zararlı yazılım

Tersine Mühendislik 101 Eğitim Dökümansyonu

Dökümanları hazırlarken tabi ki daha iyi açıklamalar yapabilme adına bir araştırma süreci oldu diyebilirim. Çünkü konuşurken dile getirme şekli ile yazı dilinde dile getirme şekli arasında bariz farklılıklar bulunuyor. Bu yüzden elimden geldiğince daha dikkatli olmaya gayret ettim.

Analysis

.Net Anatomisine Genel bakış ve TrickMouse zararlı analizi

Zararlı yazılım CVE-2019-0541 açığını kullanan bir APT’dir. Ukrayna’daki kullanıcıları hedefleyen zararlı, Dünya Sağlık Örgütü ve Ukrayna Sağlık Bakanlığı’ndan gönderilmiş gibi gösterilen oltalama saldırılarında kullanılmış.

Analysis

APT28 - MS Ofis Macro Kod Analizi

Açıkcası yazılarımda kullandığım araçların doğru yüklenmesi ve uyum sorunlarıyla ile ilgili diğer ayrıntılarıda eklemeye gayret ediyorum. Buradaki amaç ayıntılarda boğuşup, ana konudan sapmamaya katkıda bulunmak diyebilirim.

Analysis

Hermes Ransomware Teknik Analizi

Ocak 2018’in sonunda KrCERT tarafından CVE-2018-4878 adında Adobe Flash ile ilgili yeni bir sıfırıncı gün açığı (0-Day) yayınlanmıştı. Yayınlanan güvenlik açığı Adobe Flash Player 28.0.0.137 ve önceki versiyonlarını kapsıyordu. Bu istismar ise ofis dosyalarının içerisine yerleştirilip, dağıtılarak kullanıcıları hedef almıştı. Adobe Flash Player’a ait açık

Analysis

Lab ortamım ve Kullandığım araçlar

Disassembler olarak birkaç farklı seçenek bulunuyor. Bunlardan ilki IDA Pro diyebilirim. Daha önceki seneler x86 desteği bulunuyordu fakat yanlış hatırlamıyorsam eğer 2017 yılı ortalarında bu desteği tamamiyle kaldırdılar. Açıkcası x64 sanal sürücü kullanmamın

Analysis

Bad Rabbit zararlı yazılımına bir bakış!!

Zararlı yazılımı ilk olarak görüntülediğimizde Flash Player güncellemesi veya yüklemesi yapan bir yürütülebilir(exe) dosya olarak karşımıza çıkıyor. Dosyayı Process Explorer üzerinden takip ettiğimizde C:\Windows dizini üzerinde belirgin oluyor ve daha sonra da diğer dizinlere dağıtılmaya başlanıyo

Analysis

Alpha Ransomware Kaynak Kod Analizi ve Unpacking - 1

Hybrid-Analysis üzerinden indirdiğim dosyayı ilk olarak DnSpy’da açmaya kalktığım zaman giriş noktasının (entry point) ve değişkenlerin (variables) tam olarak belli olmadığını fark ediyorum. Bu yüzden zararlı dosyamızı daha okunur hale getirmek için De4dot aracını kullanıyorum

Analysis

Ransom32 Ransomware Saldırı Analizi

“İndex.html” içerisinde tanımlanan “binary.bin” dosyası, buradaki kötü amaçlı yazılımın kalbi konumunda yer alıyor. Burada JavaScript, native bir kod ile derleniyor ve “evalNWBin” fonksiyonunu kullanarak yükleniyor. Diğer tüm bileşenlerde bu binary dosyası içerisinden çağrılıyor.

Analysis

GoldenEye(Petya) Ransomware Saldırı Analizi

Zararlının önceki versiyonlarında yönlendirdiği gibi bu seferde yönlendirilen web sayfası benzer bir biçimde karşımıza çıkıyor. Tahmin edileceği gibi Tor üzerinde host edilmiş bir sayfada kurbanların istenilen miktarı sadece bitcoin ile ödemesi gerektiği yazıyor.