Sistemlerde Loki ve Yara Yardımıyla APT Aratmak

0
66
views
Bir sistemde zararlı bir faaliyet gerçekleştiğinde ilgili zararlı belirli noktalara belirli değerler (registry, autorun değerleri, proses bellek alanları, mutex değişkenler vb.) yazar / yerleştirir. Bu yazıda Lori ve Yara yardımı ile Silent Banker adlı APT zararlısının tespiti incelenecektir.

Yara isimli yazılım, kendine özel imza desteğiyle bu zararlı özelliklerini aratmaya yarar. Örneğin aşağıda Silent Banker zararlısına ait imza yer almaktadır.

 

Bununla beraber Yara aracını kullanmak, imzalarını güncelleyebilmek operasyonel olarak görece olarak zahmetlidir. Bu noktada Loki isimli yazılım devreye giriyor. Aşağıdaki adreste yer alan Loki isimli yazılım, bu işlemleri kolaylaştıran faydalı bir yazılımdır.

https://github.com/Neo23x0/Loki

 

Yönetici haklarıyla çalıştırıldığında asıl verimin alınabileceği Loki, Yara’ya ait kurulum/imza güncelleme vb. işlerini son derece kolaylaştırmaktadır. Yazılım ilk çalıştığında imzalarını güncelleyecek (başta çok bilindik APT imzaları olmak üzere) ve taramayı başlatacaktır. Tek yapılması gereken loki.exe‘yi yönetici haklarıyla çalıştırmaktır. Aşağıda örnek bir ekran çıktısı mevcuttur.

 

Aşağıda Loki ile beraber hazır gelen IOC‘lere yer verilmiştir

  • Equation Group Malware
  • Carbanak APT
  • Arid Viper APT
  • Anthem APT
  • Regin Malware
  • Five Eyes QUERTY Malware
  • Skeleton Key Malware
  • WoolenGoldfish
  • OpCleaver

 

Not: Loki’nin kurumlara özel enterprise versiyonu olan Thor’a ait bilgiler aşağıdaki adresten elde edilebilir.

http://www.bsk-consulting.de/apt-scanner-thor/

 

Kaynak (Alıntıdır):

http://acikdefans.com/sistemlerinizde-loki-ve-yara-yardimiyla-apt-aratmak/

 

 

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz