schopenhauercı
Centipat
- Katılım
- 4 Kasım 2022
- Mesajlar
- 29
Daha fazla
- Cinsiyet
- Erkek
Arşiv içi uygulamada Sophos ve Symantec pozitif veriyor ve şüpheli yaklaşıyor, yeni bir varyant olma ihtimali yüksek.
Rehber: FileScan.io ile Dinamik Analiz Raporu Hazırlama
Selamlar, Şüpheli dosyaların dinamik analizini yapmak son derece önemli, bu sayede statik tespitten zero-day exploit tespitine kadar geniş bir alanda rapor elde edebilirsiniz. Giriş için bağlantıya tıklayın. 100 MB'a kadar olan dosyaları tarayabilirsiniz. Yüklemek için boş alana tıklayıp...www.technopat.net Rehber: Hybrid Analysis Raporu Hazırlama
Selamlar, Bu konudaki adımları izleyerek sizden istenen Hybrid Analysis raporunu oluşturabilirsiniz. Rapor alan/almaya çalışan pek çok kişi hazır ayarlar ile rapor aldığı için konudaki opsiyonel seçenekleri rapor isteyen kişinin yönlendirmesi doğrultusunda seçerseniz doğru analiz sonuçlarına...www.technopat.net
İki raporu da alıp paylaşın burada, kesin sonuca göre ilerleyelim. Arşiv şifreli ise arşivden çıkarıp taratın.
Açmadıysan sorun yok. Şüpheli aktiviteleri var ancak yine de güvenmeyin kullanmayın.exe dosyasını açmadım. Virüs bulaşmış mıdır? Format atmam gerekir mi?
Çok ilginç, false-positive olmasını beklerdim fakat "T1056.001" gibi bir Input logging kullanması yani bir nevi keylogging yapması çok tuhafıma gitti. Kaldı ki ekran görüntüsüne erişmesini sağlayan bir API'yi de çağırıyor.
Hocam hybrid analysis raporu kötü niyetli çıktı. Filescan'da taratmak istedim site açılmadı.
Kafam iyice karıştı. Oyunu indirmekten de vazgeçtim. Ben bu dosyayı RAR'dan çıkarttım fakat exe dosyasını açmadım. Virüs bulaşmış mıdır? Format atmam gerekir mi?
Kırk yılın başı hikayesi sağlam bir oyun oynamaya niyetlendim ona da pişman oldum.
Haklısınız. Bir sıkıntı görünmüyor.Çok ilginç, false-positive olmasını beklerdim fakat "T1056.001" gibi bir Input logging kullanması yani bir nevi keylogging yapması çok tuhafıma gitti. Kaldı ki ekran görüntüsüne erişmesini sağlayan bir API'yi de çağırıyor.
"T1056.001" eşleşmesini şu yama kurulum araçlarındaki "ilerlemek için bir tuşa basın" etkileşimine bağlıyorum. Ekran görüntüsü alabilecek modülü neden çağırdığını hala çözemedim.
Şüpheli erişim metodları var, fakat bunları yamalanacak uygulamaya erişmek için yaptığını düşünüyorum. Benim görüşüm dosyanın temiz olduğu yönünde yani tespitler tamamen davranışsal analizin yanlış yorumlanmasından kaynaklı. Kullanabilirsiniz, fakat mutlaka aktif bir AV ile kullanın ve mümkünse tespit seviyesi agresifte yani maksimumda olsun.
@Dutchman Hocam açıklayıcı ve ayrıntılı rapor yorumunuz için teşekkürler. Tavsiye edebileceğiniz AV var mı?Çok ilginç, false-positive olmasını beklerdim fakat "T1056.001" gibi bir Input logging kullanması yani bir nevi keylogging yapması çok tuhafıma gitti. Kaldı ki ekran görüntüsüne erişmesini sağlayan bir API'yi de çağırıyor.
"T1056.001" eşleşmesini şu yama kurulum araçlarındaki "ilerlemek için bir tuşa basın" etkileşimine bağlıyorum. Ekran görüntüsü alabilecek modülü neden çağırdığını hala çözemedim.
Şüpheli erişim metodları var, fakat bunları yamalanacak uygulamaya erişmek için yaptığını düşünüyorum. Benim görüşüm dosyanın temiz olduğu yönünde yani tespitler tamamen davranışsal analizin yanlış yorumlanmasından kaynaklı. Kullanabilirsiniz, fakat mutlaka aktif bir AV ile kullanın ve mümkünse tespit seviyesi agresifte yani maksimumda olsun.
Farklı görüşlere ve tartışmaya açığım bu arada, ilgilenenler için dosyanın dinamik analiz raporu, eşleşen MITRE kural seti ve dikkat çeken belirli API isteklerini ekliyorum.
Dinamik analiz raporu: FileScan.io Report Overview
Eşleşen MITRE kural seti:technique_id,technique_description,tactic_description,matched_malicious_indicators_count,matched_suspicious_indicators_count,matched_informative_indicators_count
T1106,"Native API",Execution,1,2,3
T1134.003,"Make and Impersonate Token","Privilege Escalation",0,1,0
T1134.001,"Token Impersonation/Theft","Privilege Escalation",0,1,2
T1134,"Access Token Manipulation","Privilege Escalation",0,0,1
T1548,"Abuse Elevation Control Mechanism","Privilege Escalation",0,0,1
T1134.003,"Make and Impersonate Token","Defense Evasion",0,1,0
T1134.001,"Token Impersonation/Theft","Defense Evasion",0,1,2
T1134,"Access Token Manipulation","Defense Evasion",0,0,1
T1027.002,"Software Packing","Defense Evasion",0,1,1
T1497,"Virtualization/Sandbox Evasion","Defense Evasion",0,0,1
T1548,"Abuse Elevation Control Mechanism","Defense Evasion",0,0,1
T1056.004,"Credential API Hooking","Credential Access",0,2,0
T1056.001,Keylogging,"Credential Access",0,2,1
T1083,"File and Directory Discovery",Discovery,0,1,4
T1614.001,"System Language Discovery",Discovery,0,1,1
T1082,"System Information Discovery",Discovery,0,3,6
T1057,"Process Discovery",Discovery,0,0,1
T1124,"System Time Discovery",Discovery,0,0,2
T1010,"Application Window Discovery",Discovery,0,1,1
T1497,"Virtualization/Sandbox Evasion",Discovery,0,0,1
T1012,"Query Registry",Discovery,0,1,4
T1033,"System Owner/User Discovery",Discovery,0,0,2
T1114,"Email Collection",Collection,0,1,0
T1113,"Screen Capture",Collection,0,0,2
T1056.004,"Credential API Hooking",Collection,0,2,0
T1056.001,Keylogging,Collection,0,2,1
T1105,"Ingress Tool Transfer","Command and Control",0,0,1
T1529,"System Shutdown/Reboot",Impact,1,0,0
Keylogging @ GetKeyState@USER32.DLL(PID:1996):@40b487: pushad
@40b488: push 00000012h
@40b48a: call 00404A60h ;GetKeyState@USER32.DLL
@40b48f: add eax, eax
@40b491: popad
@40b492: xchg eax, edx
@40b493: mov eax, dword ptr [eax+08h]
@40b496: jnc 0040B49Ah
@40b498: or al, 20h
@40b49a: push eax
@40b49b: mov eax, dword ptr [ebx+50h]
@40b49e: lea esi, dword ptr [eax+18h]
@40b4a1: call dword ptr [0040B4BBh+edx*4]
@40b4a8: push ecx
@40b4a9: mov ecx, esp
@40b4ab: mov edx, ebx
@40b4ad: mov eax, dword ptr [esi+04h]
@40b4b0: call dword ptr [esi]
@40b4b2: pop ecx
@40b4b3: pop edx
@40b4b4: pop edx
@40b4b5: mov cl, ch
@40b4b7: xchg eax, ecx
@40b4b8: pop esi
@40b4b9: pop ebx
@40b4ba: ret
Imported API list:RegCloseKey
OpenProcessToken
GetUserNameA
RegCreateKeyExA
RegOpenKeyExA
RegEnumKeyExA
GetFileAttributesA
GetVersionExA
GetModuleFileNameA
LoadLibraryA
WinExec
GetFileSize
OpenProcess
CreateDirectoryA
DeleteFileA
UnhandledExceptionFilter
GetCommandLineA
GetProcAddress
GetTempPathA
GetModuleHandleA
FindFirstFileA
WriteFile
GetStartupInfoA
GetComputerNameA
FindNextFileA
GetSystemDirectoryA
TerminateProcess
Sleep
CreateFileA
VirtualAlloc
ShellExecuteExA
ShellExecuteA
FindWindowA
GetCursorPos
GetUpdateRgn
Açıkçası bu konu biraz riskli, şimdi VT sonucundaki tespit yapan AV'leri kullanmak mı mantıklı yoksa bilinen 3 büyüklerden birini mi kullanmak?@Dutchman Hocam açıklayıcı ve ayrıntılı rapor yorumunuz için teşekkürler. Tavsiye edebileceğiniz AV var mı?
@Dutchman Hocam gerçekten sizden çok şey öğrendim. Teşekkürler.Açıkçası bu konu biraz riskli, şimdi VT sonucundaki tespit yapan AV'leri kullanmak mı mantıklı yoksa bilinen 3 büyüklerden birini mi kullanmak?
Kaspersky'ın bu konuda sistem izleyicisi iyi iş yapıyor, ayarı agresife getirip uygulamayı çalıştırmanız daha doğru olur. İmza tespitine zaten yakalanmayacak, ancak bu davranışlarından bir adım öteye giderse örneğin uygulama içi değil de tüm Windows'daki tuşlamaları kaydetmeye başlarsa orada Kaspersky devreye girmeli.
Ben yerinizde olsam bu uygulamayı Windows VPS üzerinde çalıştırıp, orada test ederdim. Bir nevi sanal makine misali. Ana makineyi riske atmaya gerek yok.
Ayrıca attığım sitede eğer dosyaları ayıkladığınız yerde elle değiştirebileceğiniz türden bir yama mevcutsa hiç uygulamayı açmakla uğraşmayın, oradaki dosyaları kopyalayıp kendi sisteminizde ilgili yere yapıştırın doğrudan değişsin. Uygulama içi ek yamalanma gerekiyorsa onu bilemiyorum.