Wednesday, December 19, 2012

SU Temiz

Merhaba,

Bir arkadaşımızın isteği üzerine daha önce Zemana blogda yayınladığım “Dünyayı Kurtaran Hacker” yarışmasının 1’inci sorusu olan “su.exe” dosyasını inceledim, bazı forumlarda dosyanın zararlı / keylogger olduğuna dair çeşitli şeyler yazılmış. Açıkçası dosyayı VT ile taratıp, PE Explorer ile 1 dk.lık bir inceleme sonrasında %99.9 zararlı olmadığı bariz belliydi diyebilirim yine de her ihtimale karşı biraz daha detaylı incelemem gerektiğini düşündüm.

Sonuç : “Su temiz Gülümseme

1. İncelediğim dosyanın MD5’i 5BCE5E67FFCDDC520BACB107918CADF1. Delphi ile derlendiği için başından false positive’lere hazır olmak gerekiyor çünkü Delphi trojan yazarları arasında en popüler dil.

 

Su1

 

2. Dosyanın Delphi ile derlendiğini öğrenince DeDe’yi kullanmadan önce Resource Hacker ile bir göz atmak istedim, sonuç iki adet callback. UI ile gayet uyumlu fonksiyonlar.

 

Su2

 

3. Birazdan lazım olma ihtimaline karşı RVA'larını not edelim. FormCreate yordamı da burada, onu da not edelim.

 

Su3

 

4. Importlarındaki APIlerde networking’e ilişkin bir şey yok. Bu kullanılmadıkları anlamına gelmiyor fakat dosyanın siciline artı puan olarak işleniyor

 

Su4

 

5. Delphi uygulamalarında FormCreate yordamı güzel bir başlangıç noktasıdır. Buraya bakarsanız FormCreate yordamı "Ben Masumum" diye bağırıyor…

 

Su5

 

6. Mouse clickde çalışacak yordam aşağıda. Flag : Su Vereydi İyiydi.

NOT : Keşke yarışmaya ben de katılsaydımGülümseme

 

Su6

 

7. Unutulmuş bir MouseMove yordamı…

 

Su7

 

8. 2/43 Delphi uygulamaları için çok da anormal bir false positive sayılmaz. Symantec reputation düşük olduğu için uyarı vermiş dolayısıyla sayıyı 1/43 olarak değerlendirsek daha iyi olur. TrendMicro ise muhtemelen çok az API çağrısı olduğu için “karamanın koyunu” muamelesi yapmış…

 

Su8

 

9. Keylogging yapıyor diyen arkadaş için aşağıdaki iki APInin nerelerde kullanıldığına bakalım.

 

Su9

 

10. Gayet normal bir yer, VCL kütüphanesinin içinden çağırılıyor.

 

Su10

 

11. TApplication nesnesinin oluşturulduğu kısma bakalım. InitExe çağrısından sonra şüphelendiğim bir çağrı var. Takip ettiğimde dinamik bir adres kullanıldığını gördüm. Emin olmak için başka bir Delphi dosyası ile karşılaştırdığımda Su.exe’den özür diledim, boş yere şüphelenmişim.

 

Su11

 

12. Bu kadar yeter demişken hadi bir de network apilerini trace edeyim dedim, hem API çağrıları hem de VM dışındaki tüm trafiğin route edildiği Linux makinede hiçbir trafiğe rastlamadım.

 

Su12




8 comments:

  1. E-mail'i ben gönderdim ve kısa sürede gerekli rapor açıklaması yapıldı , ilginiz ve alakaniz için çok teşekkür ederim

    ReplyDelete
  2. İsim ile ilgili bilgi vermemişti arkadaşlar şimdi öğrenince teşekkür etmek istedim Tolga Bey. Bilgilendirme için sağolun.

    ReplyDelete
    Replies
    1. Sonuçta “Dünyayı Kurtaran Hacker” medya sponsoruyduk ve gereken açıklama geldi herkes bir rahat nefes aldi , başta dediler keylogger mevcut , zemana kurulu olduğu halde algılamadı bende sizlere danışayım ve raporu herkes gorsun istedim , ve en kısa surede gerekli acıklama geldi , zemana antilogger ekibine ve emre bey'e çok teşekkür ediyorum , iyi çalışmalar

      Delete
  3. Ne demek :) Biz teşekkür ederiz :):)

    ReplyDelete
  4. Bu şık analizle "Dünyayı Kurtaran Hacker" yarışmasını kurtaran hacker büyük ödülü hak etmiştir diye düşünüyorum :)

    ReplyDelete
    Replies
    1. Teveccuhunuz Harun bey:) Basit bit inceleme neticede dosya tertemiz oldugu icin, keske tum exeler boyle ak pak olsa:)

      Delete
  5. Güzel bir Döküman olmuş Eline Sağlık abi biraz geç kaldım ancak sutemiz.exe indirip ben de bakmak istiyorum. rica etsem link verebilirmisin.yeni Dökümanı Dört gözle bekliyorum :)
    iyi Çalışmalar .
    Tüm Zemana Ekine Çlışmalarından dolayı Başarıların devamını diliyorum.

    ReplyDelete
  6. Bilgilendirme için teşekkür ederiz.

    ReplyDelete