Intezer İle Şüpheli Dosya Analizi

Maveraün Nehr

Maveraün Nehr

Blue Expert / Head of Malware Team
25 Haz 2021
976
1,865
41.303921, -81.901693
Merhabalar bugün çalışmasını yapmakta olduğum bir projede dikkatimi çeken zararlının UPX adı altında bitcoin kasarak nasıl sistemi sömürdüğüne bakalım.

Analiz yaptığım sitemiz: analyze.intezer.com

+ İlk önce üstünde çalıştığım programın kaynaklar kısmında bir .exe dikkatimi çekti.

r6d9653.PNG

+ Daha sonra DIE ile yansıtınca sonucumun GZIP olduğunu yani bunun bir sıkıştırılmış dosya olduğunu görüyorum. Bunun için dosyamı WinRar ile birlikte aç diyeceğim.

n6o7uzj.PNG

+ Dosyamı WinRar ile açıyorum ancak bir dosya daha çıkıyor adı belirsiz. Muhtemelen içeri gizlenmiş olmalı ve source çalışınca otomatik olarak kendini exe olarak çeviriyor olmalı...

r25dur8.PNG


knn6hy7.PNG


fuhggvm.PNG

+ Daha detaylı görmek ve DIE ile çıkan sonucu öğrenmek için xm ibaresini RAR içerisinden dışarı çıkartıyorum. Ve DIE ile yansıtınca UPX ibaresini görüyorum. Şimdi burada nasıl olsa packer var önemli değil deyip boş geçmemek lazım. Programlama dili bilmek zararlı yazılım analizi yaparken çoğu yerde önemli. UPX normalde trojan gibi zararlı kod yazarken dosya küçültme işlemlerinde kullanılırdı. Ben yine de UPX deyip geçmedim. xm ibaresinin sonuna .exe yazıp Intezer adlı taratma sitesine yükledim ve sonuçlarımı izledim.

blqcq1x.PNG

+ UPX İçerisinde xmrig.com diye bir ibare var. Kolonlar arasında gezmeye devam ederken. Alt satırda yer alan Malicious CoinMiner dikkatimi çekiyor. Buraya tıklıyorum.

nsb1z99.PNG

+ Dosyamızı ilk baştaki görselde dikkatimizi çeken bir ibare vardı. Hatırlarsanız XMRig işte bunun bir BitCoin sömürücü olduğunu görüyoruz.

+ Emin olmak için ise google arama motoruna XMRig yazalım bakalım bize ne sonuç verecek.

3t080s6.PNG

+ İlk tarama sonucunda yer alan xmrig.com ibaresi ile eşleşen bir site var xmrig.com. Girelim bakalım...

4b2k5nv.PNG

+ Gördüğümüz gibi CPU/GPU sömüren bir BitCoin madencisi...

~ Son ~
 
'ReDLiNe

'ReDLiNe

Blue Team Lideri
23 Haz 2015
7,678
3,570
23
Ankara
Intezer güzel site ancak her sitede olduğu gibi premium şeysi olmasa daha işimize yarar ya... Kod genlerine varana kadar gösteriyor neticede. Eline sağlık abi :3
 
Maveraün Nehr

Maveraün Nehr

Blue Expert / Head of Malware Team
25 Haz 2021
976
1,865
41.303921, -81.901693
'ReDLiNe' Alıntı:
Intezer güzel site ancak her sitede olduğu gibi premium şeysi olmasa daha işimize yarar ya... Kod genlerine varana kadar gösteriyor neticede. Eline sağlık abi :3
Genişletmek için tıkla ...
Her tarama sitesi öyle virustotal bile... Ne diyor Nasreddin Hoca parayı veren düdüğü zırıldattırır ;)
 
Muslukcu

Muslukcu

Katılımcı Üye
17 Kas 2021
699
262
Tesisat dükkanı
Maveraün Nehr' Alıntı:
Merhabalar bugün çalışmasını yapmakta olduğum bir projede dikkatimi çeken zararlının UPX adı altında bitcoin kasarak nasıl sistemi sömürdüğüne bakalım.

Analiz yaptığım sitemiz: analyze.intezer.com

+ İlk önce üstünde çalıştığım programın kaynaklar kısmında bir .exe dikkatimi çekti.

r6d9653.PNG

+ Daha sonra DIE ile yansıtınca sonucumun GZIP olduğunu yani bunun bir sıkıştırılmış dosya olduğunu görüyorum. Bunun için dosyamı WinRar ile birlikte aç diyeceğim.

n6o7uzj.PNG

+ Dosyamı WinRar ile açıyorum ancak bir dosya daha çıkıyor adı belirsiz. Muhtemelen içeri gizlenmiş olmalı ve source çalışınca otomatik olarak kendini exe olarak çeviriyor olmalı...

r25dur8.PNG


knn6hy7.PNG


fuhggvm.PNG

+ Daha detaylı görmek ve DIE ile çıkan sonucu öğrenmek için xm ibaresini RAR içerisinden dışarı çıkartıyorum. Ve DIE ile yansıtınca UPX ibaresini görüyorum. Şimdi burada nasıl olsa packer var önemli değil deyip boş geçmemek lazım. Programlama dili bilmek zararlı yazılım analizi yaparken çoğu yerde önemli. UPX normalde trojan gibi zararlı kod yazarken dosya küçültme işlemlerinde kullanılırdı. Ben yine de UPX deyip geçmedim. xm ibaresinin sonuna .exe yazıp Intezer adlı taratma sitesine yükledim ve sonuçlarımı izledim.

blqcq1x.PNG

+ UPX İçerisinde xmrig.com diye bir ibare var. Kolonlar arasında gezmeye devam ederken. Alt satırda yer alan Malicious CoinMiner dikkatimi çekiyor. Buraya tıklıyorum.

nsb1z99.PNG

+ Dosyamızı ilk baştaki görselde dikkatimizi çeken bir ibare vardı. Hatırlarsanız XMRig işte bunun bir BitCoin sömürücü olduğunu görüyoruz.

+ Emin olmak için ise google arama motoruna XMRig yazalım bakalım bize ne sonuç verecek.

3t080s6.PNG

+ İlk tarama sonucunda yer alan xmrig.com ibaresi ile eşleşen bir site var xmrig.com. Girelim bakalım...

4b2k5nv.PNG

+ Gördüğümüz gibi CPU/GPU sömüren bir BitCoin madencisi...

~ Son ~
Genişletmek için tıkla ...
Elinize sağlık
 
ACHERONN

ACHERONN

Üye
7 Şub 2023
150
60
Maveraün Nehr' Alıntı:
Merhabalar bugün çalışmasını yapmakta olduğum bir projede dikkatimi çeken zararlının UPX adı altında bitcoin kasarak nasıl sistemi sömürdüğüne bakalım.

Analiz yaptığım sitemiz: analyze.intezer.com

+ İlk önce üstünde çalıştığım programın kaynaklar kısmında bir .exe dikkatimi çekti.

r6d9653.PNG

+ Daha sonra DIE ile yansıtınca sonucumun GZIP olduğunu yani bunun bir sıkıştırılmış dosya olduğunu görüyorum. Bunun için dosyamı WinRar ile birlikte aç diyeceğim.

n6o7uzj.PNG

+ Dosyamı WinRar ile açıyorum ancak bir dosya daha çıkıyor adı belirsiz. Muhtemelen içeri gizlenmiş olmalı ve source çalışınca otomatik olarak kendini exe olarak çeviriyor olmalı...

r25dur8.PNG


knn6hy7.PNG


fuhggvm.PNG

+ Daha detaylı görmek ve DIE ile çıkan sonucu öğrenmek için xm ibaresini RAR içerisinden dışarı çıkartıyorum. Ve DIE ile yansıtınca UPX ibaresini görüyorum. Şimdi burada nasıl olsa packer var önemli değil deyip boş geçmemek lazım. Programlama dili bilmek zararlı yazılım analizi yaparken çoğu yerde önemli. UPX normalde trojan gibi zararlı kod yazarken dosya küçültme işlemlerinde kullanılırdı. Ben yine de UPX deyip geçmedim. xm ibaresinin sonuna .exe yazıp Intezer adlı taratma sitesine yükledim ve sonuçlarımı izledim.

blqcq1x.PNG

+ UPX İçerisinde xmrig.com diye bir ibare var. Kolonlar arasında gezmeye devam ederken. Alt satırda yer alan Malicious CoinMiner dikkatimi çekiyor. Buraya tıklıyorum.

nsb1z99.PNG

+ Dosyamızı ilk baştaki görselde dikkatimizi çeken bir ibare vardı. Hatırlarsanız XMRig işte bunun bir BitCoin sömürücü olduğunu görüyoruz.

+ Emin olmak için ise google arama motoruna XMRig yazalım bakalım bize ne sonuç verecek.

3t080s6.PNG

+ İlk tarama sonucunda yer alan xmrig.com ibaresi ile eşleşen bir site var xmrig.com. Girelim bakalım...

4b2k5nv.PNG

+ Gördüğümüz gibi CPU/GPU sömüren bir BitCoin madencisi...

~ Son ~
Genişletmek için tıkla ...
çok güzel bir konu olmuş eline emeğine sağlık
 
Cevap yazmak için giriş yap yada kayıt ol.
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.