Çözüldü BAT dosyası olarak hazırlanan RAT'ı av neden tespit edemiyor?

Bu konu çözüldü olarak işaretlenmiştir. Çözülmediğini düşünüyorsanız konuyu rapor edebilirsiniz.
Çözüm
Dutchman
Önemli değil, kodun VT üzerinden birkaç incelemesini gerçekleştirdim;
  • Öncelikle koddaki riskli tek işlem useplatformtick, fakat tahminim gibi bu kernel bypass için kullanılmıyor, aksine dosya zamanlaması için sistemi hazırlıyor.
  • İçerikteki "Gold_Hit__EDIT_BY_MART_.jar" isimli dosyanın indirme bağlantısına eriştim, yine cdn.discordapp üzerinden sağlanıyor, üçüncü parti bir dosya. Verilen koddaki dosya ismi farklı olabilir fakat yapılan iş aynı.
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Segment Heap kayıt girdisine erişerek izole bellek alanı için değişiklik yapıyor, ki bu da SegmentationFault tetiklemesine sebep olarak bir nevi yapay "Meltdown" yaratıyor.
  • TCP kontrolü üzerinde yoğun bir değişiklik yaparak sistemden giden paket sınırını kaldırıyor ve hem aynı ağ hem de dış ağ üzerindeki iletişimi sürekli kılıyor - ki tipik RAT özelliği-.
Fakat bunları yapan, adı geçen .jar dosyası. Attığınız .bat dosyası batch obfuscation işlemine maruz kalmış, şifrelenmiş, bozulmuş bir yapıda. Bu sebeple antivirüslere yakalanmıyor, ayrıca doğrudan bu kodlar zararlı bir içerik oluşturmuyor. Bu sebeple AV yazılımları yakalayamıyordur.

Sezgisel tarama ve davranış taraması genellikle dış ağa kapalı sistemlerde gerçekleştiriliyor (güvenlik önlemi), bu sebeple indirmeye çalıştığı asıl zararlı dosyayı indiremediği için AV çözümleri zararlı algılamıyor.

Ayrıca konuştuğunuz kişi muhtemelen size doğru bilgiyi sunmuyor, zira VT üzerinden kodun kalan birkaç parçasına da eriştim, kod sadece attığınız bloktan ibaret değil. netsh üzerinden yoğun bir ön hazırlık gerçekleştirilmiş saldırı öncesi.

AV'lerin ağ destekli yanıtının gecikmesi için ise yerel trafik meşgul ediliyor, 65000 bytelık paketlerin localhost'a yönlendirilmesi ile.
Belki VirusTotal'deki çevrimdışı birkaç sandbox'ı atlatabilir ama deneyimli bir gözü asla 🙃
Tarihe göre sırala Puana göre sırala
Kodun bu kısmında dosya taşımak ve kurmak haricinde kayda değer tek şey dediğim gibi useplatformtick kullanılması. Aklıma kernel manipülasyonu hariç bir şey gelmiyor fakat bir java dosyası ile bunu yapmak büyük ustalık ister, dediğim gibi tüm kodları görmeden yorum yapmam zor. Bu blok net şekilde tespit edilebilecek bir yapıda.

Not defteri ile açmak sorun yaratmaz yalnız kodun içeriğini bilmediğim için eğer uygulamadaki herhangi bir zeroday açığını tetikliyorsa açmak, zafiyetten etkilenmeye sebep olabilir. Güvenlik açısından online bir not alma sayfasında tutmanızı öneriyorum.

Kodları mail atmayın, JustPaste.it - paste text and share with your friends üzerinden şifreli bir şekilde oluşturup linkini ve şifresini mail atın. Zeroday açığı mevcutsa mail istemcisi dahil herhangi bir uygulama üzerinden tetiklenebilir, bu ihtimali eleyelim.
 
Artı 0 Eksi
Dutchman dedi:
Kodun bu kısmında dosya taşımak ve kurmak haricinde kayda değer tek şey dediğim gibi useplatformtick kullanılması. Aklıma kernel manipülasyonu hariç bir şey gelmiyor fakat bir java dosyası ile bunu yapmak büyük ustalık ister, dediğim gibi tüm kodları görmeden yorum yapmam zor. Bu blok net şekilde tespit edilebilecek bir yapıda.

Not defteri ile açmak sorun yaratmaz yalnız kodun içeriğini bilmediğim için eğer uygulamadaki herhangi bir zeroday açığını tetikliyorsa açmak, zafiyetten etkilenmeye sebep olabilir. Güvenlik açısından online bir not alma sayfasında tutmanızı öneriyorum.

Kodları mail atmayın, JustPaste.it - paste text and share with your friends üzerinden şifreli bir şekilde oluşturup linkini ve şifresini mail atın. Zeroday açığı mevcutsa mail istemcisi dahil herhangi bir uygulama üzerinden tetiklenebilir, bu ihtimali eleyelim.
Genişletmek için tıkla...
Hocam açmak zafiyetten etkilenmeye sebep olabilirse kodları nasıl görüntüleyeceğim ki en güvenilir ve temiz şekilde? Araştırma uğruna bir de virüs yemeyeyim 😅.
 
Artı 0 Eksi
Adrastos dedi:
Hocam açmak zafiyetten etkilenmeye sebep olabilirse kodları nasıl görüntüleyeceğim ki en güvenilir ve temiz şekilde? Araştırma uğruna bir de virüs yemeyeyim 😅.
Genişletmek için tıkla...
Herhangi bir linux dağıtımına erişiminiz varsa nano üzerinden görüntüleyebilirsiniz.

Onun haricinde söylediğim ekstrem bir önlem, bat uzantısını kaldırıp normal metin belgesi formatında Notepad++ ile açabilirsiniz.

Bu arada, dosyayı Hybrid Analysis üzerinde taratma imkanınız var mı şu anda?

Ekleme: Rka***** isimli bir .onion uzantılı web sayfasından mı bulmuştunuz dosyayı? İsmi erişim olmaması adına sansürledim fakat site başlığından anlarsınız. Bir forum sitesi, bu tarz batch obfuscation yöntemleri sıklıkla paylaşılıyor ve genelde rus ağlarından ilgi var. Eğer buradan bulduysanız dosya doğrudan batch obfuscation ile şifrelenmiştir, tespit edilemeyen kodda çince metinler veya anlamsız satırlar var mı? @Adrastos
 
Son düzenleme:
Artı 0 Eksi
Dutchman dedi:
Herhangi bir linux dağıtımına erişiminiz varsa nano üzerinden görüntüleyebilirsiniz.

Onun haricinde söylediğim ekstrem bir önlem, bat uzantısını kaldırıp normal metin belgesi formatında Notepad++ ile açabilirsiniz.

Bu arada, dosyayı Hybrid Analysis üzerinde taratma imkanınız var mı şu anda?

Ekleme: Rka***** isimli bir .onion uzantılı web sayfasından mı bulmuştunuz dosyayı? İsmi erişim olmaması adına sansürledim fakat site başlığından anlarsınız. Bir forum sitesi, bu tarz batch obfuscation yöntemleri sıklıkla paylaşılıyor ve genelde rus ağlarından ilgi var. Eğer buradan bulduysanız dosya doğrudan batch obfuscation ile şifrelenmiştir, tespit edilemeyen kodda çince metinler veya anlamsız satırlar var mı? @Adrastos
Genişletmek için tıkla...
Hayır oyunlar için hile geliştiren Türk birkaç kişinin Discord sunucusu var. Oradan buldum. Sizce önemli bir şey mi hocam? Ek olarak az önce bu kod bloğunu paylaşıp hemen silen kişiye sorduğumda BAT dosyasının içeriğinin sadece bu kadar olduğunu, başka kod olmadığını söylüyor. Önemli olan BAT dosyası değil çektiği JAR diyor.
 
Artı 0 Eksi
Önemli değil, kodun VT üzerinden birkaç incelemesini gerçekleştirdim;
  • Öncelikle koddaki riskli tek işlem useplatformtick, fakat tahminim gibi bu kernel bypass için kullanılmıyor, aksine dosya zamanlaması için sistemi hazırlıyor.
  • İçerikteki "Gold_Hit__EDIT_BY_MART_.jar" isimli dosyanın indirme bağlantısına eriştim, yine cdn.discordapp üzerinden sağlanıyor, üçüncü parti bir dosya. Verilen koddaki dosya ismi farklı olabilir fakat yapılan iş aynı.
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Segment Heap kayıt girdisine erişerek izole bellek alanı için değişiklik yapıyor, ki bu da SegmentationFault tetiklemesine sebep olarak bir nevi yapay "Meltdown" yaratıyor.
  • TCP kontrolü üzerinde yoğun bir değişiklik yaparak sistemden giden paket sınırını kaldırıyor ve hem aynı ağ hem de dış ağ üzerindeki iletişimi sürekli kılıyor - ki tipik RAT özelliği-.
Fakat bunları yapan, adı geçen .jar dosyası. Attığınız .bat dosyası batch obfuscation işlemine maruz kalmış, şifrelenmiş, bozulmuş bir yapıda. Bu sebeple antivirüslere yakalanmıyor, ayrıca doğrudan bu kodlar zararlı bir içerik oluşturmuyor. Bu sebeple AV yazılımları yakalayamıyordur.

Sezgisel tarama ve davranış taraması genellikle dış ağa kapalı sistemlerde gerçekleştiriliyor (güvenlik önlemi), bu sebeple indirmeye çalıştığı asıl zararlı dosyayı indiremediği için AV çözümleri zararlı algılamıyor.

Ayrıca konuştuğunuz kişi muhtemelen size doğru bilgiyi sunmuyor, zira VT üzerinden kodun kalan birkaç parçasına da eriştim, kod sadece attığınız bloktan ibaret değil. netsh üzerinden yoğun bir ön hazırlık gerçekleştirilmiş saldırı öncesi.

AV'lerin ağ destekli yanıtının gecikmesi için ise yerel trafik meşgul ediliyor, 65000 bytelık paketlerin localhost'a yönlendirilmesi ile.
Belki VirusTotal'deki çevrimdışı birkaç sandbox'ı atlatabilir ama deneyimli bir gözü asla 🙃
 
Artı 0 Eksi
Çözüm
Dutchman dedi:
Önemli değil, kodun VT üzerinden birkaç incelemesini gerçekleştirdim;
  • Öncelikle koddaki riskli tek işlem useplatformtick, fakat tahminim gibi bu kernel bypass için kullanılmıyor, aksine dosya zamanlaması için sistemi hazırlıyor.
  • İçerikteki "Gold_Hit__EDIT_BY_MART_.jar" isimli dosyanın indirme bağlantısına eriştim, yine cdn.discordapp üzerinden sağlanıyor, üçüncü parti bir dosya. Verilen koddaki dosya ismi farklı olabilir fakat yapılan iş aynı.
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Segment Heap kayıt girdisine erişerek izole bellek alanı için değişiklik yapıyor, ki bu da SegmentationFault tetiklemesine sebep olarak bir nevi yapay "Meltdown" yaratıyor.
  • TCP kontrolü üzerinde yoğun bir değişiklik yaparak sistemden giden paket sınırını kaldırıyor ve hem aynı ağ hem de dış ağ üzerindeki iletişimi sürekli kılıyor - ki tipik RAT özelliği-.
Fakat bunları yapan, adı geçen .jar dosyası. Attığınız .bat dosyası batch obfuscation işlemine maruz kalmış, şifrelenmiş, bozulmuş bir yapıda. Bu sebeple antivirüslere yakalanmıyor, ayrıca doğrudan bu kodlar zararlı bir içerik oluşturmuyor. Bu sebeple AV yazılımları yakalayamıyordur.

Sezgisel tarama ve davranış taraması genellikle dış ağa kapalı sistemlerde gerçekleştiriliyor (güvenlik önlemi), bu sebeple indirmeye çalıştığı asıl zararlı dosyayı indiremediği için AV çözümleri zararlı algılamıyor.

Ayrıca konuştuğunuz kişi muhtemelen size doğru bilgiyi sunmuyor, zira VT üzerinden kodun kalan birkaç parçasına da eriştim, kod sadece attığınız bloktan ibaret değil. netsh üzerinden yoğun bir ön hazırlık gerçekleştirilmiş saldırı öncesi.

AV'lerin ağ destekli yanıtının gecikmesi için ise yerel trafik meşgul ediliyor, 65000 bytelık paketlerin localhost'a yönlendirilmesi ile.
Belki VirusTotal'deki çevrimdışı birkaç sandbox'ı atlatabilir ama deneyimli bir gözü asla 🙃
Genişletmek için tıkla...
Bilgilendirdiğiniz için çok teşekkür ederim hocam, aydınlandım sayenizde. Burada verdiğiniz bilgilerden yola çıkarak birkaç sorum olacak.

Batch obfuscation işlemine maruz kalan BAT dosyalarının bir zararlıya yol açacak olsa bile antivirüsler tarafından algılanmadığı kesin mi oluyor?

Bu tarz bir BAT hazırlayıp zararlı bir JAR çalıştırıp RAT yapmak, yani bu dosyanın gerçekleştirdiği işlem ustalık gerektiren bir şey mi yoksa basitçe yapılabilecek bir şey mi? Bu eylemin gerçekleştiricisi usta diyebilir miyiz?
 
Artı 0 Eksi
Adrastos dedi:
Batch obfuscation işlemine maruz kalan BAT dosyalarının bir zararlıya yol açacak olsa bile antivirüsler tarafından algılanmadığı kesin mi oluyor?
Genişletmek için tıkla...
Dosyanın kodları şifrelendiği için yürütme öncesi byte-sign analizi ve hash checkler başarısız oluyor, zira dosya kırılamıyor. Ancak sandbox aktif bir AV çözümünde yürütme öncesinde bir sezgisel analiz gerçekleştirilerek, eğer dosya zararlı kod barındırıyorsa bu tespit edilip engellenir. Buradaki sorun, şifrelenmiş dosyanın sezgisel analize ihtiyaç duyması, bu da yürütülme sırasında olduğundan dolayı genelde zararlı sisteme tam istediği zararı verememiş olsa da sızma işlemini teorik olarak gerçekleşti varsayıyoruz biz.

Dosyada zararlı kod yoksa, fakat bu örnekteki gibi zararlı bir dosyayı indiriyorsa mevcut dosya bir D.Generic sınıflandırmasına tabi tutulur veya temiz olarak işaretlenir, fakat indirilen dosya tespit edilir ve AV tarafından buna işlem uygulanır.

Attığınız VT raporunda da bir şaşırtmaca, kandırmaca söz konusu. Öncelikle zararlı tespit edilememiş değil, zararlının sızması için gerekli script tespit edilememiş. Fakat bu script, tek başına sisteme zarar verebilecek kapasitede değil, en azından tek başına RAT değil. İndirmesi gereken bir Java dosyası var ki bu da python gerektiren bir dosya ayrıca.

Bu sebeple bu dosyanın zararlı olarak tespit edilememesi gayet normal, zira zararlı değil.

Şöyle düşünün, virüslü bir dosyanın indirme linkini bir .txt dosyasına yapıştırıyorum ve dosyayı kaydediyorum. Ardından yanına bir bat dosyası oluşturuyor ve aynı dizindeki .txt dosyasında yer alan linki çalıştırmasını ve inen dosyayı yürütmesini istiyorum. Bu bir virüs mü? Değil. Virüs olan .txt içindeki dosya, fakat AV ve VirusTotal gibi servisler, kullanıcı tabanlı çalışmadığı, sadece yüklenen dosyaya baktığı için tıpk bu örnekte olduğu gibi bat dosyasına da virüs demeyecek. Olay aslında bundan ibaret.

Adrastos dedi:
Bu tarz bir BAT hazırlayıp zararlı bir JAR çalıştırıp RAT yapmak, yani bu dosyanın gerçekleştirdiği işlem ustalık gerektiren bir şey mi yoksa basitçe yapılabilecek bir şey mi? Bu eylemin gerçekleştiricisi usta diyebilir miyiz?
Genişletmek için tıkla...
JAR 'ın içeriğine bağlı fakat böyle bir .bat dosyasını oluşturmak zor değil, genelde bu tarz dosyaları oluşturup bunları kullanarak saldırı yapmaya çalışanlara script kiddie diyoruz.
 
Artı 0 Eksi
Dutchman dedi:
Şöyle düşünün, virüslü bir dosyanın indirme linkini bir .txt dosyasına yapıştırıyorum ve dosyayı kaydediyorum. Ardından yanına bir bat dosyası oluşturuyor ve aynı dizindeki .txt dosyasında yer alan linki çalıştırmasını ve inen dosyayı yürütmesini istiyorum. Bu bir virüs mü? Değil. Virüs olan .txt içindeki dosya, fakat AV ve VirusTotal gibi servisler, kullanıcı tabanlı çalışmadığı, sadece yüklenen dosyaya baktığı için tıpk bu örnekte olduğu gibi bat dosyasına da virüs demeyecek. Olay aslında bundan ibaret.
Genişletmek için tıkla...
Şimdi çözdüm mantığı.

Dutchman dedi:
JAR 'ın içeriğine bağlı fakat böyle bir .bat dosyasını oluşturmak zor değil, genelde bu tarz dosyaları oluşturup bunları kullanarak saldırı yapmaya çalışanlara script kiddie diyoruz.
Genişletmek için tıkla...
Peki ya söz konusu burada bir .bat uzantılı dosya yerine .pdf uzantılı bir dosya olsaydı? .pdf uzantılı dosyalarla da RAT zararlısı sızabilir mi?
 
Artı 0 Eksi
Adrastos dedi:
Peki ya söz konusu burada bir .bat uzantılı dosya yerine .pdf uzantılı bir dosya olsaydı? .pdf uzantılı dosyalarla da RAT zararlısı sızabilir mi?
Genişletmek için tıkla...
cmd, bat, exe, py... tetiklenebilen her türlü dosyada bir D.Generic yaratmak mümkün, bu pdf için de olur fakat pdf ile doğrudan dosya indirmesini tetiklemek için sistemde bu açığa uygun bir pdf aracı olması gerek.
 
Artı 0 Eksi
Dutchman dedi:
cmd, bat, exe, py... tetiklenebilen her türlü dosyada bir D.Generic yaratmak mümkün, bu pdf için de olur fakat pdf ile doğrudan dosya indirmesini tetiklemek için sistemde bu açığa uygun bir pdf aracı olması gerek.
Genişletmek için tıkla...
Tekrardan teşekkür ediyorum bilgilendirip konuya açıklık getirdiğiniz için hocam. Var olun 🙃.
 
Artı 0 Eksi

Benzer konular

Elliot Türkinson
  • Kilitli
Defender BAT dosyasını virüs olarak algıladı
Mesaj
3
Görüntüleme
383
Elliot Türkinson
Elliot Türkinson
SiyahPassat
Kaspersky, CPU kullanan virüsü tespit edemiyor
2 3
Mesaj
21
Görüntüleme
2B
Murat5038
Murat5038
Rotz.exe
Bat dosyası güvenli mi?
Mesaj
0
Görüntüleme
333
Rotz.exe
Rotz.exe
JacKss
  • Soru
BAT dosyası zararlı olabilir mi?
Mesaj
9
Görüntüleme
584
JacKss
JacKss
Radebaugh
Çözüm  Sistemimde bir .bat dosyası buldum
Mesaj
7
Görüntüleme
2B
Radebaugh
Radebaugh

Yeni konular

Yeni mesajlar

Geri
Yukarı