Tehdit Analizi Raporu
9/10
Özet
Analiz edilen zararlı yazılım, görünüşte oyun hilesi yükleyicisi (loader) gibi davranan, ancak arka planda sisteme izinsiz erişim sağlamaya çalışan bir tehdittir.
Özellikle sosyal mühendislik ile kullanıcıyı kandırıp çalıştırılmasını sağlamakta ve Github üzerinden güncel zararlı içerikler (payload) indirerek antivirüslerden kaçmaktadır.
Tehdit Davranışları (Detaylı)
-
Virüs Taramasını Bastırma:
Dosya açıldığında, virüs tarama uyarılarını devre dışı bırakıyor. Böylece IDE veya çalışma ortamı zararsız gibi görünür.
"ignore.virus.scanning.warn.message": "true"
-
Kendini Kopyalama:
JAR dosyası sisteme kopyalanıyor. Böylece kullanıcı dosyayı silse bile, zararlı sistemde kalıyor:
C:\Users\<user>\AppData\Local\yarim\yarim.jar
-
Payload İndirme:
Zararlı yazılım, Github’daki bir URL’den kod veya zararlı içerik (payload) indiriyor:
raw.githubusercontent.com (IP: 185.199.109.133)
Payload nedir? Payload, saldırganın sisteme çalıştırmak için gönderdiği asıl kod veya komut dizileridir. Örneğin:
- Shellcode (bellekte çalışan komutlar)
- JavaScript, Python scriptleri
- Komutlar veya zararlı güncellemeler
Amaç: Yeni zararlı işlevleri sisteme eklemek veya güncellemek.
-
Base64 Şifreleme:
İndirilen payload, Base64 ile şifrelenmiş. Böylece:
- Antivirüslerin zararlı kodu kolayca tanıması engellenir.
- Ağ trafiğinde dosyanın zararlı olduğu anlaşılmaz.
Örnek Base64 kodu:
U2FtcGxlIFBheWxvYWQgRGF0YQ==
-
Fileless (Disksiz) Çalışma:
Zararlı kod, dosya sistemine yazılmadan bellekte çalıştırılıyor. Bu yöntem:
- Antivirüslerin dosya taramalarını atlatır.
- Disk üzerinde iz bırakmadığı için tespiti çok zorlaştırır.
Örneğin sandbox analizinde zararlıya yalnızca core dump (bellek dökümü) sırasında rastlandı:
/proc/3019/coredump_filter
-
Registry Kalıcılığı:
Zararlı yazılım kalıcılık için Windows kayıt defterine (Registry) kendini ekliyor. Böylece:
- Bilgisayar yeniden başlasa bile çalışmaya devam eder.
- CMD veya komut satırı açıldığında önce zararlı çalışır.
Değiştirilen anahtarlar:
HKEY_CURRENT_USER\Software\Microsoft\Command Processor
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
-
Maskeleme Amaçlı Domain Kullanmalar:
Bellekte StackOverflow, Mozilla Developer gibi meşru domain isimleri yer alıyor. Amaç:
- Davranış tabanlı analizde dikkat çekmemek.
- Legal trafik gibi görünmek.
Örnek domainler:
- stackoverflow.com
- developer.mozilla.org
IOC’ler (Indicator of Compromise)
| IOC Türü |
Değer |
| Domain |
raw.githubusercontent.com |
| IP |
185.199.109.133 |
| Dosya İsmi |
yarim.jar |
| Registry Key |
HKEY_CURRENT_USER\Software\Microsoft\Command Processor |
| Registry Key |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor |
| SHA256 |
2c7ffba90207e9358dd15112ed98b149928aead489fb09da28ebe671abdcea0d |
Tehdit Seviyesi: Bu zararlı, bireysel kullanıcılar için oldukça tehlikelidir (9/10). Oyun hilesi kisvesiyle sosyal mühendislik yapması, Github üzerinden güncel payload indirmesi ve fileless çalışması nedeniyle tespiti zordur.