$type=blogging$count=16$readmore=no$labels=no$snippet=no$meta=no

$type=one$count=10 $type=blogging$count=16$readmore=no$labels=no$snippet=no$meta=no Yazılarımız DMCA lisansı ile korunmaktadır.Kaynak gösterilmeden alıntı yapılamaz.!

Takdir Ediliyorsan Değil Taklit Ediliyorsan Başarmışsındır.
Bumerang - Yazarkafe

DMCA.com Protection Status

Jigsaw Ransomware Malware Tespiti ve Analizi






Bugünkü makalemde, Jigsaw isimli Ransomware'in Adli Bilişim açısından nasıl tespit edilebileceğini ve analizinin nasıl yapılabileceğinden bahsediyor olacağım.

Jigsaw isimli fidye yazılımı spam e-postalar, sosyal mühendislik v.b yöntemler ile bilgisayarlara bulaşabilmektedir. Bilgisayara bulaştıktan sonra verileri şifreleyerek, kişilerden belli bir ücret karşılığında şifre çözme bedeli talep etmektedir.


Öncelikle malware bulaşmış bilgisayarlarda ilk yapılması gereken, bilgisayarın kapatılmaması ve RAM imajının alınmasıdır. RAM imajı alma işlemi için buradaki makalemi okuyabilirsiniz.

Almış olduğumuz RAM imajını volatility aracını kullanarak inceleyelim. 

Adım 1: Volatility ile vol.py -f memdump.mem imageinfo komutunu kullanarak RAM imajının profil bilgisini elde ettik.



Adım 2: Profil bilgisini elde ettikten sonra vol.py -f memdump.mem --profile=Win7SP1x86_23418  pslist komutu ile RAM üzerinde çalışan tüm processleri görüntülüyoruz.



Çalışan processleri görüntüledikten sonra, hangi processing zararlı yazılıma ait olduğunu tespit etmek için her processi PID numarası ile birlikte Google da araştırabilirsiniz ya da Volatility'deki malfind komutu ile şüpheli processleri tespit edebiliriz.

Adım 3:  vol.py -f memdump.mem --profile=Win7SP1x86_23418 malfind komutunu kullanarak zararlı olabilecek şüpheli processleri görüntüleyelim.





Malfind, explorer.exe, drpbx.exe ve wisptis.exe isimli processlerinin şüpheli olabilebilceğini tespit etti. Yapılan tespit sonrasında şüpheli processleri dışarıya çıkartalım.



Dışarıya çıkartmış olduğumuz, processlerin zararlı olup olmadıklarını VirusTotel'e yükleyerek teğit edelim. VirusTotal, yüklemiş olduğum 3 dosyadan yalnızca drpbx.exe isimli dosyanın %42 oranında Jigsaw isimli Ransomware olduğu uyarısını verdi. VirusTotal Link


drpbx.exe isimli dosyanın çalıştırmış olduğu dll dosyalarını incelediğimizde, işletim sisteminin şifreleme için kullanmış olduğu CRYPTSP.dll ve CRYPTBASE.dll isimli dosyaların drpbx.exe tarafından çalıştırıldığı görülmektedir.



Adım 4: Tespit etmiş olduğumuz drpbx.exe isimli zararlı yazılımınının dosya detaylarını görüntüleyelim. 



32 bit çalıştırabilir bir dosya olduğunu öğrenmiş olduk. Daha sonrasında ILSpy yazılımını kullanarak zararlı yazılımı decompile edip inceleyebiliriz.



Reverse ettiğimizde zararlı yazılımın dosyaları ".fun" uzantısı ile şifrelediğini ve şifreleme işlemini yaparken kullanmış olduğu encrypt password bilgisini elde etmiş olduk. Bu şekilde zararlı yazılım içerisindeki kodları inceleyerek şifreleme algoritması gibi daha fazla bilgi ve detaya erişebilirsiniz.

Ayrıca; Jigsaw zararlı yazılımı çalıştırılıp davranışları kayıt altına alındığında, zararlı yazılımın \AppData\Roaming\Frfx\ dizini altında firefox.exe dosyasını ve AppData\Local\Drpbx\ dizini altında drpbx.exe dosyasını oluşturduğu ve Registry dosyasında değişiklikler yaptığı görülmektedir.

CaptureBat


Okumuş olduğunuz için teşekkür ederim. Bir sonraki makalede tekrar görüşmek üzere.



YORUMLAR⤵

Ad

adli bilişim adli bilişim eğitimi Adli Bilişim İncelemelerinde Foremost ile Veri Kazıma İşlemi adli bilişim Malware adli bilişim mühendisi adlibilisim Android Hacking android hackleme android injection Android ve IOS İşletim Sistemlerinin Veritabanları ve Görevleri Nelerdir? cobalt strike analizi cobalt strike detect cobalt strike saldırısı cobalt strike tespiti defender bypass digital forensic DumpIt DumpIt ile ram imajı alma dumpit indir foremost How detect Jigsaw Ransomware Malware ibrahim baloglu ibrahim baloğlu image live imaj canlandırma java JAVA ile Rss Üzerinden Veri Çekme Jigsaw Ransomware Malware jsoup kurulumu jsoup rss kodlama linux veri kurtarma live image malware Malware tespiti metasploit android hacking metasploit nedir mobil uygulamaların adli bilişim incelemesi Yaani Mail Uygulamasının Adli Bilişim Açısından İncelenmesi NTUSER.DAR ptt mesaj uygulaması ptt mesenger ptt mesenger indir ptt mesenger nedir ptt messenger purple team saldırısı ram ram imajı alma ram imajı nedir registry forensic registry parse rss veri çekme SAM sibergüvenlik SOFTWARE SYSTEM veri kurtarma volatility volatility ile ram inceleme volatility kullanımı volatility ram imajı windows forensic windows forensic eğitimi Windows şifresi elde etme yaani mail yaani mail adli bilişim incelemesi yani mail nedir yeni
false
ltr
item
İbrahim BALOĞLU | Adli Bilişim | Siber Güvenlik: Jigsaw Ransomware Malware Tespiti ve Analizi
Jigsaw Ransomware Malware Tespiti ve Analizi
https://1.bp.blogspot.com/-Fh42U5g8WdE/XZklp0c0nII/AAAAAAAAC34/9wArn0qVyWMkaEbD837ZITbrOXbC1xz5QCLcBGAsYHQ/s640/Ekran%2Bsssss.PNG
https://1.bp.blogspot.com/-Fh42U5g8WdE/XZklp0c0nII/AAAAAAAAC34/9wArn0qVyWMkaEbD837ZITbrOXbC1xz5QCLcBGAsYHQ/s72-c/Ekran%2Bsssss.PNG
İbrahim BALOĞLU | Adli Bilişim | Siber Güvenlik
http://www.ibrahimbaloglu.com/2019/10/jigsaw-ransomware-malware-tespiti-ve.html
http://www.ibrahimbaloglu.com/
http://www.ibrahimbaloglu.com/
http://www.ibrahimbaloglu.com/2019/10/jigsaw-ransomware-malware-tespiti-ve.html
true
631381070093278817
UTF-8
Konu Bulunamadı. Tümünü Gör Devamını Oku Yanıtla Yanıtlamaktan Vazgeç Sil Yazar Ana Sayfa Sayfa Yazılar Tümünü Gör Size Özel Başka Önerilerimiz⤵ Etiket Arşiv ARANAN Aradığınız kelimeyle alakalı henüz bir konumuz yok :( Ana Sayfa Pazar Pazartesi Salı Çarşamba Perşembe Cuma Cumartesi Sun Mon Tue Wed Thu Fri Sat Ocak Şubat Mart Nisan Mayıs Haziran Temmuz Ağustos Eylül Ekim Kasım Aralık Ocak Şubat Mart Nisan Mayıs Haziran Temmuz Ağustos Eylül Ekim Kasım Aralık Şimdi 1 dk. önce $$1$$ dk önce 1 saat önce $$1$$ saat önce Dün $$1$$ gün önce $$1$$ hafta önce 5 haftadan önce