CRYPTTECH BLOG

Dridex Giriş 2015 yılından beri faaliyette olan Dridex zararlısı 2019 yılının en popüler zararlılarından biri oldu. Bulaştığı sistemdeki parolaları çalmaya ve keyloggerlık görevi yapan Dridex, ilk çıktığı günden beri farklı mekanizmalar kullanarak yayılmaya devam etti. Diğer zararlılar gibi Dridex’in da en çok kullandığı yayılma yolu oltalama mailleri oldu. Özet Bu analiz 2015 yılından beri aktif olan Dridex zararlı yazılımının neler yaptığını anlatmaya yöneliktir. Yazıda Dridex’in nasıl yayıldığını ve sistem üzerinde neler yaptığını bulabilirsiniz. Kısaca bir özetlemek gerekirse, zararlı oltalama mailleriyle yayılıp kurbanlarına iletiliyor. Ekte bulunan zararlı ofis dosyası açıldığında içerisinde bulunan makro kod çalışıyor. Bu makro içersinde gömülü olarak bulunan payload’ı xsl dosyasına yazarak kaydediyor. Wmic üzerinden çalıştırılan bu xsl dosyası Dridex zararlısını indirip çalıştırıyor. Zararlının amacı parola çalıp kontrol sunucusuna yollamak. Temel Bilgiler B...

PlugX PlugX 2012 yılından beri kullanılan zararlı yazılımdır. Daha önce DragonOK, APT3 gibi gruplar tarafından çok fazla kullanılmıştır. PlugX bir RAT (remote access tool) olup, devlet kurumlarına ve büyük şirketlere yapılan siber saldırılarda kullanıldığını görüyoruz. RAT, kullanıcıların sistemlere, fiziksel erişimi olmadan,uzaktan erişmesine olanak sağlayan yazılım türüdür. RAT grubundaki yazılımların hepsi zararlı olmayıp, normal kullanımı bulunan RAT araçları bulunmaktadır. APT grupları RAT yazılımlarını sistemlere erişim sağlayıp istediklerini yapmak için kullanıyorlar. Özet Bu yazıda PlugX zararlısının ne olduğunun nasıl yayıldığının ve neler yaptığının cevaplarını arayacağız. PlugX spearphishing maillerindeki zararlı eklerle yayılıp, ofis programlarında bulunan spesifik güvenlik zafiyetlerini (CVE-2013-3906, CVE-2012-0158 vb.) kullanarak sisteme bulaşıyor. Sisteme bulaştıktan sonra 3 ana dosyanın kullanıldığını görüyoruz. İlk dosya XOR’lanmış ve sıkıştırılmış...

Genel Bakış Bulut teknolojilerinin gelişmesiyle beraber servis olarak verilen hizmetlerin sayısında da büyük bir artış gözlemleniyor. Bu furyaya zararlı yazılımlarda ayak uydurmaya başladı. Malware-as-a-service olarak dağıtılan zararlı yazılımlarda, belirli bir panel üzerinden istediğiniz özelliklere ve istediğiniz süreye göre ödemeyi yapıp, zararlı yazılımı satın alabiliyorsunuz. Formbook, bu yöntemle çalışan bir veri hırsızı (stealer) zararlısıdır. Genel amacı kurbanın parolalarını ve verilerini çalmaktır. Formbook zararlısının internette reklamları bulunmaktadır [1] . Görsellerde de görüldüğü üzere haftalık/aylık/3 aylık ve pro versiyonları satılıyor. Formbook, Assembly ve C ile yazılmış, tarayıcılardan parolaları ve verileri kopyalama yetenekleri olan, kontrol sunucusu ile olan bütün iletişimi şifreli bir şekilde sağlayan zararlı yazılımdır. Özet Bu analiz 2016 yılından beri aktif olan ve fazlasıyla yetenekli olan Formbook zararlısını anl...