Windows Zararlı Yazılım Analiz Ortamı Flare VM

Nonantiy

Moderasyon Ekibi Lider Yardımcısı
28 Haz 2020
1,961
1,057
Kayseri
8BfzfS111434df5fdd155e.md.png

İyi günler Türk Hack Team ailesi.
Bugün sizlerle beraber Windows'a zararlı yazılım analiz ortamını kurmamıza yarayan Flare VM'den bahsediceğim.
flarenedir.png

Flare VM nedir?
KhJDZS.gif

Flare VM, FireEye firması tarafından Windows sistemleri üzerinde tersine mühendisliktir, zararlı yazılım analizi gibi işleri kolaylaştıracak tool'ları içerisinde bulunduran bir yazılımdır. Windows tabanlı bir dağıtım olması yanı sıra ücretsizdir. İçerisinde tersine muhendislik ve zararlı yazılım analizini gerçekleştirmenize yarayacak bin bir çeşit tool barındırır. Bu tool'lara bakalım biraz;
    • Cygwin: Windows işletim sistemi üzerin'e Linux sisteminin belirli özelliklerini ekleyen açık kaynak kodlu bir yazılımdır. Oldukça popülerdir.
    • Far Manager: Windows işletim sisteminde dosyaları, klasörleri ve arşivleri yönetmenize yarayan bir yazılımdır. Linux'taki Dolphin gibi.
    • ILSpy: .Net'i derlemek ve kod çözümlemesi yapmanıza yarayacak bir araçtır. Kullanışlı olduğunu pek söyliyemiyeceğim.
    • Cmder:Renkli ve özeleştirilmiş bir terminal. Oldukça kullanışlıdır.
    • Oledump:.OLE dosyalarını analiz etmeyi sağlayan araçtır.
    • Signature Explorer: Hali hazırda hazır o lan imzaları inceleyebillir. İstediği zaman bu imzalarla iletişime geçer.
    • ImpRec: Paket programların, içeri aktarma adres tablosunu görüntüleyebilmemize ve içerisinde değisiklik yapmamıza imkağan sunar.
    • NASM: Taşınabilinir ve kod editörlüğü yapmak için yazılmış x86-64 ve 80x86 için Assembly dili birleştiricisidir. İşlemciler üzerinden process yapabillir
    • Resource Hacker: Kaynak kodları değistirmenize yarar. Ayrıca DLL dosyalarınında kaynak kodlarına erişebillirsiniz.
    • IDA Pro Free: Programlanabilir, multi işlemciyle çalışabilen debugger.
    • 010 Editor: Hec editör aracıdır. Bir çok farklı dosya formatını anlaşılabilir biçinde düzenleyip karşımıza çıkartır.
    • x64dbg: Zaralı yazılım analizleri ile x86 debug işlemi yapmayı sağlayan kaliteli bir araçtır.
    • binaryNinja : Tersine mühendislik analizi için kullanılan güzel bir araçtır.
Burada yazdığım tool'lar dışında bir sürü daha tool bulunuyor. Fakat bunlar en çok kullananılanlar diyebillirim.

Flare VM neden yapıldı?
KhJDZS.gif

Simdi düşünücek olursak bu dağıtım neden ortaya çıktı. FireEye şirketi bu dağıtımı neden pisaya sürdüğüne bakalım. Flare VM'i oluşturmalarının temel sebeblerinden bazıları. Yapılacak zararlı yazılım analizlerinde izole bir ortam oluşturmak yerine bu yöntemi kullanmak istemeleri en temel sebeblerinden sadece birisidir. Onun dışında bir sisteme tool'ları kurup optimize etmek vb çok fazla zaman ve gereksiz iş gücü harcamakta. Onun yerine bunu bu şekilde otomatiğe bağlarlarsa işleri daha kolay olur. Zaten yukarda gösterdiğim gibi içerisinde çok ama çok fazla tool bulunduruyor.

Flare VM nasıl kurulur?
KhJDZS.gif

Simdi Flare VM'in nasıl kurulduğuna bakalım. İlk başta diyecek sunu demek isterim Flare VM'i kurması kullanmasından kolay. Çok basiti şlemleri gerçekleştiriyoruz. İlk başta PowerShell'imizi açıyoruz. PowerShell'imiz arkada açık kalsın. Simdi Github linkinden bu dosyayı indirelim. Ardından adım adım benim yazdığım kodları giriyoruz.
Rich (BB code):
Set-ExecutionPolicy Unrestricte
unknown.png

Bu işlemi gerçekleştiriyoruz. Simdi ise indirmiş olduğumuz flare-vm-master klasör'üne gidiyoruz. Oradan install.ps1'i çalıştırmamız gerekiyor. Onu çalıştırıyoruz.
Kod:
.\install.ps1[/SIZE][/SIZE][/B][/COLOR][/CENTER]
[COLOR=rgb(255, 255, 255)][B][SIZE=5][SIZE=5][CENTER]

Kurmuş olduğumuz sanal makinemiz bir kaç kez kapanıp açılabillir. Bundan sonra bilgisayarımı yeniden başlatıktan masaüstünde bulunan Boxstarter Shell adlı uygulamayı çalıştırıyoruz. Ve işlem tamamlandı. Eğer Boxstarter Shell'i başlatığınızda hata aldıysanız bunu interneten bakar çözebillirsiniz.

İyi günler dilerim sağlıcakla kalın.
jyo2qm.png

 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.