Sistemlerde Loki ve Yara Yardımıyla APT Aratmak

Bir sistemde zararlı bir faaliyet gerçekleştiğinde ilgili zararlı belirli noktalara belirli değerler (registry, autorun değerleri, proses bellek alanları, mutex değişkenler vb.) yazar / yerleştirir. Bu yazıda Lori ve Yara yardımı ile Silent Banker adlı APT zararlısının tespiti incelenecektir.

Yara isimli yazılım, kendine özel imza desteğiyle bu zararlı özelliklerini aratmaya yarar. Örneğin aşağıda Silent Banker zararlısına ait imza yer almaktadır.

 

Bununla beraber Yara aracını kullanmak, imzalarını güncelleyebilmek operasyonel olarak görece olarak zahmetlidir. Bu noktada Loki isimli yazılım devreye giriyor. Aşağıdaki adreste yer alan Loki isimli yazılım, bu işlemleri kolaylaştıran faydalı bir yazılımdır.

https://github.com/Neo23x0/Loki

 

Yönetici haklarıyla çalıştırıldığında asıl verimin alınabileceği Loki, Yara’ya ait kurulum/imza güncelleme vb. işlerini son derece kolaylaştırmaktadır. Yazılım ilk çalıştığında imzalarını güncelleyecek (başta çok bilindik APT imzaları olmak üzere) ve taramayı başlatacaktır. Tek yapılması gereken loki.exe‘yi yönetici haklarıyla çalıştırmaktır. Aşağıda örnek bir ekran çıktısı mevcuttur.

 

Aşağıda Loki ile beraber hazır gelen IOC‘lere yer verilmiştir

  • Equation Group Malware
  • Carbanak APT
  • Arid Viper APT
  • Anthem APT
  • Regin Malware
  • Five Eyes QUERTY Malware
  • Skeleton Key Malware
  • WoolenGoldfish
  • OpCleaver

 

Not: Loki’nin kurumlara özel enterprise versiyonu olan Thor’a ait bilgiler aşağıdaki adresten elde edilebilir.

http://www.bsk-consulting.de/apt-scanner-thor/

 

Kaynak (Alıntıdır):

Sistemlerinizde Loki ve Yara Yardımıyla APT aratmak

 

 

Yazarın Bilgileri

Furkan Çalışkan

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.