Kayıtlar

Mayıs, 2019 tarihine ait yayınlar gösteriliyor

PlugX Zararlı Analizi ve Uygulanabilecekler

Resim
PlugX PlugX 2012 yılından beri kullanılan zararlı yazılımdır. Daha önce DragonOK, APT3 gibi gruplar tarafından çok fazla kullanılmıştır. PlugX bir RAT (remote access tool) olup, devlet kurumlarına ve büyük şirketlere yapılan siber saldırılarda kullanıldığını görüyoruz. RAT, kullanıcıların sistemlere, fiziksel erişimi olmadan,uzaktan erişmesine olanak sağlayan yazılım türüdür. RAT grubundaki yazılımların hepsi zararlı olmayıp, normal kullanımı bulunan RAT araçları bulunmaktadır. APT grupları RAT yazılımlarını sistemlere erişim sağlayıp istediklerini yapmak için kullanıyorlar. ÖzetBu yazıda PlugX zararlısının ne olduğunun nasıl yayıldığının ve neler yaptığının cevaplarını arayacağız. PlugX spearphishing maillerindeki zararlı eklerle yayılıp, ofis programlarında bulunan spesifik güvenlik zafiyetlerini (CVE-2013-3906, CVE-2012-0158 vb.) kullanarak sisteme bulaşıyor. Sisteme bulaştıktan sonra 3 ana dosyanın kullanıldığını görüyoruz. İlk dosya XOR’lanmış ve sıkıştırılmış olan dll dosyası, …

Formbook Zararlı Analizi ve Alınması Gereken Önlemler

Resim
Genel Bakış Bulut teknolojilerinin gelişmesiyle beraber servis olarak verilen hizmetlerin sayısında da büyük bir artış gözlemleniyor. Bu furyaya zararlı yazılımlarda ayak uydurmaya başladı. Malware-as-a-service olarak dağıtılan zararlı yazılımlarda, belirli bir panel üzerinden istediğiniz özelliklere ve istediğiniz süreye göre ödemeyi yapıp, zararlı yazılımı satın alabiliyorsunuz. Formbook, bu yöntemle çalışan bir veri hırsızı (stealer) zararlısıdır. Genel amacı kurbanın parolalarını ve verilerini çalmaktır. Formbook zararlısının internette reklamları bulunmaktadır[1].







Görsellerde de görüldüğü üzere haftalık/aylık/3 aylık ve pro versiyonları satılıyor. Formbook, Assembly ve C ile yazılmış, tarayıcılardan parolaları ve verileri kopyalama yetenekleri olan, kontrol sunucusu ile olan bütün iletişimi şifreli bir şekilde sağlayan zararlı yazılımdır. Özet Bu analiz 2016 yılından beri aktif olan ve fazlasıyla yetenekli olan Formbook zararlısını anlatmaya yöneliktir. Formbook, oltalama maill…

Nymaim ve Uygulanabilecek SIGMA Kuralları

Resim
Nymaim Genel Bakış Artan teknolojik gelişmelerle beraber zararlı yazılımlardaki karmaşıklıklarda artıyor. En son trend, asıl zararlı yazılımı, başka bir zararlı yazılımı kullanarak indirip çalıştırmaya çalışmak. Bu tür taşıyıcı zararlı yazılımlar dropper adını alıyor. Bu yazımızda analizini yapacağımız Nymaim zararlısı başka zararlı yazılımları taşıyan bir dropperdır. Nymaim malspam ile yayılıp, zararlı ofis dosyasındaki makronun çalışmasıyla tetikleniyor.
Özet Bu analizde popülerliği eskisi kadar çok olmayan fakat çok etkili bir dropper olan Nymaim zararlısının nasıl kulanıldığı ve neler yaptığı anlatılıyor. Emotet malspam ile yayılıp, kurbanın bilgisayarına ofis dokümanı ile bulaşıyor. Kurbanın dokümanın içerisindeki makronun çalışmasına izin vermesiyle, bir dizi işlemi tetiklemesi bir oluyor. Makro kod tarafından indirilen Nymaim zararlısı dropper görevi görerek başka bir zararlının bilgisayara yüklenmesini sağlıyor. Aşağıdaki görselde bu zararlının genel çalışma prensibini görebi…