İnjecte Edilen Backdoor Analiz Tespiti

Bu konumuzda SpyNet Rat’tan çıkma ve aşağıdaki anti özelliklerini taşıyan bir zararlının sanal ortamda, sistem seviyesinde ve network seviyesinde nasıl analiz edildiğini göstermeye çalışacağım. Bu makalede zararlının yapılandırdığımız tuzaklara aşama aşama nasıl takıldığını göreceğiz.

Anti Sandboxie
Anti Virtual PC
Anti VMWare
Anti VirtualBox
Anti ThreatExpert
Anti Anubis
Anti CWSandbox
Anti JoeBox
Anti Norman Sandbox
Anti SoftIce
Anti Debugger

Şimdi şöyle bir söz vardır aslında, hasta olduktan sonra alınan ilacın bir faydası olmaz, önemli olan hasta olmadan önlemini almaktır.

Bizde gerek fiziksel makinalarımızda, gerekse sanal lab. sistemlerinde gerekli önlemleri daha önce alıyoruz zaten. Aşağıdaki alanlarda aldığımız önlemler sayesinde zararlıyı adım adım izleyeceğiz.

Startup Programs; Başlangıca yerleşen ve her sistem açılışında çalışacak uygulamaların/programların gözlemi.
Active Tasks; O anda aktif durumda çalışan uygulamaların/programların gözlemi.
Hidden Files; Gizli dosya olarak sisteme inject olan dosyaların gözlemi.
Recent; En son yapılan işlemlerdeki hareketliliğin gözlemi.

Yukardaki saydığım 4 alandaki gözlemlerimizle yola çıkarak zararlıyı sistemde adım adım takip edeceğiz vede anti olarak özellik taşıyan rat server’ın bizi durduramadığını göreceğiz. Aslında olayı şu şekilde özetlemek gerekiyor, anti sanal özellikleri vb. durumları olan zararlı, aynen fiziksel makinada ki gibi windows’un hiçbir alanında görünmeyen ve antilere yakalanmayan özellikler taşıması demektir. Akabinde zaten windows’un ve windows’a yakın yazılımlarla bu tip zararlıları tesbit etmek için çabalamakta yersizdir.



İlk önce sistemde aktif olarak çalışan uygulama/programlara bakıyoruz vede tek tek kontrol ediyoruz. Ben bu kontrolümde sistemde çalışmadığı halde çalışıyor gibi görünen şüpheli bir programı tesbit ediyorum. Bu program google chrome tarayıcıdır. Bu tarayıcının pid değeri 2488’dir bunu unutmuyorum.



Hemen arkasından en son sistem tarafından algılanan işlemler tarafına bakıyorum ve chrome.exe’nin aktif olarak çalıştığını görüyorum. Lakin chdome.exe den sonrada sisteme 4 kalem cftmon.exe adında bir işleyişin inject olduğunu tesbit ediyorum. Burada kafamı karıştıran durum şudur. Chrome.exe nin tesbit edilme tarihi ile cftmon.exe işleyişlerinin tesbit edilme tarihleri birbirini tutmuyordu. Burada acaba chrome.exe gerçek bir işleyişmidir diyede kendime sormadan geçemiyorum.



Bu aşamada başlangıçta çalışan uygulama ve programların durumunu denetlediğimde chrome.exe yi burada göremiyorum. Lakin cftmon.exe yi burada tesbit ediyorum. Ama son eklenen değerler kısmında 4 kalem cftmon.exe vardı, bir adette chrome.exe şüphelide olsa görünüyordu, ama başlangıç durumunda neden 3 adet cftmon.exe vardı ? Neden chrome.exe görünmüyordu ? Ama chrome.exe neden aktif olarak çalışıyordu ?


Tekrar en son işlemler tarafına bakıyorum ve cftmon.exe işleyişlerinden birinin gizli dosya olarak çalıştığını, bu sayede başlangıçta görünmediği, ve yine akabinde başlangıçta görünmeyen chrome.exe ile bir bağı olduğunu düşünüyorum.


Bu aşamada ise gizli dosyaları kontrol ettiğimde cftmon.exe dosyalarının birinin gerçekten gizli olarak çalıştığını tesbit ediyorum.


Hemen akabinde chrome.exe ile gizli olarak çalışan cftmon.exe dosyasının bir bağı varmı diyerek aktif çalışan dosyaları tekrar kontrol ediyorum ve daha öncede tesbit ettiğim 2488 pid değerini kaydediyorum.



Bu aşamada ise sistemde gerçek bir chrome tarayıcı çalıştırıp 2488 pid değerini kontrol ediyorum. Sol taraftakinin gerçek chrome, sağ taraftaki ise sahte chrome olduğunu anlıyorum. Ama bu nasıl olabiliyordu ? Nasıl sahte bir chrome gerçekmiş gibi sistemde çalışabiliyordu ?



Bunu anlamak içinde çalışan sahte chrome.exe nin memory bellekteki izlerini aramaya başladım. Resimde çalışan sahte chrome.exe bellek dökümüne baktığımda orada “034” ile biten bir değer gözüme çarpmıştı.


Hemen akabinde daha önceki konum tesbitlerimden cftmon.exe nin sistem bazında yaptığım tesbitlerinde, Installed Components değerininde sonu “034” ile biten aynı değerler olduğunu gördüm.

Bu şu demekti, gizli dosya olarak çalışan cftmon.exe nin aktif çalışanlar altında kendi hareket değerleri olşturduğunu ve gizli dosya olarak çalışacak chrome.exe yi oluşturup ve yine akabinde o şekilde çalışmaya devam ettiği durumuydu.

Hemen network seviyesinde zararlı ve bizi kandırmaya yönelik çalışan dosyayı inceliyoruz. Burada 2488 pid değerinde çalışan zararlının uzak adres, uzak port vb. değerlerini tesbit ediyoruz.

Hemen akabinde explorer.exe altında sahte chrome.exe olarak çalışmakta olan 2488 pid değerindeki zararlı dosyanın memory bellekteki izlerini daha detaylı aramak için dosyayı inceliyoruz.


Bu aşamada saldırganın uzak adresini, kullandığı portu, kurbanın adını ve saldırganla kurbanın arasındaki veri trafiğinin şifreli olduğunu anlıyoruz. Ama yinede memory bellek dökümünde keylogger hareketleri gözümüzden kaçmıyor. Eğer sanal sistemde sıradan bir kullanıcı konuşmalar yapmış olsaydı yada daha aktif bir kullanıcı olsaydı bu alana konuşmalarda dökülebilirdi.


Bu aşamada ise yine memory bellek dökümünden elde ettiğimiz keylogger’ın çalışma şekli, logları hangi seviyede aldığı bilgilerine ulaşıyoruz. Memory dökümünü daha fazla kurcalamak istemedim, eğer daha fazla kurcalasaydım daha çok bilgiye ulaşabilirdim.

Bütün işlemler bittiğine göre tekrar explorer altına dönüp halen çalışmakta olan zararlı dosyamızı buluyoruz ve üzerinde bütün çalışma yollarını öldüren terminate işlemini gerçekleştiriyoruz. Daha sonra sistem bazında yaptığımız aramada elimizi geçen kayıtları ve dosyalarıda silip bu rat server’dan kurtulmuş oluyoruz.

Bir önceki yazımız olan Sanal Pc başlıklı konumuzda bilgisayar, Sanalpc ve VMware hakkında bilgiler verilmektedir.

Yorum Yaz

This site uses Akismet to reduce spam. Learn how your comment data is processed.

* Ücretsiz Mesajlaşmak İçin Sohbete Bağlan