Kayıtlar

Eylül, 2019 tarihine ait yayınlar gösteriliyor

NanoCore RAT Zararlı Analizi

Resim
Nanocore Genel Bakış Teknolojinin hızla ilerlemesinden zararlı yazılımlar da payını almaktadır. Zararlı yazılım üretimi ve dağıtımı artık bir servis olarak sunulmaya başlanmıştır. Zararlı işlemleri yapmanızı sağlayan araçlar internette hazır olarak satılıp, kötü niyetli kişilerin yapması gereken tek şey bunları satın alıp 1-2 tuşa basarak hazır hale getirmektir. Nanocore’da bunlardan bir tanesi olup, 20 dolara satışa sunulmaktaydı. Aşağıdaki görsellerde[1,2] Nanocore’un websitesini ve zararlıyı yazan kişinin düşüncelerini göreceksiniz.




Özet Bu analiz, son yıllarda aktif olan Nanocore zararlı yazılımının neler yaptığını anlatmaya yöneliktir. Yazıda Nanocore builder’ını, Nanocore’un nasıl yayıldığını ve sistem üzerinde neler yaptığını bulacaksınız. Zararlının amacı uzaktan erişim (RAT) sağlayıp, saldırganın kurban sistemde istediğini yapmasıdır. Aşağıda özet ve kullanılan ATT&CK tekniklerine ait görseller bulunmaktadır.








Builder Yazının girişinde de bahsettiğim gibi Nanocore hizmet ol…

GRR - Google Rapid Response

Resim
GRR GRR veya GRR Rapid Response, Google tarafından geliştirilen açık kaynaklı uzaktan ve canlı olay müdahale (incident response) kütüphanesidir. Hem sunucu hem istemci tarafı python ile yazılmıştır. GRR’ın istemci tarafı platform bağımsız olduğu için büyük bir esneklik sağlamaktadır. GRR’ın amacı büyük ekosistemlerde hızlı bir şekilde forensic analizi yapmaktır.
GRR’ın mimarisi sunucu ve istemciden oluşmaktadır. GRR sunucusu varsayılan ayarlarla kurulduğundan 8000 portundan yöneticiye web arayüzü sunmaktadır. Bunun dışında işleri otomatize etmek için gerekli API’ı sağlamaktadır. Angular JS Web UI ve RESTFul JSON API sağlayarak Python, PowerShell ve Go dillerinde programlar yazmamıza imkan tanımaktadır. Cron Work’ler  yardımıyla otomatik olarak belirli aralıklarla analiz yapmaya da olanak sağlar. Bunların dışında verdiği sonuçları birden fazla dosya türüyle (CSV, zip, Sqlite vb.) indirip analizini yapabilmekteyiz.
Analiz yapmak istediğimiz makineye de GRR’ın istemcisini kurmamız gerek…