Emotet Malware ın incelenmesi ve YARA Kuralının Yazılması.

Emotet Malware ın incelenmesi ve YARA Kuralının Yazılması.

   Ağustos 07, 2020       Muhammed AYGÜN

---

  

Emotet İncelenmesi Ve YARA Kuralının Yazılması

Emotet 2014 yılında tespit edilen bir malwaredır.Emotet e-postalar aracığıyla yayılan bir Truva atıdır  (Trojan). Emotet  e-posta beklendik bir mail gibi gelebilir yani telefonunuz aylık faturasıymış gibi gelir ve çok uçuk bir maliyet gösterir faturanın detaylarını göremek için bu linke tıklanyın gibi aldatmaca yöntemlerini kullanır kısacası sosyal mühendislik yöntemlerini kullanarak bizim yemi yutmamızı beklerler yemi yuttuktan sonra sistemize sızmaya başlar.

Emotet  diğer bilgisayarlara yayılmak için worm benzeri özellikler kullanır

 

 

 

Emotet in incelenmsi ve YARA kuralının yazılması

Kuallndığım araçlar;

-          HxD

-          Kali Linux

-         https://www.virustotal.com

-         https://github.com/ytisf/theZoo/tree/master/malwares/Binaries/Win32.Emotet ( github linkindeki emotet. )

Gerçekleştirdiğim adımlar;

Githubtan indirdiğim malware’ı HxD içerisinde açtım.

2-     HxD ile inceldim ve elde ettiğim zararlı olabilecek bilgiler buldum bunlar;

 

 

 

 

 

3-      Virüs total tarfından açtım ve elde ettiğim zaralı yazılım içern komutlar;

 

 

 

 

 

Emotet YARA Kuralı

 

            rule Ransomware_emotet

            {

            meta:

                        decription="Emotet yara"

                        authour="Muhammed AYGUN"

                       

            strings:

           

                        $d1= "MSVBVM60.dll"

                        $d2 = "VBA6.dll"

                       

                        $s1= "gdi32"

                        $s2= "USER32"

                        $s3= "ByteArray"

                        $s4= "DllFunctionCall"

                       

                        $h1= {43 61 6C 6C 57 69 6E 64 6F 77 50 72 6F 63 41} // CallWindowProcA

                        $h2= {5F 5F 76 62 61 53 65 74 53 79 73 74 65 6D 45 72 72 6F 72} // __vbaSetSystemError

                        $h3= {5F 5F 76 62 61 47 65 6E 65 72 61 74 65 42 6F 75 6E 64 73 45 72 72 6F 72} // __vbaGenerateBoundsError

                        $h4= {43 3A 5C 50 72 6F 67 72} // C:\Program

                        $h5= {44 6C 6C 46 75 6E 63 74 69 6F 6E 43} //DllFunctionCall

                       

            condition:

                        for all of ($h*):($) or all of ($d1, $d2) or 1 of ($s*)

                       

           

            }

 

Yara kuralının çalıştırılması:

 

 

 

 

 

 

 

 

 

 

Kaynak:

https://github.com/ytisf/theZoo/tree/master/malwares/Binaries/Win32.Emotet https://www.malwarebytes.com/emotet/ https://www.fortinet.com/blog/threat-research/deep-dive-into-emotet-malware https://success.trendmicro.com/solution/1118391-malware-awareness-emotet-resurgence

Read More

WannaCry Nedir Ve WannaCry YARA Kuralının Yazılması

   Ağustos 06, 2020       Muhammed AYGÜN

---

WannaCry Nedir Ve WannaCry YARA Kuralının Yazılması 

WannaCry

 

Windows’u hedef alan bir fidye yazılımıdır. Wannacry, enfekte olduğu bilgisayardaki dosyaları şifreleyip yeniden erişime açılabilmesi için fidye talep etmektedir. WannaCry Microsoft'un Sunucu Mesaj Bloğu (SMB) protokolünü uygulamasındaki MS17-010 güvenlik açığından yararlanmaktadır.  WnnaCry bilgisayarlara eriştikten sonra bilgisayarın sabit disk sürücüsünü şifrelemekte ve ardından SMB’nin güvenlik açığından yararlanarak internetteki rastgele bilgisayarlara ve LAN’da ayı LAN üzerindeki bilgisayarlar arsında yayılmaya çalışmaktadır.

 Wannacry’ın etkiledği büyük kuruluşlar; 

·         São Paulo Court of Justice (Brezilya) 
·         Vivo (Telefônica Brasil) (Brazil)
·         Waterloo Üniversitesi(Kanada)
·         PetroChina (Çin)
·         Kamu Güvenliği Bürosu (Çin)
·         Sun Yat-sen Üniversitesi (Çin)
·         Instituto Nacional de Salud (Kolombiya)
·         Renault (Fransa)
·         Deutsche Bahn (Almanya)
·         Telenor Hungary (Macaristan)
·         Andhra Pradesh Police(Hindistan)
·         Dharmais Hastanesi (Endonezya)
·         Harapan Kita Hastanesi (Endonezya) 
·         Milano-Bicocca Üniversitesi(İtalya) 
·         Portugal Telecom (Portekiz) 
·         Automobile Dacia (Romanya)
·         Dışişleri Bakanlığı (Romanya)
·         MegaFon (Rusya)
·         İçişleri Bakanlığı (Rusya)
·         Rusya Demiryolları (Rusya)
·         Banco Bilbao Vizcaya Argentaria(İspanya)
·         Telefónica (İspanya) ·         Sandvik (İsveç)
·         Ulusal Sağlık Servisi (Birleşik Krallık)
·         Nissan BK (Birleşik Krallık)
·         Q-Park (Hollanda)
·         FedEx (ABD)
·         Garena Blade and Soul (Tayland)   

Wannacry’ın İncelenmesi

 

Amaç: Wannacry malware ını kendine has özelliklerini tespit edip yara kurallarını yazmak.

 

Öncelikle Hxd yi kurdum ve çalıştırdım daha sonra wannacry dosyasını içerisine dahil ettim.

( HxD : https://mh-nexus.de/en/hxd/       hxd yi kullanmamın sebebi zararlı yazılımın hex değerline bakmak gördüğüm zararlı değerleri yara kuralında yazmak. )

Zaralı dosyayı Hxd de çalıştırdım.

Ilk olarak karşıma sağ tarafta string olarak MZ değeriyle karşılaştım. MZ yani windowsun standrt çalıştırılabilir dosya olduğunu belirtir.

 

Hex kodlarında dolaşırken garip bir hex kodu daha gördüm internektte araştırınca veritabını ya da sunucu işlemlerini sonlandırmak için çalıştırıl olduğunu öğrendim

 

Biraz daha Inceledeikten sonra  wana crypto diye bir şey ile karşılaştım wana cryptor bilgisayardaki soyaları şifreleme aşamasına geçer.

 

Çeşitli dll dosyalarına rastladım

 

Exe dosyası gördüm

 

.bwnry uzantılı bir şey gördüm ona benzer var mı diye search ettim ve birkaç tane daha buldum

.

 

 

 

 

 

Hxd ile inceledikten sonra yara kurallarını yazma aşamasına geldik yara kurallarını yazmadan önce HxD de bulmuş olduğumuz zararlı olabilecekleri bir tablo içerisinde toplayıp daha sonra yara kurallarını yazdım buda bana pratiklik sağalar.

 

 

Yazdığım yara kuralı;

 

rule yarakural

{

            meta:

                        description= "WanaCry incelenmesi"

                        author="Muhammed AYGUN"

 

           

            strings:

                        $bwnry = {62 2E 77 6E 72 79}

                        $cwnry = {63 2E 77 6E 72 79}

                        $rwnry = {72 2E 77 6E 72 79}

                        $swnry = {73 2E 77 6E 72 79}

                        $twnry = {74 2E 77 6E 72 79}

                        $ma1 = "tasksche.exe"

                        $ma2 = "Wncry@"

                        $ma3 = "msg/m_"

                       

                        $grant = "icacls . /grant Everyone:F /T /C /Q"

                        $hex_grant= {69 63 61 [7-7] ?? 72 61 6e 74}

                        /* ?? wilcardslar içserisnde belirsiz olduğu için kullanıldı yan yerine herhangi bir byte lık deger gelebilir.

                                    [7-7]:7 byte lık herhangi bir deger gelebilir demektir. */

                       

                        $d1 = "KERNEL32.dll" nocase

                        $d2 = "USER32.dll" nocase

                        $d3 = "ADVAPI32.dll" nocase

                        $d4 = "SHELL32.dll" fullword

                        $d5 = "OLEAUT32.dll" fullword

                        $d6 = "WS2_32.dll" fullword

                        $d7 = "MSVCRT.dll" fullword

                        $d8 = "MSVCP60.dll" fullword

                       

            condition:

            for all of ($d*):($) and $hex_grant and 1 of ($ma*) and all of ($bwnry, $cwnry, $rwnry, $swnry, $twnry) and $grant

 

}

 

 

 

Yazmış  olduğum bu kuralı notpad++ içerisinde uzantısını .yar olarak kaydettim. daha sonra Kali Linux a geçtim zararlı yazılımın ve yara kuralı yazılı olan dizine giriş yaptım ve yara komutunu çalıştırdım.

yara wncry.yar wncry.exe

Ana kuralda tag ın isimini yarakural yazmıştık çıktı olarak karşımıza çıktı.

bu komuta ek olarak –s parametresini kullanarak eşleşen kelime dizilerini yazdırabiliriz.

 

 

 

 

Kaynak:

https://tr.wikipedia.org/wiki/WannaCry

https://www.kaspersky.com.tr/resource-center/threats/ransomware-wannacry

 

Read More