İnjecte Edilen Backdoor Analiz Tespiti


İnternet   

Yazar: devLop    0 Yorum    113 Görüntüleme
  • 0 Oy - 0 Yüzde

Paylaşım Tarihi: 23.02.2016, 09:41:31 #1
devLop Yeğen
Onaylı Uye
Status: Çevrimdışı Yorum Sayısı:43 Konu Sayısı:34 Üyelik Tarihi:07.09.2015 Rep Puanı: 4

İnjecte Edilen Backdoor Analiz Tespiti


Selamün Aleyküm Dostlar;

Bu konumuzda SpyNet Rat’tan çıkma ve aşağıdaki anti özelliklerini taşıyan bir zararlının sanal ortamda, sistem seviyesinde ve network seviyesinde nasıl analiz edildiğini göstermeye çalışacağım. Bu makalede zararlının yapılandırdığımız tuzaklara aşama aşama nasıl takıldığını göreceğiz.

Anti Sandboxie
Anti Virtual PC
Anti VMWare
Anti VirtualBox
Anti ThreatExpert
Anti Anubis
Anti CWSandbox
Anti JoeBox
Anti Norman Sandbox
Anti SoftIce
Anti Debugger

Şimdi şöyle bir söz vardır aslında, hasta olduktan sonra alınan ilacın bir faydası olmaz, önemli olan hasta olmadan önlemini almaktır.

Bizde gerek fiziksel makinalarımızda, gerekse sanal lab. sistemlerinde gerekli önlemleri daha önce alıyoruz zaten. Aşağıdaki alanlarda aldığımız önlemler sayesinde zararlıyı adım adım izleyeceğiz.

Startup Programs; Başlangıca yerleşen ve her sistem açılışında çalışacak uygulamaların/programların gözlemi.
Active Tasks; O anda aktif durumda çalışan uygulamaların/programların gözlemi. 
Hidden Files; Gizli dosya olarak sisteme inject olan dosyaların gözlemi.
Recent; En son yapılan işlemlerdeki hareketliliğin gözlemi.

Yukardaki saydığım 4 alandaki gözlemlerimizle yola çıkarak zararlıyı sistemde adım adım takip edeceğiz vede anti olarak özellik taşıyan rat server’ın bizi durduramadığını göreceğiz. Aslında olayı şu şekilde özetlemek gerekiyor, anti sanal özellikleri vb. durumları olan zararlı, aynen fiziksel makinada ki gibi windows’un hiçbir alanında görünmeyen ve antilere yakalanmayan özellikler taşıması demektir. Akabinde zaten windows’un ve windows’a yakın yazılımlarla bu tip zararlıları tesbit etmek için çabalamakta yersizdir.



[/url]wol_error.gif
Bu resim yeniden boyutlandırılmıştır, tam halini görmek için tıklayınız.

linkleri görmek için
giriş yapmanız. Yada üye olmanız gerekir.

İlk önce sistemde aktif olarak çalışan uygulama/programlara bakıyoruz vede tek tek kontrol ediyoruz. Ben bu kontrolümde sistemde çalışmadığı halde çalışıyor gibi görünen şüpheli bir programı tesbit ediyorum. Bu program google chrome tarayıcıdır. Bu tarayıcının pid değeri 2488’dir bunu unutmuyorum.


linkleri görmek için giriş yapmanız. Yada üye olmanız gerekir. wol_error.gif
Bu resim yeniden boyutlandırılmıştır, tam halini görmek için tıklayınız.

linkleri görmek için giriş yapmanız. Yada üye olmanız gerekir.

Hemen arkasından en son sistem tarafından algılanan işlemler tarafına bakıyorum ve chrome.exe’nin aktif olarak çalıştığını görüyorum. Lakin chdome.exe den sonrada sisteme 4 kalem cftmon.exe adında bir işleyişin inject olduğunu tesbit ediyorum. Burada kafamı karıştıran durum şudur. Chrome.exe nin tesbit edilme tarihi ile cftmon.exe işleyişlerinin tesbit edilme tarihleri birbirini tutmuyordu. Burada acaba chrome.exe gerçek bir işleyişmidir diyede kendime sormadan geçemiyorum.


linkleri görmek için giriş yapmanız. Yada üye olmanız gerekir. wol_error.gif
Bu resim yeniden boyutlandırılmıştır, tam halini görmek için tıklayınız.

linkleri görmek için giriş yapmanız. Yada üye olmanız gerekir.

Bu aşamada başlangıçta çalışan uygulama ve programların durumunu denetlediğimde chrome.exe yi burada göremiyorum. Lakin cftmon.exe yi burada tesbit ediyorum. Ama son eklenen değerler kısmında 4 kalem cftmon.exe vardı, bir adette chrome.exe şüphelide olsa görünüyordu, ama başlangıç durumunda neden 3 adet cftmon.exe vardı ? Neden chrome.exe görünmüyordu ? Ama chrome.exe neden aktif olarak çalışıyordu ?


linkleri görmek için giriş yapmanız. Yada üye olmanız gerekir. wol_error.gif
Bu resim yeniden boyutlandırılmıştır, tam halini görmek için tıklayınız.

linkleri görmek için giriş yapmanız. Yada üye olmanız gerekir.

Tekrar en son işlemler tarafına bakıyorum ve cftmon.exe işleyişlerinden birinin gizli dosya olarak çalıştığını, bu sayede başlangıçta görünmediği, ve yine akabinde başlangıçta görünmeyen chrome.exe ile bir bağı olduğunu düşünüyorum.


linkleri görmek için giriş yapmanız. Yada üye olmanız gerekir. wol_error.gif
Bu resim yeniden boyutlandırılmıştır, tam halini görmek için tıklayınız.

linkleri görmek için giriş yapmanız. Yada üye olmanız gerekir.

Bu aşamada ise gizli dosyaları kontrol ettiğimde cftmon.exe dosyalarının birinin gerçekten gizli olarak çalıştığını tesbit ediyorum.

linkleri görmek için giriş yapmanız. Yada üye olmanız gerekir. wol_error.gif
Bu resim yeniden boyutlandırılmıştır, tam halini görmek için tıklayınız.

linkleri görmek için giriş yapmanız. Yada üye olmanız gerekir.

Hemen akabinde chrome.exe ile gizli olarak çalışan cftmon.exe dosyasının bir bağı varmı diyerek aktif çalışan dosyaları tekrar kontrol ediyorum ve daha öncede tesbit ettiğim 2488 pid değerini kaydediyorum.


linkleri görmek için giriş yapmanız. Yada üye olmanız gerekir. wol_error.gif
Bu resim yeniden boyutlandırılmıştır, tam halini görmek için tıklayınız.

linkleri görmek için giriş yapmanız. Yada üye olmanız gerekir.

Bu aşamada ise sistemde gerçek bir chrome tarayıcı çalıştırıp 2488 pid değerini kontrol ediyorum. Sol taraftakinin gerçek chrome, sağ taraftaki ise sahte chrome olduğunu anlıyorum. Ama bu nasıl olabiliyordu ? Nasıl sahte bir chrome gerçekmiş gibi sistemde çalışabiliyordu ?


linkleri görmek için giriş yapmanız. Yada üye olmanız gerekir. wol_error.gif
Bu resim yeniden boyutlandırılmıştır, tam halini görmek için tıklayınız.

linkleri görmek için giriş yapmanız. Yada üye olmanız gerekir.

Bunu anlamak içinde çalışan sahte chrome.exe nin memory bellekteki izlerini aramaya başladım. Resimde çalışan sahte chrome.exe bellek dökümüne baktığımda orada "034" ile biten bir değer gözüme çarpmıştı.


linkleri görmek için giriş yapmanız. Yada üye olmanız gerekir. wol_error.gif
Bu resim yeniden boyutlandırılmıştır, tam halini görmek için tıklayınız.

linkleri görmek için giriş yapmanız. Yada üye olmanız gerekir.

Hemen akabinde daha önceki konum tesbitlerimden cftmon.exe nin sistem bazında yaptığım tesbitlerinde, Installed Components değerininde sonu "034" ile biten aynı değerler olduğunu gördüm. 

Bu şu demekti, gizli dosya olarak çalışan cftmon.exe nin aktif çalışanlar altında kendi hareket değerleri olşturduğunu ve gizli dosya olarak çalışacak chrome.exe yi oluşturup ve yine akabinde o şekilde çalışmaya devam ettiği durumuydu.


linkleri görmek için giriş yapmanız. Yada üye olmanız gerekir. wol_error.gif
Bu resim yeniden boyutlandırılmıştır, tam halini görmek için tıklayınız.

linkleri görmek için giriş yapmanız. Yada üye olmanız gerekir.

Hemen network seviyesinde zararlı ve bizi kandırmaya yönelik çalışan dosyayı inceliyoruz. Burada 2488 pid değerinde çalışan zararlının uzak adres, uzak port vb. değerlerini tesbit ediyoruz.


linkleri görmek için giriş yapmanız. Yada üye olmanız gerekir. wol_error.gif
Bu resim yeniden boyutlandırılmıştır, tam halini görmek için tıklayınız.

linkleri görmek için giriş yapmanız. Yada üye olmanız gerekir.

Hemen akabinde explorer.exe altında sahte chrome.exe olarak çalışmakta olan 2488 pid değerindeki zararlı dosyanın memory bellekteki izlerini daha detaylı aramak için dosyayı inceliyoruz.


linkleri görmek için giriş yapmanız. Yada üye olmanız gerekir. wol_error.gif
Bu resim yeniden boyutlandırılmıştır, tam halini görmek için tıklayınız.

linkleri görmek için giriş yapmanız. Yada üye olmanız gerekir.

Bu aşamada saldırganın uzak adresini, kullandığı portu, kurbanın adını ve saldırganla kurbanın arasındaki veri trafiğinin şifreli olduğunu anlıyoruz. Ama yinede memory bellek dökümünde keylogger hareketleri gözümüzden kaçmıyor. Eğer sanal sistemde sıradan bir kullanıcı konuşmalar yapmış olsaydı yada daha aktif bir kullanıcı olsaydı bu alana konuşmalarda dökülebilirdi.


linkleri görmek için giriş yapmanız. Yada üye olmanız gerekir. wol_error.gif
Bu resim yeniden boyutlandırılmıştır, tam halini görmek için tıklayınız.

[url=http://imagesturk.net/images/2014/05/04/13303e6.png]İmage

Bu aşamada ise yine memory bellek dökümünden elde ettiğimiz keylogger’ın çalışma şekli, logları hangi seviyede aldığı bilgilerine ulaşıyoruz. Memory dökümünü daha fazla kurcalamak istemedim, eğer daha fazla kurcalasaydım daha çok bilgiye ulaşabilirdim.

Bütün işlemler bittiğine göre tekrar explorer altına dönüp halen çalışmakta olan zararlı dosyamızı buluyoruz ve üzerinde bütün çalışma yollarını öldüren terminate işlemini gerçekleştiriyoruz. Daha sonra sistem bazında yaptığımız aramada elimizi geçen kayıtları ve dosyalarıda silip bu rat server’dan kurtulmuş oluyoruz.

Kullanıcı İmzası
İmage

Oliver Destan (Burak Ayyıldız - Eskiler  Tanır)







Aradığınızı Bulamadınız Mı ?

Konuyu görüntüleyenler:
1 Misafir