Merhabalar bugün çalışmasını yapmakta olduğum bir projede dikkatimi çeken zararlının UPX adı altında bitcoin kasarak nasıl sistemi sömürdüğüne bakalım.
Analiz yaptığım sitemiz: analyze.intezer.com
+ İlk önce üstünde çalıştığım programın kaynaklar kısmında bir .exe dikkatimi çekti.
+ Daha sonra DIE ile yansıtınca sonucumun GZIP olduğunu yani bunun bir sıkıştırılmış dosya olduğunu görüyorum. Bunun için dosyamı WinRar ile birlikte aç diyeceğim.
+ Dosyamı WinRar ile açıyorum ancak bir dosya daha çıkıyor adı belirsiz. Muhtemelen içeri gizlenmiş olmalı ve source çalışınca otomatik olarak kendini exe olarak çeviriyor olmalı...
+ Daha detaylı görmek ve DIE ile çıkan sonucu öğrenmek için xm ibaresini RAR içerisinden dışarı çıkartıyorum. Ve DIE ile yansıtınca UPX ibaresini görüyorum. Şimdi burada nasıl olsa packer var önemli değil deyip boş geçmemek lazım. Programlama dili bilmek zararlı yazılım analizi yaparken çoğu yerde önemli. UPX normalde trojan gibi zararlı kod yazarken dosya küçültme işlemlerinde kullanılırdı. Ben yine de UPX deyip geçmedim. xm ibaresinin sonuna .exe yazıp Intezer adlı taratma sitesine yükledim ve sonuçlarımı izledim.
+ UPX İçerisinde xmrig.com diye bir ibare var. Kolonlar arasında gezmeye devam ederken. Alt satırda yer alan Malicious CoinMiner dikkatimi çekiyor. Buraya tıklıyorum.
+ Dosyamızı ilk baştaki görselde dikkatimizi çeken bir ibare vardı. Hatırlarsanız XMRig işte bunun bir BitCoin sömürücü olduğunu görüyoruz.
+ Emin olmak için ise google arama motoruna XMRig yazalım bakalım bize ne sonuç verecek.
+ İlk tarama sonucunda yer alan xmrig.com ibaresi ile eşleşen bir site var xmrig.com. Girelim bakalım...
+ Gördüğümüz gibi CPU/GPU sömüren bir BitCoin madencisi...
Analiz yaptığım sitemiz: analyze.intezer.com
+ İlk önce üstünde çalıştığım programın kaynaklar kısmında bir .exe dikkatimi çekti.
+ Emin olmak için ise google arama motoruna XMRig yazalım bakalım bize ne sonuç verecek.
~ Son ~