- Katılım
- 4 Nisan 2020
- Mesajlar
- 5.186
- Makaleler
- 11
- Çözümler
- 281
Daha fazla
- Cinsiyet
- Erkek
Bu BAT dosyası şeklinde hazırlanan RAT'ı antivirüsler neden tespit edemiyor?
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Segment Heap
kayıt girdisine erişerek izole bellek alanı için değişiklik yapıyor, ki bu da SegmentationFault tetiklemesine sebep olarak bir nevi yapay "Meltdown" yaratıyor.Hocam açmak zafiyetten etkilenmeye sebep olabilirse kodları nasıl görüntüleyeceğim ki en güvenilir ve temiz şekilde? Araştırma uğruna bir de virüs yemeyeyim .Kodun bu kısmında dosya taşımak ve kurmak haricinde kayda değer tek şey dediğim gibi useplatformtick kullanılması. Aklıma kernel manipülasyonu hariç bir şey gelmiyor fakat bir java dosyası ile bunu yapmak büyük ustalık ister, dediğim gibi tüm kodları görmeden yorum yapmam zor. Bu blok net şekilde tespit edilebilecek bir yapıda.
Not defteri ile açmak sorun yaratmaz yalnız kodun içeriğini bilmediğim için eğer uygulamadaki herhangi bir zeroday açığını tetikliyorsa açmak, zafiyetten etkilenmeye sebep olabilir. Güvenlik açısından online bir not alma sayfasında tutmanızı öneriyorum.
Kodları mail atmayın, JustPaste.it - paste text and share with your friends üzerinden şifreli bir şekilde oluşturup linkini ve şifresini mail atın. Zeroday açığı mevcutsa mail istemcisi dahil herhangi bir uygulama üzerinden tetiklenebilir, bu ihtimali eleyelim.
Herhangi bir linux dağıtımına erişiminiz varsa nano üzerinden görüntüleyebilirsiniz.Hocam açmak zafiyetten etkilenmeye sebep olabilirse kodları nasıl görüntüleyeceğim ki en güvenilir ve temiz şekilde? Araştırma uğruna bir de virüs yemeyeyim .
Hayır oyunlar için hile geliştiren Türk birkaç kişinin Discord sunucusu var. Oradan buldum. Sizce önemli bir şey mi hocam? Ek olarak az önce bu kod bloğunu paylaşıp hemen silen kişiye sorduğumda BAT dosyasının içeriğinin sadece bu kadar olduğunu, başka kod olmadığını söylüyor. Önemli olan BAT dosyası değil çektiği JAR diyor.Herhangi bir linux dağıtımına erişiminiz varsa nano üzerinden görüntüleyebilirsiniz.
Onun haricinde söylediğim ekstrem bir önlem, bat uzantısını kaldırıp normal metin belgesi formatında Notepad++ ile açabilirsiniz.
Bu arada, dosyayı Hybrid Analysis üzerinde taratma imkanınız var mı şu anda?
Ekleme: Rka***** isimli bir .onion uzantılı web sayfasından mı bulmuştunuz dosyayı? İsmi erişim olmaması adına sansürledim fakat site başlığından anlarsınız. Bir forum sitesi, bu tarz batch obfuscation yöntemleri sıklıkla paylaşılıyor ve genelde rus ağlarından ilgi var. Eğer buradan bulduysanız dosya doğrudan batch obfuscation ile şifrelenmiştir, tespit edilemeyen kodda çince metinler veya anlamsız satırlar var mı? @Adrastos
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Segment Heap
kayıt girdisine erişerek izole bellek alanı için değişiklik yapıyor, ki bu da SegmentationFault tetiklemesine sebep olarak bir nevi yapay "Meltdown" yaratıyor.Bilgilendirdiğiniz için çok teşekkür ederim hocam, aydınlandım sayenizde. Burada verdiğiniz bilgilerden yola çıkarak birkaç sorum olacak.Önemli değil, kodun VT üzerinden birkaç incelemesini gerçekleştirdim;
Fakat bunları yapan, adı geçen .jar dosyası. Attığınız .bat dosyası batch obfuscation işlemine maruz kalmış, şifrelenmiş, bozulmuş bir yapıda. Bu sebeple antivirüslere yakalanmıyor, ayrıca doğrudan bu kodlar zararlı bir içerik oluşturmuyor. Bu sebeple AV yazılımları yakalayamıyordur.
- Öncelikle koddaki riskli tek işlem useplatformtick, fakat tahminim gibi bu kernel bypass için kullanılmıyor, aksine dosya zamanlaması için sistemi hazırlıyor.
- İçerikteki "Gold_Hit__EDIT_BY_MART_.jar" isimli dosyanın indirme bağlantısına eriştim, yine cdn.discordapp üzerinden sağlanıyor, üçüncü parti bir dosya. Verilen koddaki dosya ismi farklı olabilir fakat yapılan iş aynı.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Segment Heap
kayıt girdisine erişerek izole bellek alanı için değişiklik yapıyor, ki bu da SegmentationFault tetiklemesine sebep olarak bir nevi yapay "Meltdown" yaratıyor.- TCP kontrolü üzerinde yoğun bir değişiklik yaparak sistemden giden paket sınırını kaldırıyor ve hem aynı ağ hem de dış ağ üzerindeki iletişimi sürekli kılıyor - ki tipik RAT özelliği-.
Sezgisel tarama ve davranış taraması genellikle dış ağa kapalı sistemlerde gerçekleştiriliyor (güvenlik önlemi), bu sebeple indirmeye çalıştığı asıl zararlı dosyayı indiremediği için AV çözümleri zararlı algılamıyor.
Ayrıca konuştuğunuz kişi muhtemelen size doğru bilgiyi sunmuyor, zira VT üzerinden kodun kalan birkaç parçasına da eriştim, kod sadece attığınız bloktan ibaret değil. netsh üzerinden yoğun bir ön hazırlık gerçekleştirilmiş saldırı öncesi.
AV'lerin ağ destekli yanıtının gecikmesi için ise yerel trafik meşgul ediliyor, 65000 bytelık paketlerin localhost'a yönlendirilmesi ile.
Belki VirusTotal'deki çevrimdışı birkaç sandbox'ı atlatabilir ama deneyimli bir gözü asla
Dosyanın kodları şifrelendiği için yürütme öncesi byte-sign analizi ve hash checkler başarısız oluyor, zira dosya kırılamıyor. Ancak sandbox aktif bir AV çözümünde yürütme öncesinde bir sezgisel analiz gerçekleştirilerek, eğer dosya zararlı kod barındırıyorsa bu tespit edilip engellenir. Buradaki sorun, şifrelenmiş dosyanın sezgisel analize ihtiyaç duyması, bu da yürütülme sırasında olduğundan dolayı genelde zararlı sisteme tam istediği zararı verememiş olsa da sızma işlemini teorik olarak gerçekleşti varsayıyoruz biz.Batch obfuscation işlemine maruz kalan BAT dosyalarının bir zararlıya yol açacak olsa bile antivirüsler tarafından algılanmadığı kesin mi oluyor?
JAR 'ın içeriğine bağlı fakat böyle bir .bat dosyasını oluşturmak zor değil, genelde bu tarz dosyaları oluşturup bunları kullanarak saldırı yapmaya çalışanlara script kiddie diyoruz.Bu tarz bir BAT hazırlayıp zararlı bir JAR çalıştırıp RAT yapmak, yani bu dosyanın gerçekleştirdiği işlem ustalık gerektiren bir şey mi yoksa basitçe yapılabilecek bir şey mi? Bu eylemin gerçekleştiricisi usta diyebilir miyiz?
Şimdi çözdüm mantığı.Şöyle düşünün, virüslü bir dosyanın indirme linkini bir .txt dosyasına yapıştırıyorum ve dosyayı kaydediyorum. Ardından yanına bir bat dosyası oluşturuyor ve aynı dizindeki .txt dosyasında yer alan linki çalıştırmasını ve inen dosyayı yürütmesini istiyorum. Bu bir virüs mü? Değil. Virüs olan .txt içindeki dosya, fakat AV ve VirusTotal gibi servisler, kullanıcı tabanlı çalışmadığı, sadece yüklenen dosyaya baktığı için tıpk bu örnekte olduğu gibi bat dosyasına da virüs demeyecek. Olay aslında bundan ibaret.
Peki ya söz konusu burada bir .bat uzantılı dosya yerine .pdf uzantılı bir dosya olsaydı? .pdf uzantılı dosyalarla da RAT zararlısı sızabilir mi?JAR 'ın içeriğine bağlı fakat böyle bir .bat dosyasını oluşturmak zor değil, genelde bu tarz dosyaları oluşturup bunları kullanarak saldırı yapmaya çalışanlara script kiddie diyoruz.
cmd, bat, exe, py... tetiklenebilen her türlü dosyada bir D.Generic yaratmak mümkün, bu pdf için de olur fakat pdf ile doğrudan dosya indirmesini tetiklemek için sistemde bu açığa uygun bir pdf aracı olması gerek.Peki ya söz konusu burada bir .bat uzantılı dosya yerine .pdf uzantılı bir dosya olsaydı? .pdf uzantılı dosyalarla da RAT zararlısı sızabilir mi?
Tekrardan teşekkür ediyorum bilgilendirip konuya açıklık getirdiğiniz için hocam. Var olun .cmd, bat, exe, py... tetiklenebilen her türlü dosyada bir D.Generic yaratmak mümkün, bu pdf için de olur fakat pdf ile doğrudan dosya indirmesini tetiklemek için sistemde bu açığa uygun bir pdf aracı olması gerek.
Bu sitenin çalışmasını sağlamak için gerekli çerezleri ve deneyiminizi iyileştirmek için isteğe bağlı çerezleri kullanıyoruz.