yagamilight
Platinum Üye
- Katılım
- 23 Nis 2026
- Mesajlar
- 184
- Beğeniler
- 52
iyi fudlamissin
Zararlı Yazılım Davranış Analizi Raporu (Siber Tehdit Göstergeleri)
1. Windows Defender ve Güvenlik Merkezinin Devre Dışı Bırakılma Girişimi (Defense Evasion)
Rapordaki Veri:
“Services Opened” başlığı altında WinDefend ve wscsvc servislerine erişim sağlanması.
Analiz ve Kanıt:
WinDefend (Microsoft Defender Antivirus) ve wscsvc (Windows Security Center), Windows işletim sisteminin temel güvenlik bileşenleridir. Bu servislerin hedef alınması, zararlı yazılımın tespit edilmeden çalışabilmek için güvenlik katmanlarını devre dışı bırakma veya etkisiz hale getirme girişiminde bulunduğunu gösterir. Bu tür davranışlar genellikle anti-analiz ve gizlenme teknikleriyle ilişkilidir.
2. Bellekten Parola ve Kimlik Bilgisi Toplama Girişimi (LSASS Dumping)
Rapordaki Veri:
“Processes Created” altında C:\Windows\System32\lsass.exe sürecinin tetiklenmesi.
Analiz ve Kanıt:
LSASS (Local Security Authority Subsystem Service), Windows oturum açma bilgilerini, kimlik doğrulama verilerini ve parola hash’lerini bellekte tutar. Bu sürece müdahale edilmesi veya hedef alınması, genellikle kimlik bilgisi hırsızlığı (credential dumping) girişimlerine işaret eder. Bu davranış, sistemdeki kullanıcı hesaplarının ele geçirilmesine yönelik kritik bir saldırı göstergesidir.
3. Tarayıcı Şifreleri ve Çerez Verilerinin Çalınması (Data Harvesting)
Rapordaki Veri:
“Files Dropped” bölümünde data_0, data_1, data_2, MANIFEST-000001, current dosyalarının oluşturulması/kopyalanması.
Analiz ve Kanıt:
Bu dosya yapısı, Chromium tabanlı tarayıcıların (Google Chrome, Microsoft Edge, Brave, Opera vb.) kullandığı LevelDB veritabanı formatına karşılık gelmektedir. Bu yapı; kayıtlı şifreler, çerezler (cookies), oturum token’ları ve tarama geçmişi gibi kritik kullanıcı verilerini içerir. Zararlı yazılımın bu dosyaları kopyalaması, tarayıcı kimlik bilgilerinin toplandığını açıkça göstermektedir.
4. Windows Kimlik Bilgisi Kasasına Yetkisiz Erişim Girişimi
Rapordaki Veri:
“Services Opened” listesinde VaultSvc (Credential Vault) servisinin çağrılması.
Analiz ve Kanıt:
VaultSvc, Windows Credential Manager altyapısını yönetir ve kayıtlı kullanıcı adı, parola ve sertifika bilgilerini saklar. Bu servise erişim girişimi, yerel sistemde saklanan hassas kimlik bilgilerinin hedef alındığını ve daha geniş kapsamlı veri sızdırma operasyonunun bir parçası olduğunu göstermektedir.
5. Komuta ve Kontrol (C2) Sunucusuna Veri Aktarımı
Rapordaki Veri:
Network Communication bölümünde api.mt-bot.nl alan adına DNS sorgusu yapılması ve 148.230.117.181:443 IP adresine HTTPS üzerinden bağlantı kurulması.
Analiz ve Kanıt:
Zararlı yazılımın veri toplama işlemlerinden sonra harici bir sunucuya şifreli bağlantı kurması, elde edilen verilerin saldırgan altyapısına aktarılmak istendiğini göstermektedir. HTTPS üzerinden yapılan iletişim, veri trafiğini gizlemek ve ağ analizini zorlaştırmak amacıyla kullanılmıştır. Bu durum tipik bir C2 (Command and Control) iletişim davranışıdır.
6. Pano (Clipboard) Manipülasyonu ve Kripto Varlık Hedefleme
Rapordaki Veri:
“Services Opened” listesinde clipsvc (Clipboard Service) sürecinin tetiklenmesi.
Analiz ve Kanıt:
Clipboard servisine yapılan müdahaleler, kopyalanan verilerin izlenmesine yönelik davranışları işaret eder. Özellikle kripto para cüzdan adreslerinin tespit edilerek saldırgan adresleriyle değiştirilmesi (clipboard hijacking), bilgi hırsızlığı yazılımlarında sık görülen bir tekniktir. Bu durum finansal varlıkların hedef alındığını göstermektedir.
7. Gizlenme, İz Silme ve Anti-Analiz Teknikleri
Rapordaki Veriler:
Rastgele isimlendirilmiş süreç çalıştırılması (d232b188-...exe)
Geçici dosyaların silinmesi (Files Deleted)
GetTickCount API çağrısı ile sistem çalışma süresinin kontrol edilmesi
Analiz ve Kanıt:
Zararlı yazılım, tespit edilmekten kaçınmak için çeşitli anti-analiz teknikleri kullanmaktadır. Rastgele dosya isimleri ile kendini gizleme, çalıştığı izleri silme ve sandbox/analiz ortamlarını tespit etmek için sistem uptime kontrolü yapma gibi davranışlar, gelişmiş bir kaçınma (evasion) mekanizmasına işaret eder. Bu teknikler adli bilişim analizini zorlaştırmak amacıyla kullanılır.
Genel Sonuç
Analiz edilen davranışlar birlikte değerlendirildiğinde, yazılımın:
Sistem güvenlik mekanizmalarını devre dışı bırakmaya çalıştığı
Bellekten ve dosya sisteminden kimlik bilgisi topladığı
Tarayıcı verilerini hedef aldığı
Harici bir komuta-kontrol sunucusuna veri sızdırdığı
Finansal (özellikle kripto para) bilgileri hedeflediği
İzlerini gizlemek için anti-analiz teknikleri kullandığı
sonucuna ulaşılmaktadır.
Bu göstergeler, yazılımın bilgi hırsızlığı (InfoStealer) ve uzaktan veri sızdırma yeteneklerine sahip zararlı bir örnek olduğunu güçlü şekilde işaret etmektedir.
Zararlı Yazılım Davranış Analizi Raporu (Siber Tehdit Göstergeleri)
1. Windows Defender ve Güvenlik Merkezinin Devre Dışı Bırakılma Girişimi (Defense Evasion)
Rapordaki Veri:
“Services Opened” başlığı altında WinDefend ve wscsvc servislerine erişim sağlanması.
Analiz ve Kanıt:
WinDefend (Microsoft Defender Antivirus) ve wscsvc (Windows Security Center), Windows işletim sisteminin temel güvenlik bileşenleridir. Bu servislerin hedef alınması, zararlı yazılımın tespit edilmeden çalışabilmek için güvenlik katmanlarını devre dışı bırakma veya etkisiz hale getirme girişiminde bulunduğunu gösterir. Bu tür davranışlar genellikle anti-analiz ve gizlenme teknikleriyle ilişkilidir.
2. Bellekten Parola ve Kimlik Bilgisi Toplama Girişimi (LSASS Dumping)
Rapordaki Veri:
“Processes Created” altında C:\Windows\System32\lsass.exe sürecinin tetiklenmesi.
Analiz ve Kanıt:
LSASS (Local Security Authority Subsystem Service), Windows oturum açma bilgilerini, kimlik doğrulama verilerini ve parola hash’lerini bellekte tutar. Bu sürece müdahale edilmesi veya hedef alınması, genellikle kimlik bilgisi hırsızlığı (credential dumping) girişimlerine işaret eder. Bu davranış, sistemdeki kullanıcı hesaplarının ele geçirilmesine yönelik kritik bir saldırı göstergesidir.
3. Tarayıcı Şifreleri ve Çerez Verilerinin Çalınması (Data Harvesting)
Rapordaki Veri:
“Files Dropped” bölümünde data_0, data_1, data_2, MANIFEST-000001, current dosyalarının oluşturulması/kopyalanması.
Analiz ve Kanıt:
Bu dosya yapısı, Chromium tabanlı tarayıcıların (Google Chrome, Microsoft Edge, Brave, Opera vb.) kullandığı LevelDB veritabanı formatına karşılık gelmektedir. Bu yapı; kayıtlı şifreler, çerezler (cookies), oturum token’ları ve tarama geçmişi gibi kritik kullanıcı verilerini içerir. Zararlı yazılımın bu dosyaları kopyalaması, tarayıcı kimlik bilgilerinin toplandığını açıkça göstermektedir.
4. Windows Kimlik Bilgisi Kasasına Yetkisiz Erişim Girişimi
Rapordaki Veri:
“Services Opened” listesinde VaultSvc (Credential Vault) servisinin çağrılması.
Analiz ve Kanıt:
VaultSvc, Windows Credential Manager altyapısını yönetir ve kayıtlı kullanıcı adı, parola ve sertifika bilgilerini saklar. Bu servise erişim girişimi, yerel sistemde saklanan hassas kimlik bilgilerinin hedef alındığını ve daha geniş kapsamlı veri sızdırma operasyonunun bir parçası olduğunu göstermektedir.
5. Komuta ve Kontrol (C2) Sunucusuna Veri Aktarımı
Rapordaki Veri:
Network Communication bölümünde api.mt-bot.nl alan adına DNS sorgusu yapılması ve 148.230.117.181:443 IP adresine HTTPS üzerinden bağlantı kurulması.
Analiz ve Kanıt:
Zararlı yazılımın veri toplama işlemlerinden sonra harici bir sunucuya şifreli bağlantı kurması, elde edilen verilerin saldırgan altyapısına aktarılmak istendiğini göstermektedir. HTTPS üzerinden yapılan iletişim, veri trafiğini gizlemek ve ağ analizini zorlaştırmak amacıyla kullanılmıştır. Bu durum tipik bir C2 (Command and Control) iletişim davranışıdır.
6. Pano (Clipboard) Manipülasyonu ve Kripto Varlık Hedefleme
Rapordaki Veri:
“Services Opened” listesinde clipsvc (Clipboard Service) sürecinin tetiklenmesi.
Analiz ve Kanıt:
Clipboard servisine yapılan müdahaleler, kopyalanan verilerin izlenmesine yönelik davranışları işaret eder. Özellikle kripto para cüzdan adreslerinin tespit edilerek saldırgan adresleriyle değiştirilmesi (clipboard hijacking), bilgi hırsızlığı yazılımlarında sık görülen bir tekniktir. Bu durum finansal varlıkların hedef alındığını göstermektedir.
7. Gizlenme, İz Silme ve Anti-Analiz Teknikleri
Rapordaki Veriler:
Rastgele isimlendirilmiş süreç çalıştırılması (d232b188-...exe)
Geçici dosyaların silinmesi (Files Deleted)
GetTickCount API çağrısı ile sistem çalışma süresinin kontrol edilmesi
Analiz ve Kanıt:
Zararlı yazılım, tespit edilmekten kaçınmak için çeşitli anti-analiz teknikleri kullanmaktadır. Rastgele dosya isimleri ile kendini gizleme, çalıştığı izleri silme ve sandbox/analiz ortamlarını tespit etmek için sistem uptime kontrolü yapma gibi davranışlar, gelişmiş bir kaçınma (evasion) mekanizmasına işaret eder. Bu teknikler adli bilişim analizini zorlaştırmak amacıyla kullanılır.
Genel Sonuç
Analiz edilen davranışlar birlikte değerlendirildiğinde, yazılımın:
Sistem güvenlik mekanizmalarını devre dışı bırakmaya çalıştığı
Bellekten ve dosya sisteminden kimlik bilgisi topladığı
Tarayıcı verilerini hedef aldığı
Harici bir komuta-kontrol sunucusuna veri sızdırdığı
Finansal (özellikle kripto para) bilgileri hedeflediği
İzlerini gizlemek için anti-analiz teknikleri kullandığı
sonucuna ulaşılmaktadır.
Bu göstergeler, yazılımın bilgi hırsızlığı (InfoStealer) ve uzaktan veri sızdırma yeteneklerine sahip zararlı bir örnek olduğunu güçlü şekilde işaret etmektedir.
