-
Zararlı Doküman Analizi Part-2 (Microsoft Excel Documents)
Giriş Önceki makalede, zararlı doküman analizi konusunu Microsoft Word belgeleri ile başlatmıştık. Bu blog yazısında Zararlı Excel Belgelerini inceleyeceğiz. Aslında bu iki konu ve bundan sonra zararlı doküman konuları arasında çok fazla fark olmayacak. En çok görülen kötü amaçlı yazılım türlerini analiz ediyorum ve bu türler genellikle ortak teknikleri kullanıyor,...
-
Zararlı Doküman Analizi Part-1 (Microsoft Word Dokümanları)
Zararlı Dokümanlar Nelerdir? Siber saldırılarda bir saldırının birden çok aşaması bulunmakta ve bu aşamalar belirli amaçlar içermektedir. Cyber Kill Chain kavramında saldırganların başarılı bir saldırı yapmak için farklı aşamalarda farklı araçlar/teknolojiler kullandığı bilinmektedir. Bu yazımızda genellikle saldırıların Exploit aşamalarının başlangıcında kullanılan zararlı dokümanların nasıl tespit ve analiz edildiğini ele alacağız....
-
Powershell ve Obfuscation
Powershell Nedir? Powershell 2006 yılında Microsoft tarafından geliştirilen, nesne yönelimli bir otomasyon dilidir. .NET ile oluşturulan bu platform sistem adminlerinin cihazları yönetmesi ve zamanlanmış görev oluşturmak gibi işlemleri daha kolay yapması adına oluşturulmuştur. 2016 yılında kaynak kodları open-source olarak yayınlanmıştır. Peki “malware” başlıklı bu blogda neden powershell var? Saldırganlar yaptıkları...
-
Unpacking Nedir?
Unpacking Nedir? Zararlı yazılım geliştiricilerinin öncelikli amaçlarından biri analiz ve bundan kaynaklı sebeplerden dolayı tespitini zorlaştırmaktır. Bu amaçla birden fazla teknik kullanılmaktadır. Bu yazının konusu bu tekniklerin belki de en başında gelen “paketleme” tekniği olacaktır. Öncelikle “Bir yazılımın ‘paketlenmesi’ nedir?” ve “Paketleme algoritmasını tersine çevirerek nasıl orjinal yazılımı elde edebiliriz?”...
-
Yamalama(Patching)
Yamalama(Patching) Nedir? 2000’li yıllarda bilgisayar kullanıp bir şekilde “Ben bu paralı yazılımı nasıl bedava kullanırım acaba?” diye düşünmüş herkesin bildiği bir kavram; Yamalama. O zamanlar bize havalı gelen cracker abiler/ablalar vardı, genel olarak bu kasanın içinde neler dönüyor bilmediğimiz için bize son derece gizemli gelen davranışlardı bunlar. Bu yazıda “Bir...
-
YARA Kuralları
İçerik YARA kuralı nedir? Meta Stringler Condition’lar YARA Kuralı Nedir? YARA, belirli bir syntax’a sahip olan, zararlı yazılımları sınıflandırma/tanımlama aşamasında analistlerin kullandığı bir araçtır. Bu yazılım için yazılmış olan kurallara da YARA Kuralı denir. Bu blog yazısı genel konsept olarak YARA kurallarının nasıl yazıldığı/okunduğu hakkında bilgiler içermektedir. C diline benzer...
-
x86 Assembly 101
Assembly Nedir? Bilgisayarların ilk yıllarında birbirinden farklı işlemci mimarileri üretilmeye başlandı. Bu mimariler üzerinde çalıştırılabilecek kodları ve çalıştırılan kodların sonuçlarını belirleyen kurallardır. Çok fazla tarihine dalmak istemiyorum(çok fazla bilgim yok :) ), günümüze kadar ulaşan ve bu blog yazısında konusu geçecek olan Assembly dili ise Intel 8086 mimarisi için oluşturulmuş...
-
PE Mimarisi
PE Nedir? PE(Portable Executable) yani taşınılabilir yürütülebilir dosyalar Windows sistemler arasında uyumluluk sorunu yaşamadan taşınıp çalıştırılabilen dosyalardır. Taşınabilir olması için tüm cihazlar için ortak bir dil/mimari tanımlanması gerekmektedir, bir cihazda “A” anlamına gelen veri diğer cihazda da “A” anlamına gelmelidir. Burada da ortaya bir mimari çıkıyor. Örneğin bir taşınabilir dosyanın...
-
Zararlı Yazılım Analizi Temelleri
Zararlı Yazılım Analizi Temelleri İçerik Zararlı yazılım lab ortamı hazırlama Zararlı yazılım nedir? Analiz türleri nelerdir? Araç seti C/C++ Kaynak dosyası derleme Örnek Giriş Yapılacak olan analizlerde kullanılmak üzere bir adet Windows ( 7/10 ) sanal makine, bir adet RemNux sanal makine gereklidir. Burada Windows olarak FlareVM kullanılabilir. Bu makinelerin...