İnjecte Edilen Backdoor Analiz Tespiti


İnternet   

Yazar: devLop    0 Yorum    134 Görüntüleme
  • Derecelendirme: 0/5 - 0 oy

Paylaşım Tarihi: 23.02.2016, 09:41:31 #1
devLop Yeğen
Onaylı Uye
Status: Çevrimdışı Yorumları:43 Konuları:34 Kayıt Tarihi:07.09.2015 Rep Puanı: 4

İnjecte Edilen Backdoor Analiz Tespiti


Selamün Aleyküm Dostlar;

Bu konumuzda SpyNet Rat’tan çıkma ve aşağıdaki anti özelliklerini taşıyan bir zararlının sanal ortamda, sistem seviyesinde ve network seviyesinde nasıl analiz edildiğini göstermeye çalışacağım. Bu makalede zararlının yapılandırdığımız tuzaklara aşama aşama nasıl takıldığını göreceğiz.

Anti Sandboxie
Anti Virtual PC
Anti VMWare
Anti VirtualBox
Anti ThreatExpert
Anti Anubis
Anti CWSandbox
Anti JoeBox
Anti Norman Sandbox
Anti SoftIce
Anti Debugger

Şimdi şöyle bir söz vardır aslında, hasta olduktan sonra alınan ilacın bir faydası olmaz, önemli olan hasta olmadan önlemini almaktır.

Bizde gerek fiziksel makinalarımızda, gerekse sanal lab. sistemlerinde gerekli önlemleri daha önce alıyoruz zaten. Aşağıdaki alanlarda aldığımız önlemler sayesinde zararlıyı adım adım izleyeceğiz.

Startup Programs; Başlangıca yerleşen ve her sistem açılışında çalışacak uygulamaların/programların gözlemi.
Active Tasks; O anda aktif durumda çalışan uygulamaların/programların gözlemi. 
Hidden Files; Gizli dosya olarak sisteme inject olan dosyaların gözlemi.
Recent; En son yapılan işlemlerdeki hareketliliğin gözlemi.

Yukardaki saydığım 4 alandaki gözlemlerimizle yola çıkarak zararlıyı sistemde adım adım takip edeceğiz vede anti olarak özellik taşıyan rat server’ın bizi durduramadığını göreceğiz. Aslında olayı şu şekilde özetlemek gerekiyor, anti sanal özellikleri vb. durumları olan zararlı, aynen fiziksel makinada ki gibi windows’un hiçbir alanında görünmeyen ve antilere yakalanmayan özellikler taşıması demektir. Akabinde zaten windows’un ve windows’a yakın yazılımlarla bu tip zararlıları tesbit etmek için çabalamakta yersizdir.



Sitemize kayıtlı değilseniz linkleri görebilmeniz İçin Kayıt Olun veya Giriş Yapın

İlk önce sistemde aktif olarak çalışan uygulama/programlara bakıyoruz vede tek tek kontrol ediyoruz. Ben bu kontrolümde sistemde çalışmadığı halde çalışıyor gibi görünen şüpheli bir programı tesbit ediyorum. Bu program google chrome tarayıcıdır. Bu tarayıcının pid değeri 2488’dir bunu unutmuyorum.


Sitemize kayıtlı değilseniz linkleri görebilmeniz İçin Kayıt Olun veya Giriş Yapınwol_error.gif
Bu resim yeniden boyutlandırılmıştır, tam halini görmek için tıklayınız.

Sitemize kayıtlı değilseniz linkleri görebilmeniz İçin Kayıt Olun veya Giriş Yapın

Hemen arkasından en son sistem tarafından algılanan işlemler tarafına bakıyorum ve chrome.exe’nin aktif olarak çalıştığını görüyorum. Lakin chdome.exe den sonrada sisteme 4 kalem cftmon.exe adında bir işleyişin inject olduğunu tesbit ediyorum. Burada kafamı karıştıran durum şudur. Chrome.exe nin tesbit edilme tarihi ile cftmon.exe işleyişlerinin tesbit edilme tarihleri birbirini tutmuyordu. Burada acaba chrome.exe gerçek bir işleyişmidir diyede kendime sormadan geçemiyorum.


Sitemize kayıtlı değilseniz linkleri görebilmeniz İçin Kayıt Olun veya Giriş Yapınwol_error.gif
Bu resim yeniden boyutlandırılmıştır, tam halini görmek için tıklayınız.

Sitemize kayıtlı değilseniz linkleri görebilmeniz İçin Kayıt Olun veya Giriş Yapın

Bu aşamada başlangıçta çalışan uygulama ve programların durumunu denetlediğimde chrome.exe yi burada göremiyorum. Lakin cftmon.exe yi burada tesbit ediyorum. Ama son eklenen değerler kısmında 4 kalem cftmon.exe vardı, bir adette chrome.exe şüphelide olsa görünüyordu, ama başlangıç durumunda neden 3 adet cftmon.exe vardı ? Neden chrome.exe görünmüyordu ? Ama chrome.exe neden aktif olarak çalışıyordu ?


Sitemize kayıtlı değilseniz linkleri görebilmeniz İçin Kayıt Olun veya Giriş Yapınwol_error.gif
Bu resim yeniden boyutlandırılmıştır, tam halini görmek için tıklayınız.

Sitemize kayıtlı değilseniz linkleri görebilmeniz İçin Kayıt Olun veya Giriş Yapın

Tekrar en son işlemler tarafına bakıyorum ve cftmon.exe işleyişlerinden birinin gizli dosya olarak çalıştığını, bu sayede başlangıçta görünmediği, ve yine akabinde başlangıçta görünmeyen chrome.exe ile bir bağı olduğunu düşünüyorum.


Sitemize kayıtlı değilseniz linkleri görebilmeniz İçin Kayıt Olun veya Giriş Yapınwol_error.gif
Bu resim yeniden boyutlandırılmıştır, tam halini görmek için tıklayınız.

Sitemize kayıtlı değilseniz linkleri görebilmeniz İçin Kayıt Olun veya Giriş Yapın

Bu aşamada ise gizli dosyaları kontrol ettiğimde cftmon.exe dosyalarının birinin gerçekten gizli olarak çalıştığını tesbit ediyorum.

Sitemize kayıtlı değilseniz linkleri görebilmeniz İçin Kayıt Olun veya Giriş Yapınwol_error.gif
Bu resim yeniden boyutlandırılmıştır, tam halini görmek için tıklayınız.

Sitemize kayıtlı değilseniz linkleri görebilmeniz İçin Kayıt Olun veya Giriş Yapın

Hemen akabinde chrome.exe ile gizli olarak çalışan cftmon.exe dosyasının bir bağı varmı diyerek aktif çalışan dosyaları tekrar kontrol ediyorum ve daha öncede tesbit ettiğim 2488 pid değerini kaydediyorum.


Sitemize kayıtlı değilseniz linkleri görebilmeniz İçin Kayıt Olun veya Giriş Yapınwol_error.gif
Bu resim yeniden boyutlandırılmıştır, tam halini görmek için tıklayınız.

Sitemize kayıtlı değilseniz linkleri görebilmeniz İçin Kayıt Olun veya Giriş Yapın

Bu aşamada ise sistemde gerçek bir chrome tarayıcı çalıştırıp 2488 pid değerini kontrol ediyorum. Sol taraftakinin gerçek chrome, sağ taraftaki ise sahte chrome olduğunu anlıyorum. Ama bu nasıl olabiliyordu ? Nasıl sahte bir chrome gerçekmiş gibi sistemde çalışabiliyordu ?


Sitemize kayıtlı değilseniz linkleri görebilmeniz İçin Kayıt Olun veya Giriş Yapınwol_error.gif
Bu resim yeniden boyutlandırılmıştır, tam halini görmek için tıklayınız.

Sitemize kayıtlı değilseniz linkleri görebilmeniz İçin Kayıt Olun veya Giriş Yapın

Bunu anlamak içinde çalışan sahte chrome.exe nin memory bellekteki izlerini aramaya başladım. Resimde çalışan sahte chrome.exe bellek dökümüne baktığımda orada "034" ile biten bir değer gözüme çarpmıştı.


Sitemize kayıtlı değilseniz linkleri görebilmeniz İçin Kayıt Olun veya Giriş Yapınwol_error.gif
Bu resim yeniden boyutlandırılmıştır, tam halini görmek için tıklayınız.

Sitemize kayıtlı değilseniz linkleri görebilmeniz İçin Kayıt Olun veya Giriş Yapın

Hemen akabinde daha önceki konum tesbitlerimden cftmon.exe nin sistem bazında yaptığım tesbitlerinde, Installed Components değerininde sonu "034" ile biten aynı değerler olduğunu gördüm. 

Bu şu demekti, gizli dosya olarak çalışan cftmon.exe nin aktif çalışanlar altında kendi hareket değerleri olşturduğunu ve gizli dosya olarak çalışacak chrome.exe yi oluşturup ve yine akabinde o şekilde çalışmaya devam ettiği durumuydu.


Sitemize kayıtlı değilseniz linkleri görebilmeniz İçin Kayıt Olun veya Giriş Yapınwol_error.gif
Bu resim yeniden boyutlandırılmıştır, tam halini görmek için tıklayınız.

Sitemize kayıtlı değilseniz linkleri görebilmeniz İçin Kayıt Olun veya Giriş Yapın

Hemen network seviyesinde zararlı ve bizi kandırmaya yönelik çalışan dosyayı inceliyoruz. Burada 2488 pid değerinde çalışan zararlının uzak adres, uzak port vb. değerlerini tesbit ediyoruz.


Sitemize kayıtlı değilseniz linkleri görebilmeniz İçin Kayıt Olun veya Giriş Yapınwol_error.gif
Bu resim yeniden boyutlandırılmıştır, tam halini görmek için tıklayınız.

Sitemize kayıtlı değilseniz linkleri görebilmeniz İçin Kayıt Olun veya Giriş Yapın

Hemen akabinde explorer.exe altında sahte chrome.exe olarak çalışmakta olan 2488 pid değerindeki zararlı dosyanın memory bellekteki izlerini daha detaylı aramak için dosyayı inceliyoruz.


Sitemize kayıtlı değilseniz linkleri görebilmeniz İçin Kayıt Olun veya Giriş Yapınwol_error.gif
Bu resim yeniden boyutlandırılmıştır, tam halini görmek için tıklayınız.

Sitemize kayıtlı değilseniz linkleri görebilmeniz İçin Kayıt Olun veya Giriş Yapın

Bu aşamada saldırganın uzak adresini, kullandığı portu, kurbanın adını ve saldırganla kurbanın arasındaki veri trafiğinin şifreli olduğunu anlıyoruz. Ama yinede memory bellek dökümünde keylogger hareketleri gözümüzden kaçmıyor. Eğer sanal sistemde sıradan bir kullanıcı konuşmalar yapmış olsaydı yada daha aktif bir kullanıcı olsaydı bu alana konuşmalarda dökülebilirdi.


Sitemize kayıtlı değilseniz linkleri görebilmeniz İçin Kayıt Olun veya Giriş Yapınwol_error.gif
Bu resim yeniden boyutlandırılmıştır, tam halini görmek için tıklayınız.

[url=http://imagesturk.net/images/2014/05/04/13303e6.png]Resim http://imagesturk.net/images/2014/05/04/13303e6.png

Bu aşamada ise yine memory bellek dökümünden elde ettiğimiz keylogger’ın çalışma şekli, logları hangi seviyede aldığı bilgilerine ulaşıyoruz. Memory dökümünü daha fazla kurcalamak istemedim, eğer daha fazla kurcalasaydım daha çok bilgiye ulaşabilirdim.

Bütün işlemler bittiğine göre tekrar explorer altına dönüp halen çalışmakta olan zararlı dosyamızı buluyoruz ve üzerinde bütün çalışma yollarını öldüren terminate işlemini gerçekleştiriyoruz. Daha sonra sistem bazında yaptığımız aramada elimizi geçen kayıtları ve dosyalarıda silip bu rat server’dan kurtulmuş oluyoruz.

Kullanıcı İmzası
Resim https://ozlusoz.files.wordpress.com/2014/01/albert-einstein-resimli-sozu-delilik.jpg

Oliver Destan (Burak Ayyıldız - Eskiler  Tanır)










Aradığınızı Bulamadınız Mı ?

Konuyu Okuyanlar:
1 Ziyaretçi