maillerindeki zararlı eklerle yayılıp, ofis programlarında bulunan spesifik güvenlik zafiyetlerini (CVE-2013-3906, CVE-2012-0158 vb.) kullanarak sisteme bulaşıyor. Sisteme bulaştıktan sonra 3 ana dosyanın kullanıldığını görüyoruz. İlk dosya XOR’lanmış ve sıkıştırılmış...

Genel Bakış Bulut teknolojilerinin gelişmesiyle beraber servis olarak verilen hizmetlerin sayısında da büyük bir artış gözlemleniyor. Bu furyaya zararlı yazılımlarda ayak uydurmaya başladı. Malware-as-a-service olarak dağıtılan zararlı yazılımlarda, belirli bir panel üzerinden istediğiniz özelliklere ve istediğiniz süreye göre ödemeyi yapıp, zararlı yazılımı satın alabiliyorsunuz. Formbook, bu yöntemle çalışan bir veri hırsızı (stealer) zararlısıdır. Genel amacı kurbanın parolalarını ve verilerini çalmaktır. Formbook zararlısının internette reklamları bulunmaktadır [1] . Görsellerde de görüldüğü üzere haftalık/aylık/3 aylık ve pro versiyonları satılıyor. Formbook, Assembly ve C ile yazılmış, tarayıcılardan parolaları ve verileri kopyalama yetenekleri olan, kontrol sunucusu ile olan bütün iletişimi şifreli bir şekilde sağlayan zararlı yazılımdır. Özet Bu analiz 2016 yılından beri aktif olan ve fazlasıyla yetenekli olan Formbook zararlısını anl...