Practical Malware Analysis Lab01-04 Çözümü
Kitaptaki Lab soruları kitabın istediği formatta çözülecektir. Serinin devamıdır.
Bütün arkadaşlara başarılar dilerim...
Kitabın bizden istediği sorulara bakacak olursak:
Soru 1: Lab01-04.exe dosyasını vitustotal?e yükleyip herhangi bir zararlı eşleşmesi olup olmadığını kontrol edin.
Zararlı dosyayı Virus Totale atıp sonuçları inceleyelim.
Görüldüğü üzere 59/71 oranı vermektedir bununla birlikte kurduğu bağlantılar, register kayıtları kullandığı DLL ve nicesi gözükmektedir. COMMUNITY kısmına tıklayacak olursak da bu dosyayı inceleyen analizcilerin yorumları gözükmektedir. VT sonucuna bakarak zararlı olduğu düşüncesindeyiz.
Not: Virus Totalin çalışma prensibine bakacak olursak upload ettiğimiz dosyanın hash değerini kendi veritabanındakilerle karşılaştırmaktadır. Paketlenmiş bir zararlı burada temiz sonucu vermesi çokça rastlanan bir durum.
Not2: Bir dosyayı VT ile analiz ederken dosyanın hash değerleri taratılması doğru bir hareket olacaktır çünkü virus total upload edilen dosyaları ortakları ile paylaşmaktadır ve bunlar herkese açık olarak yayınlandığı için kritik dosyaların upload edilmesi sakınca oluşturmaktadır.
Soru 2: Dosyanın paketlendiğine veya obfuscate edildiğine dair bir iz var mı? Varsa nelerdir? Eğer paketleme varsa mümkünse açın.
Görüldüğü üzere herhangi bir paketleme söz konusu değil.
şimdi 2 sorunun cevabını birden vereceğim.
Soru 3: Bu program ne zaman derlendi?
Soru 6: Burada uygulamanın resource source alanını incelememizi ve kaynaktan veri çıkarmamızı istiyor. Bunun içinde Resource Hacker yazılımını işaret ediyor.
Dosyamızı PEstudio ile açıyoruz ve derlenme tarihini görüyoruz bunlar değiştirilebilmektedir az sonra orijinal derlenme zamanına erişmeye çalışacağız.
tarih görüldüğü gibi 31 ağustos 2019 şimdi gerçek derlenme tarihini öğrenmeye çalışalım.
aracımı çalıştırıp ok ile işaretledim yere tıklayarak bir exe dosyası oluşturalım ve PEstudio ile açalım ve derlenme tarihine bir daha bakalım.
burada ise 27 şubat 2011 tarihinde derlendiğini görmekteyiz. Resource hacker ile .rsrc section bilgilerini analiz etmemize olanak sağladı ve bu sectiondan derlenme tarihi, kullanılan dll bilgileri, fonksiyonları gibi temel bilgiler elde edilebilmektedir. Resource Hacker ile çektiğimiz section sayesinde orijinal derlenme tarihine erişmiş olduk.
Soru 4: Bu programın import tablosunu inceleyerek programın işlevi hakkında neler öğrenebiliriz?
kütüphane ve tehlikeli fonsiyonların hepsini ezbere bilemeyeceğimiz için bu durumu kolaylaştıracak bir aracı kullanacağım.
Program Pestudio arkaplanda exenin hash değerini virus totalde taratmakta bunula birlikte kullanılan DLL leri, kullanılan fonksiyonları göstermekle birlikte bilgisayar için tehlike oluşturabilecek fonksiyonları BlackList adı altında bize sunmaktadır.
Bu Exe için ise görüldüğü üzere yapabilecekleri hakkında detaylı bir analiz yapmaktayız bilmediğiniz kısımları araştırarak daha detaylı bilgiye erişebilirsiniz.
5.Soru: Uygulamanın zararlı olduğuna dair ana bilgisayar ve ağ tabanlı göstergeler nelerdir?
Yukarıdaki resimde de görüldüğü üzere Özelliklede GRUP stunundan (network) olanları incelememiz gerekiyor bu sorununu cevabını verebilmek adına
UrlDowlandToFile fonksiyonu görmekteyiz buradan bir urlden bir dosya indirebilecek kapasitede olduğunu anlıyoruz. urlmon.dll için ise soket bağlantıları, yine indirme upload etme vs. durumlar için kullanılmakta.
Bununla birlikte ok ile gösterdiğim bir siteden updater.exe indirmesi de host ile bağlantı sorusuna cevap vermektedir.
Çözüm bu kadardı Teşekkürler...
Kitaptaki Lab soruları kitabın istediği formatta çözülecektir. Serinin devamıdır.
Bütün arkadaşlara başarılar dilerim...
Kitabın bizden istediği sorulara bakacak olursak:
Soru 1: Lab01-04.exe dosyasını vitustotal?e yükleyip herhangi bir zararlı eşleşmesi olup olmadığını kontrol edin.
Zararlı dosyayı Virus Totale atıp sonuçları inceleyelim.
Görüldüğü üzere 59/71 oranı vermektedir bununla birlikte kurduğu bağlantılar, register kayıtları kullandığı DLL ve nicesi gözükmektedir. COMMUNITY kısmına tıklayacak olursak da bu dosyayı inceleyen analizcilerin yorumları gözükmektedir. VT sonucuna bakarak zararlı olduğu düşüncesindeyiz.
Not: Virus Totalin çalışma prensibine bakacak olursak upload ettiğimiz dosyanın hash değerini kendi veritabanındakilerle karşılaştırmaktadır. Paketlenmiş bir zararlı burada temiz sonucu vermesi çokça rastlanan bir durum.
Not2: Bir dosyayı VT ile analiz ederken dosyanın hash değerleri taratılması doğru bir hareket olacaktır çünkü virus total upload edilen dosyaları ortakları ile paylaşmaktadır ve bunlar herkese açık olarak yayınlandığı için kritik dosyaların upload edilmesi sakınca oluşturmaktadır.
Soru 2: Dosyanın paketlendiğine veya obfuscate edildiğine dair bir iz var mı? Varsa nelerdir? Eğer paketleme varsa mümkünse açın.
Görüldüğü üzere herhangi bir paketleme söz konusu değil.
şimdi 2 sorunun cevabını birden vereceğim.
Soru 3: Bu program ne zaman derlendi?
Soru 6: Burada uygulamanın resource source alanını incelememizi ve kaynaktan veri çıkarmamızı istiyor. Bunun içinde Resource Hacker yazılımını işaret ediyor.
Dosyamızı PEstudio ile açıyoruz ve derlenme tarihini görüyoruz bunlar değiştirilebilmektedir az sonra orijinal derlenme zamanına erişmeye çalışacağız.
tarih görüldüğü gibi 31 ağustos 2019 şimdi gerçek derlenme tarihini öğrenmeye çalışalım.
aracımı çalıştırıp ok ile işaretledim yere tıklayarak bir exe dosyası oluşturalım ve PEstudio ile açalım ve derlenme tarihine bir daha bakalım.
burada ise 27 şubat 2011 tarihinde derlendiğini görmekteyiz. Resource hacker ile .rsrc section bilgilerini analiz etmemize olanak sağladı ve bu sectiondan derlenme tarihi, kullanılan dll bilgileri, fonksiyonları gibi temel bilgiler elde edilebilmektedir. Resource Hacker ile çektiğimiz section sayesinde orijinal derlenme tarihine erişmiş olduk.
Soru 4: Bu programın import tablosunu inceleyerek programın işlevi hakkında neler öğrenebiliriz?
kütüphane ve tehlikeli fonsiyonların hepsini ezbere bilemeyeceğimiz için bu durumu kolaylaştıracak bir aracı kullanacağım.
Program Pestudio arkaplanda exenin hash değerini virus totalde taratmakta bunula birlikte kullanılan DLL leri, kullanılan fonksiyonları göstermekle birlikte bilgisayar için tehlike oluşturabilecek fonksiyonları BlackList adı altında bize sunmaktadır.
Bu Exe için ise görüldüğü üzere yapabilecekleri hakkında detaylı bir analiz yapmaktayız bilmediğiniz kısımları araştırarak daha detaylı bilgiye erişebilirsiniz.
5.Soru: Uygulamanın zararlı olduğuna dair ana bilgisayar ve ağ tabanlı göstergeler nelerdir?
Yukarıdaki resimde de görüldüğü üzere Özelliklede GRUP stunundan (network) olanları incelememiz gerekiyor bu sorununu cevabını verebilmek adına
UrlDowlandToFile fonksiyonu görmekteyiz buradan bir urlden bir dosya indirebilecek kapasitede olduğunu anlıyoruz. urlmon.dll için ise soket bağlantıları, yine indirme upload etme vs. durumlar için kullanılmakta.
Bununla birlikte ok ile gösterdiğim bir siteden updater.exe indirmesi de host ile bağlantı sorusuna cevap vermektedir.
Çözüm bu kadardı Teşekkürler...