Ağustos 2020

7 Ağustos 2020 Cuma

Emotet Malware ın incelenmesi ve YARA Kuralının Yazılması.


  


Emotet İncelenmesi Ve YARA Kuralının Yazılması

Emotet 2014 yılında tespit edilen bir malwaredır.Emotet e-postalar aracığıyla yayılan bir Truva atıdır  (Trojan). Emotet  e-posta beklendik bir mail gibi gelebilir yani telefonunuz aylık faturasıymış gibi gelir ve çok uçuk bir maliyet gösterir faturanın detaylarını göremek için bu linke tıklanyın gibi aldatmaca yöntemlerini kullanır kısacası sosyal mühendislik yöntemlerini kullanarak bizim yemi yutmamızı beklerler yemi yuttuktan sonra sistemize sızmaya başlar.

Emotet  diğer bilgisayarlara yayılmak için worm benzeri özellikler kullanır

 

 

 

Emotet in incelenmsi ve YARA kuralının yazılması

Kuallndığım araçlar;

-          HxD

-          Kali Linux

-         https://www.virustotal.com

-         https://github.com/ytisf/theZoo/tree/master/malwares/Binaries/Win32.Emotet ( github linkindeki emotet. )



Gerçekleştirdiğim adımlar;



Githubtan indirdiğim malware’ı HxD içerisinde açtım.

2-     HxD ile inceldim ve elde ettiğim zararlı olabilecek bilgiler buldum bunlar;

 

 

 

 

 


3-      Virüs total tarfından açtım ve elde ettiğim zaralı yazılım içern komutlar;

 

 

 


 

 

Emotet YARA Kuralı

 

            rule Ransomware_emotet

            {

            meta:

                        decription="Emotet yara"

                        authour="Muhammed AYGUN"

                       

            strings:

           

                        $d1= "MSVBVM60.dll"

                        $d2 = "VBA6.dll"

                       

                        $s1= "gdi32"

                        $s2= "USER32"

                        $s3= "ByteArray"

                        $s4= "DllFunctionCall"

                       

                        $h1= {43 61 6C 6C 57 69 6E 64 6F 77 50 72 6F 63 41} // CallWindowProcA

                        $h2= {5F 5F 76 62 61 53 65 74 53 79 73 74 65 6D 45 72 72 6F 72} // __vbaSetSystemError

                        $h3= {5F 5F 76 62 61 47 65 6E 65 72 61 74 65 42 6F 75 6E 64 73 45 72 72 6F 72} // __vbaGenerateBoundsError

                        $h4= {43 3A 5C 50 72 6F 67 72} // C:\Program

                        $h5= {44 6C 6C 46 75 6E 63 74 69 6F 6E 43} //DllFunctionCall

                       

            condition:

                        for all of ($h*):($) or all of ($d1, $d2) or 1 of ($s*)

                       

           

            }

 

Yara kuralının çalıştırılması:

 

 

 

 

 

 

 

 

 

 



Kaynak:

https://github.com/ytisf/theZoo/tree/master/malwares/Binaries/Win32.Emotet https://www.malwarebytes.com/emotet/ https://www.fortinet.com/blog/threat-research/deep-dive-into-emotet-malware https://success.trendmicro.com/solution/1118391-malware-awareness-emotet-resurgence

6 Ağustos 2020 Perşembe

WannaCry Nedir Ve WannaCry YARA Kuralının Yazılması


WannaCry Nedir Ve WannaCry YARA Kuralının Yazılması 

WannaCry

 

Windows’u hedef alan bir fidye yazılımıdır. Wannacry, enfekte olduğu bilgisayardaki dosyaları şifreleyip yeniden erişime açılabilmesi için fidye talep etmektedir. WannaCry Microsoft'un Sunucu Mesaj Bloğu (SMB) protokolünü uygulamasındaki MS17-010 güvenlik açığından yararlanmaktadır.  WnnaCry bilgisayarlara eriştikten sonra bilgisayarın sabit disk sürücüsünü şifrelemekte ve ardından SMB’nin güvenlik açığından yararlanarak internetteki rastgele bilgisayarlara ve LAN’da ayı LAN üzerindeki bilgisayarlar arsında yayılmaya çalışmaktadır.

 Wannacry’ın etkiledği büyük kuruluşlar; 

·         São Paulo Court of Justice (Brezilya) 
·         Vivo (Telefônica Brasil) (Brazil)
·         Waterloo Üniversitesi(Kanada)
·         PetroChina (Çin)
·         Kamu Güvenliği Bürosu (Çin)
·         Sun Yat-sen Üniversitesi (Çin)
·         Instituto Nacional de Salud (Kolombiya)
·         Renault (Fransa)
·         Deutsche Bahn (Almanya)
·         Telenor Hungary (Macaristan)
·         Andhra Pradesh Police(Hindistan)
·         Dharmais Hastanesi (Endonezya)
·         Harapan Kita Hastanesi (Endonezya) 
·         Milano-Bicocca Üniversitesi(İtalya) 
·         Portugal Telecom (Portekiz) 
·         Automobile Dacia (Romanya)
·         Dışişleri Bakanlığı (Romanya)
·         MegaFon (Rusya)
·         İçişleri Bakanlığı (Rusya)
·         Rusya Demiryolları (Rusya)
·         Banco Bilbao Vizcaya Argentaria(İspanya)
·         Telefónica (İspanya) ·         Sandvik (İsveç)
·         Ulusal Sağlık Servisi (Birleşik Krallık)
·         Nissan BK (Birleşik Krallık)
·         Q-Park (Hollanda)
·         FedEx (ABD)
·         Garena Blade and Soul (Tayland)   



Wannacry’ın İncelenmesi

 

Amaç: Wannacry malware ını kendine has özelliklerini tespit edip yara kurallarını yazmak.

 

Öncelikle Hxd yi kurdum ve çalıştırdım daha sonra wannacry dosyasını içerisine dahil ettim.

( HxD : https://mh-nexus.de/en/hxd/       hxd yi kullanmamın sebebi zararlı yazılımın hex değerline bakmak gördüğüm zararlı değerleri yara kuralında yazmak. )


Zaralı dosyayı Hxd de çalıştırdım.

Ilk olarak karşıma sağ tarafta string olarak MZ değeriyle karşılaştım. MZ yani windowsun standrt çalıştırılabilir dosya olduğunu belirtir.

 

Hex kodlarında dolaşırken garip bir hex kodu daha gördüm internektte araştırınca veritabını ya da sunucu işlemlerini sonlandırmak için çalıştırıl olduğunu öğrendim

 

Biraz daha Inceledeikten sonra  wana crypto diye bir şey ile karşılaştım wana cryptor bilgisayardaki soyaları şifreleme aşamasına geçer.

 

Çeşitli dll dosyalarına rastladım


 

Exe dosyası gördüm

 

.bwnry uzantılı bir şey gördüm ona benzer var mı diye search ettim ve birkaç tane daha buldum


.

 


 

 

 

 

Hxd ile inceledikten sonra yara kurallarını yazma aşamasına geldik yara kurallarını yazmadan önce HxD de bulmuş olduğumuz zararlı olabilecekleri bir tablo içerisinde toplayıp daha sonra yara kurallarını yazdım buda bana pratiklik sağalar.

 

 

Yazdığım yara kuralı;

 

rule yarakural

{

            meta:

                        description= "WanaCry incelenmesi"

                        author="Muhammed AYGUN"

 

           

            strings:

                        $bwnry = {62 2E 77 6E 72 79}

                        $cwnry = {63 2E 77 6E 72 79}

                        $rwnry = {72 2E 77 6E 72 79}

                        $swnry = {73 2E 77 6E 72 79}

                        $twnry = {74 2E 77 6E 72 79}

                        $ma1 = "tasksche.exe"

                        $ma2 = "Wncry@"

                        $ma3 = "msg/m_"

                       

                        $grant = "icacls . /grant Everyone:F /T /C /Q"

                        $hex_grant= {69 63 61 [7-7] ?? 72 61 6e 74}

                        /* ?? wilcardslar içserisnde belirsiz olduğu için kullanıldı yan yerine herhangi bir byte lık deger gelebilir.

                                    [7-7]:7 byte lık herhangi bir deger gelebilir demektir. */

                       

                        $d1 = "KERNEL32.dll" nocase

                        $d2 = "USER32.dll" nocase

                        $d3 = "ADVAPI32.dll" nocase

                        $d4 = "SHELL32.dll" fullword

                        $d5 = "OLEAUT32.dll" fullword

                        $d6 = "WS2_32.dll" fullword

                        $d7 = "MSVCRT.dll" fullword

                        $d8 = "MSVCP60.dll" fullword

                       

            condition:

            for all of ($d*):($) and $hex_grant and 1 of ($ma*) and all of ($bwnry, $cwnry, $rwnry, $swnry, $twnry) and $grant

 

}

 

 

 

Yazmış  olduğum bu kuralı notpad++ içerisinde uzantısını .yar olarak kaydettim. daha sonra Kali Linux a geçtim zararlı yazılımın ve yara kuralı yazılı olan dizine giriş yaptım ve yara komutunu çalıştırdım.

yara wncry.yar wncry.exe

Ana kuralda tag ın isimini yarakural yazmıştık çıktı olarak karşımıza çıktı.

bu komuta ek olarak –s parametresini kullanarak eşleşen kelime dizilerini yazdırabiliriz.

 


 

 

 

Kaynak:

https://tr.wikipedia.org/wiki/WannaCry

https://www.kaspersky.com.tr/resource-center/threats/ransomware-wannacry

 

5 Ağustos 2020 Çarşamba

YARA Kuralları Nedir, Nasıl Yazılır.



YARA


Yara, malware tespitinde ve analizinde kullanılan bir tooldur. Yara genel anlamında kullanımında malware hakkında bilgi toplama ve analizi hızlandırmak amacıyla kullanılmaktadır. Yara virustotal tarafından geliştirilmiştir. Açık kaynak kodlu bir araçtır.

Yara kuralları malwareların sınıflandırılmasında ve malwareların kodların tanımlanmasında kullanılır. Tespit edilen bir malware hangi malware türünü olduğunu ya da kimin tarafından kullanılıp oluşturulduğunu yara kuralları ile elde edebiliriz. Aynı zamanda malwarelarin kullanmış olduğu exploitleri, malwareların hangi dilde yazıldığı, kullanmış olduğu anti analiz teknikleri hakkında bilgi sahibi olabiliriz.

Yara nın temelini kurallar oluşturur.

 

Yara kurallarını otomatikleştirmek için Python kullanılarak yazılan bir çok kütpühane mevcuttur.
yara kuralları GitHub üzerinde hazır yara kurallarını bulmamız mümkün. Örnek olarak virüs totoal tarafından paylaşılan yara kütüphanesi;
https://github.com/VirusTotal/yara-python

 

Yazdığımız yara kuralları ile kendi sistemimizin dışında onilen sanbox sağlayan sistemler üzerinde de yara kurallarına hit eden zararlı yazlımı analiz edebiliriz. örnek olarak https://www.hybrid-analysis.com/      https://malwr.com/   siteleri verilebilir.

 

 

 

 

 

Yara da kural yazılması;

Her bir yara kuralı rule ifadesi ile başlar ve kurala verilen isimle devam eder. Meta kısmında yazan ifadeler kural hakkında bilgileri içerir.

Sonra gelen strings ve condition kısmı yara nın temelini oluşturur ve aranacak ifadeler ile bu ifadelerin meydana gelmesi halinde ilgili yara kuralını tetikleyeceğini belirler.

Strings bölümğndeki değişkenler $ işareti ile başlar.

İlgili string değişkene atanacak değerhex ise {} arasına yazılır text formatında ise “” arasına yazılır.

/*   çoklu yorum satırı yazılabilir */

// tekli oyrum satırı

 

Yara parametreleri;

-t <tag(değişken)> -> “tag” olarak etiketlenen kuralları yazdırır, geri kalanları görmezden gelir.

-i <identifier> -> sadece kuralların ismini yazdırır 

-n -> boşa çıkan kuralları yazdırır 

-D –print-module-data -> modülün verisini yazdırır.

 -g –print-tags -> etiketlenenleri yazdırır. 

-m –pintt-meta -> metadata’yı yazdırır. 

-s –print-strings -> eşleşen kelime dizilerini yazdırır. 

-d <identifier> -> dışarıda değişken tanımlama 

-r –recursive -> dizinlerin alt dizinlerini de tarar. 

-f –fast-scan -> hızlı tarama yapar 

-w –disable-warnings -> hataları görmezden gelir 

-v –version -> kullandığınız yara sürümünün bilgilerini yazdırır 

-h –help -> yardım kısmını gösterir



Yara Örneği;

            rule kural_ismi

{

            meta:

            authour= “M Aygun”

            decription=”ilk_yara”

            strings:

            $a =”zararlı yazılım”

            $b=”yara kuralları”

            condition:

            $a or $b

}

 


 

 

Yarayı kullananlar;

           ActiveCanopy

           Adlice

           AlienVault

           BAE Systems

           Bayshore Networks, Inc.

           BinaryAlert

           Blue Coat

           Blueliv

           Cofense

           Conix

           CrowdStrike FMS

           Cuckoo Sandbox

           Cyber Triage

           Digita Security

           Dragos Platform

           Dtex Systems

           ESET

           ESTSecurity

           Fidelis XPS

           FireEye, Inc.

           Fox-IT

           FSF

           Guidance Software

           Heroku

           Hornetsecurity

           InQuest

           JASK

           Joe Security

           jsunpack-n

           Kaspersky Lab

           Koodous

           Laika BOSS

           Lastline, Inc.

           LimaCharlie

           McAfee Advanced Threat Defense

           Metaflows

           NBS System

           Nozomi Networks

           osquery

           Payload Security

           PhishMe

           Picus Security

           Radare2

           Raytheon Cyber Products, Inc.

           RedSocks Security

           ReversingLabs

           root9B

           Scanii

           RSA ECAT

           SpamStopsHere

           stoQ

           Symantec

           Tanium

           Tenable Network Security

           The DigiTrust Group

           ThreatConnect

           ThreatStream, Inc.

           Thug

           Trend Micro

           VirusTotal Intelligence

           VMRay

           We Watch Your Website

           Websense

           x64dbg

           YALIH

 

 

 

Kaynak :

https://github.com/InQuest/awesome-yara

https://support.virustotal.com/hc/en-us/articles/115002178945-YARA

http://virustotal.github.io/yara/

https://www.bgasecurity.com/makale/zararli-yazilim-analizi-ve-tespitinde-yara-kullanimi/

https://halilozturkci.com/adli-bilisim-incelemelerinde-yara-ile-zararli-kod-tespiti/

https://yara.readthedocs.io/en/stable/