VirusTotal sonucu nasıl?


Arşiv içi uygulamada Sophos ve Symantec pozitif veriyor ve şüpheli yaklaşıyor, yeni bir varyant olma ihtimali yüksek.


İki raporu da alıp paylaşın burada, kesin sonuca göre ilerleyelim. Arşiv şifreli ise arşivden çıkarıp taratın.


Hocam hybrid analysis raporu kötü niyetli çıktı. Filescan'da taratmak istedim site açılmadı.

Kafam iyice karıştı. Oyunu indirmekten de vazgeçtim. Ben bu dosyayı RAR'dan çıkardım fakat exe dosyasını açmadım. Virüs bulaşmış mıdır? Format atmam gerekir mi?

Kırk yılın başı hikayesi sağlam bir oyun oynamaya niyetlendim ona da pişman oldum.
 
Son düzenleme:

Hocam hybrid analysis raporu kötü niyetli çıktı. Filescan'da taratmak istedim site açılmadı.

Kafam iyice karıştı. Oyunu indirmekten de vazgeçtim. Ben bu dosyayı RAR'dan çıkarttım fakat exe dosyasını açmadım. Virüs bulaşmış mıdır? Format atmam gerekir mi?

Kırk yılın başı hikayesi sağlam bir oyun oynamaya niyetlendim ona da pişman oldum.
Çok ilginç, false-positive olmasını beklerdim fakat "T1056.001" gibi bir Input logging kullanması yani bir nevi keylogging yapması çok tuhafıma gitti. Kaldı ki ekran görüntüsüne erişmesini sağlayan bir API'yi de çağırıyor.

"T1056.001" eşleşmesini şu yama kurulum araçlarındaki "ilerlemek için bir tuşa basın" etkileşimine bağlıyorum. Ekran görüntüsü alabilecek modülü neden çağırdığını hala çözemedim.
Şüpheli erişim metodları var, fakat bunları yamalanacak uygulamaya erişmek için yaptığını düşünüyorum. Benim görüşüm dosyanın temiz olduğu yönünde yani tespitler tamamen davranışsal analizin yanlış yorumlanmasından kaynaklı. Kullanabilirsiniz, fakat mutlaka aktif bir AV ile kullanın ve mümkünse tespit seviyesi agresifte yani maksimumda olsun.


Farklı görüşlere ve tartışmaya açığım bu arada, ilgilenenler için dosyanın dinamik analiz raporu, eşleşen MITRE kural seti ve dikkat çeken belirli API isteklerini ekliyorum.

Dinamik analiz raporu: FileScan.io Report Overview

Eşleşen MITRE kural seti:
technique_id,technique_description,tactic_description,matched_malicious_indicators_count,matched_suspicious_indicators_count,matched_informative_indicators_count
T1106,"Native API",Execution,1,2,3
T1134.003,"Make and Impersonate Token","Privilege Escalation",0,1,0
T1134.001,"Token Impersonation/Theft","Privilege Escalation",0,1,2
T1134,"Access Token Manipulation","Privilege Escalation",0,0,1
T1548,"Abuse Elevation Control Mechanism","Privilege Escalation",0,0,1
T1134.003,"Make and Impersonate Token","Defense Evasion",0,1,0
T1134.001,"Token Impersonation/Theft","Defense Evasion",0,1,2
T1134,"Access Token Manipulation","Defense Evasion",0,0,1
T1027.002,"Software Packing","Defense Evasion",0,1,1
T1497,"Virtualization/Sandbox Evasion","Defense Evasion",0,0,1
T1548,"Abuse Elevation Control Mechanism","Defense Evasion",0,0,1
T1056.004,"Credential API Hooking","Credential Access",0,2,0
T1056.001,Keylogging,"Credential Access",0,2,1
T1083,"File and Directory Discovery",Discovery,0,1,4
T1614.001,"System Language Discovery",Discovery,0,1,1
T1082,"System Information Discovery",Discovery,0,3,6
T1057,"Process Discovery",Discovery,0,0,1
T1124,"System Time Discovery",Discovery,0,0,2
T1010,"Application Window Discovery",Discovery,0,1,1
T1497,"Virtualization/Sandbox Evasion",Discovery,0,0,1
T1012,"Query Registry",Discovery,0,1,4
T1033,"System Owner/User Discovery",Discovery,0,0,2
T1114,"Email Collection",Collection,0,1,0
T1113,"Screen Capture",Collection,0,0,2
T1056.004,"Credential API Hooking",Collection,0,2,0
T1056.001,Keylogging,Collection,0,2,1
T1105,"Ingress Tool Transfer","Command and Control",0,0,1
T1529,"System Shutdown/Reboot",Impact,1,0,0

Keylogging @ [email protected](PID:1996):
@40b487: pushad
@40b488: push 00000012h
@40b48a: call 00404A60h ;[email protected]
@40b48f: add eax, eax
@40b491: popad
@40b492: xchg eax, edx
@40b493: mov eax, dword ptr [eax+08h]
@40b496: jnc 0040B49Ah
@40b498: or al, 20h
@40b49a: push eax
@40b49b: mov eax, dword ptr [ebx+50h]
@40b49e: lea esi, dword ptr [eax+18h]
@40b4a1: call dword ptr [0040B4BBh+edx*4]
@40b4a8: push ecx
@40b4a9: mov ecx, esp
@40b4ab: mov edx, ebx
@40b4ad: mov eax, dword ptr [esi+04h]
@40b4b0: call dword ptr [esi]
@40b4b2: pop ecx
@40b4b3: pop edx
@40b4b4: pop edx
@40b4b5: mov cl, ch
@40b4b7: xchg eax, ecx
@40b4b8: pop esi
@40b4b9: pop ebx
@40b4ba: ret

Imported API list:
RegCloseKey
OpenProcessToken
GetUserNameA
RegCreateKeyExA
RegOpenKeyExA
RegEnumKeyExA
GetFileAttributesA
GetVersionExA
GetModuleFileNameA
LoadLibraryA
WinExec
GetFileSize
OpenProcess
CreateDirectoryA
DeleteFileA
UnhandledExceptionFilter
GetCommandLineA
GetProcAddress
GetTempPathA
GetModuleHandleA
FindFirstFileA
WriteFile
GetStartupInfoA
GetComputerNameA
FindNextFileA
GetSystemDirectoryA
TerminateProcess
Sleep
CreateFileA
VirtualAlloc
ShellExecuteExA
ShellExecuteA
FindWindowA
GetCursorPos
GetUpdateRgn
 
Çok ilginç, false-positive olmasını beklerdim fakat "T1056.001" gibi bir Input logging kullanması yani bir nevi keylogging yapması çok tuhafıma gitti. Kaldı ki ekran görüntüsüne erişmesini sağlayan bir API'yi de çağırıyor.

"T1056.001" eşleşmesini şu yama kurulum araçlarındaki "ilerlemek için bir tuşa basın" etkileşimine bağlıyorum. Ekran görüntüsü alabilecek modülü neden çağırdığını hala çözemedim.
Şüpheli erişim metodları var, fakat bunları yamalanacak uygulamaya erişmek için yaptığını düşünüyorum. Benim görüşüm dosyanın temiz olduğu yönünde yani tespitler tamamen davranışsal analizin yanlış yorumlanmasından kaynaklı. Kullanabilirsiniz, fakat mutlaka aktif bir AV ile kullanın ve mümkünse tespit seviyesi agresifte yani maksimumda olsun.


Haklısınız. Bir sıkıntı görünmüyor.
 
Çok ilginç, false-positive olmasını beklerdim fakat "T1056.001" gibi bir Input logging kullanması yani bir nevi keylogging yapması çok tuhafıma gitti. Kaldı ki ekran görüntüsüne erişmesini sağlayan bir API'yi de çağırıyor.

"T1056.001" eşleşmesini şu yama kurulum araçlarındaki "ilerlemek için bir tuşa basın" etkileşimine bağlıyorum. Ekran görüntüsü alabilecek modülü neden çağırdığını hala çözemedim.
Şüpheli erişim metodları var, fakat bunları yamalanacak uygulamaya erişmek için yaptığını düşünüyorum. Benim görüşüm dosyanın temiz olduğu yönünde yani tespitler tamamen davranışsal analizin yanlış yorumlanmasından kaynaklı. Kullanabilirsiniz, fakat mutlaka aktif bir AV ile kullanın ve mümkünse tespit seviyesi agresifte yani maksimumda olsun.


Farklı görüşlere ve tartışmaya açığım bu arada, ilgilenenler için dosyanın dinamik analiz raporu, eşleşen MITRE kural seti ve dikkat çeken belirli API isteklerini ekliyorum.

Dinamik analiz raporu: FileScan.io Report Overview

Eşleşen MITRE kural seti:
technique_id,technique_description,tactic_description,matched_malicious_indicators_count,matched_suspicious_indicators_count,matched_informative_indicators_count
T1106,"Native API",Execution,1,2,3
T1134.003,"Make and Impersonate Token","Privilege Escalation",0,1,0
T1134.001,"Token Impersonation/Theft","Privilege Escalation",0,1,2
T1134,"Access Token Manipulation","Privilege Escalation",0,0,1
T1548,"Abuse Elevation Control Mechanism","Privilege Escalation",0,0,1
T1134.003,"Make and Impersonate Token","Defense Evasion",0,1,0
T1134.001,"Token Impersonation/Theft","Defense Evasion",0,1,2
T1134,"Access Token Manipulation","Defense Evasion",0,0,1
T1027.002,"Software Packing","Defense Evasion",0,1,1
T1497,"Virtualization/Sandbox Evasion","Defense Evasion",0,0,1
T1548,"Abuse Elevation Control Mechanism","Defense Evasion",0,0,1
T1056.004,"Credential API Hooking","Credential Access",0,2,0
T1056.001,Keylogging,"Credential Access",0,2,1
T1083,"File and Directory Discovery",Discovery,0,1,4
T1614.001,"System Language Discovery",Discovery,0,1,1
T1082,"System Information Discovery",Discovery,0,3,6
T1057,"Process Discovery",Discovery,0,0,1
T1124,"System Time Discovery",Discovery,0,0,2
T1010,"Application Window Discovery",Discovery,0,1,1
T1497,"Virtualization/Sandbox Evasion",Discovery,0,0,1
T1012,"Query Registry",Discovery,0,1,4
T1033,"System Owner/User Discovery",Discovery,0,0,2
T1114,"Email Collection",Collection,0,1,0
T1113,"Screen Capture",Collection,0,0,2
T1056.004,"Credential API Hooking",Collection,0,2,0
T1056.001,Keylogging,Collection,0,2,1
T1105,"Ingress Tool Transfer","Command and Control",0,0,1
T1529,"System Shutdown/Reboot",Impact,1,0,0

Keylogging @ [email protected](PID:1996):
@40b487: pushad
@40b488: push 00000012h
@40b48a: call 00404A60h ;[email protected]
@40b48f: add eax, eax
@40b491: popad
@40b492: xchg eax, edx
@40b493: mov eax, dword ptr [eax+08h]
@40b496: jnc 0040B49Ah
@40b498: or al, 20h
@40b49a: push eax
@40b49b: mov eax, dword ptr [ebx+50h]
@40b49e: lea esi, dword ptr [eax+18h]
@40b4a1: call dword ptr [0040B4BBh+edx*4]
@40b4a8: push ecx
@40b4a9: mov ecx, esp
@40b4ab: mov edx, ebx
@40b4ad: mov eax, dword ptr [esi+04h]
@40b4b0: call dword ptr [esi]
@40b4b2: pop ecx
@40b4b3: pop edx
@40b4b4: pop edx
@40b4b5: mov cl, ch
@40b4b7: xchg eax, ecx
@40b4b8: pop esi
@40b4b9: pop ebx
@40b4ba: ret

Imported API list:
RegCloseKey
OpenProcessToken
GetUserNameA
RegCreateKeyExA
RegOpenKeyExA
RegEnumKeyExA
GetFileAttributesA
GetVersionExA
GetModuleFileNameA
LoadLibraryA
WinExec
GetFileSize
OpenProcess
CreateDirectoryA
DeleteFileA
UnhandledExceptionFilter
GetCommandLineA
GetProcAddress
GetTempPathA
GetModuleHandleA
FindFirstFileA
WriteFile
GetStartupInfoA
GetComputerNameA
FindNextFileA
GetSystemDirectoryA
TerminateProcess
Sleep
CreateFileA
VirtualAlloc
ShellExecuteExA
ShellExecuteA
FindWindowA
GetCursorPos
GetUpdateRgn
@Dutchman Hocam açıklayıcı ve ayrıntılı rapor yorumunuz için teşekkürler. Tavsiye edebileceğiniz AV var mı?
 
@Dutchman Hocam açıklayıcı ve ayrıntılı rapor yorumunuz için teşekkürler. Tavsiye edebileceğiniz AV var mı?
Açıkçası bu konu biraz riskli, şimdi VT sonucundaki tespit yapan AV'leri kullanmak mı mantıklı yoksa bilinen 3 büyüklerden birini mi kullanmak?
Kaspersky'ın bu konuda sistem izleyicisi iyi iş yapıyor, ayarı agresife getirip uygulamayı çalıştırmanız daha doğru olur. İmza tespitine zaten yakalanmayacak, ancak bu davranışlarından bir adım öteye giderse örneğin uygulama içi değil de tüm Windows'daki tuşlamaları kaydetmeye başlarsa orada Kaspersky devreye girmeli.

Ben yerinizde olsam bu uygulamayı Windows VPS üzerinde çalıştırıp, orada test ederdim. Bir nevi sanal makine misali. Ana makineyi riske atmaya gerek yok.
Ayrıca attığım sitede eğer dosyaları ayıkladığınız yerde elle değiştirebileceğiniz türden bir yama mevcutsa hiç uygulamayı açmakla uğraşmayın, oradaki dosyaları kopyalayıp kendi sisteminizde ilgili yere yapıştırın doğrudan değişsin. Uygulama içi ek yamalanma gerekiyorsa onu bilemiyorum.
 
Açıkçası bu konu biraz riskli, şimdi VT sonucundaki tespit yapan AV'leri kullanmak mı mantıklı yoksa bilinen 3 büyüklerden birini mi kullanmak?
Kaspersky'ın bu konuda sistem izleyicisi iyi iş yapıyor, ayarı agresife getirip uygulamayı çalıştırmanız daha doğru olur. İmza tespitine zaten yakalanmayacak, ancak bu davranışlarından bir adım öteye giderse örneğin uygulama içi değil de tüm Windows'daki tuşlamaları kaydetmeye başlarsa orada Kaspersky devreye girmeli.

Ben yerinizde olsam bu uygulamayı Windows VPS üzerinde çalıştırıp, orada test ederdim. Bir nevi sanal makine misali. Ana makineyi riske atmaya gerek yok.
Ayrıca attığım sitede eğer dosyaları ayıkladığınız yerde elle değiştirebileceğiniz türden bir yama mevcutsa hiç uygulamayı açmakla uğraşmayın, oradaki dosyaları kopyalayıp kendi sisteminizde ilgili yere yapıştırın doğrudan değişsin. Uygulama içi ek yamalanma gerekiyorsa onu bilemiyorum.
@Dutchman Hocam gerçekten sizden çok şey öğrendim. Teşekkürler.
 

Yeni konular

Geri
Yukarı