CTI_Arastirmalarim
HelloKitty Zararlı Yazılımı IoC Çalışması
alicangonullu[at]yahoo.com
Merhabalar,
Bu yazımda sizlerle birlikte HelloKitty adlı kaynak kodları sızdırılmış olan ransomware ve korunma yöntemlerini inceleyeceğiz. Öncelikle bu haberi şahsen Twitter / X üzerinde duydum ve kaynak kodlarını vx-underground adlı malware analizi yapan GitHub sayfasından indirdim ve incelemeye başladım. Kaynak : https://twitter.com/3xp0rtblog/status/1710387356979560800
Disclaimer | Yasal Uyarı
Bu blog yazısında sağlanan bilgiler yalnızca eğitim ve bilgilendirme amaçlıdır. Bilgisayar korsanlığı, siber saldırılar veya bilgisayar sistemlerine, ağlara veya verilere herhangi bir şekilde yetkisiz erişim de dahil olmak üzere herhangi bir yasa dışı veya etik olmayan faaliyeti teşvik etme veya reklam etme amacı taşımaz.
Disclaimer: The information provided in this blog post is intended for educational and informational purposes only. It is not intended to encourage or promote any illegal or unethical activities, including hacking, cyberattacks, or any form of unauthorized access to computer systems, networks or data.
Yayılış Biçimi
Zararlı yazılım genel olarak her şekilde bulaşabilmektedir. Linux için ELF, macOS için DMG ve Windows için EXE gibi pek çok formatta bu virüsü görebilmekteyiz. Fakat Windows tarafında asıl tehdidi yaratmaktadır.
Çalışma Mantığı
Öncelikle kodlarını ilk açtığımızda düzene baktığımızda Win32 kütüphanelerinin kullanılmasından elimizdeki sürümünün "Windows" sürümü olduğunu anlıyoruz.
Bu analizimizi yaptıktan sonra kodlarımızda dosya ve klasör şifreleme algoritmaları olduğunu görüyoruz. Bu da bir fidye zararlı yazılımı olduğu ve bir kaynakla haberleştiği konusunda şüphemizi arttırıyor.
Biraz daha araştırdığımızda şifre çözmeden önce Windows WMI arayüzünü kullanarak ShadowCopy adı verilen Windows tarafından dosyaların tutulduğu gizli alanların varlığına dair sorgu yapıldığını görüyoruz. ShadowCopy hakkında detaylı bilgi için konumu okuyabilirsiniz.
Ardından bazı uygulamaları sistemde tarayıp onları tamamen durdurduğunu görüyoruz. Muhtemelen sistemde dosya ve klasör şifrelemenin doğru bir şekilde yapılması ve özellikle veritaban vb. dosyaların bozulmaması için bu işlem yapılıyor.
Aynı şekilde güvenlik duvarı yazılımlarının da internet bağlantılarının kesildiğini görüyoruz.
Ardından taskill.exe , net.exe ve calculator.exe ile uygulama tetikleyen bir kesim kod görüyoruz. Fakat bunlar yorum satırında olduğu için buraya ekran görüntülerini eklemeye gerek duymadım.
Kriptolamadan önce ağ ve yerel disklerin listesini çıkarıyor. Bu şekilde diğer ağ cihazlarına da ulaşmayı planlıyor.
Klasik bir ransomware. Şuana kadar beni şaşırtmadı.
Kriptolama esnasında sistemin bozulmaması ve kurbanının görmesi için bazı dizinleri ve dosyaları hariç olarak işaretliyor.
Ardından en bomba yere geliyoruz. Tam da tahmin ettiğimiz gibi bir Onion web sitesi üzerinden kendisinin yüklendiğine dair haber gönderiyor ve her fidye yazılımında olduğu gibi bir not bırakıyor.
Bu kaynak kodunda onion sitesi geçmiyor fakat aynı zararlı yazılımın farklı versiyonlarına baktığımızda "gunyhng6pabzcurl7ipx2pbmjxpvqnu6mxf2h3vdeenam34inj4ndryd.onion/SIFRE_SHA_KODU" adresine dosyaları şifrelediği SHA kodunu ve DOSYA ŞİFRELERİNİ İKİ GET İSTEĞİ İÇERİSİNDE GÖNDERİYOR.
Çözüm Önerisi
- Ağ üzerinde Proxy kullanımını kapatma
- Onion sitelere ulaşmayı sağlayan TOR Proxy'lerini güvenlik duvarı üzerinden engelleme
Yazar | Author
Ali Can GÖNÜLLÜ
Siber Güvenlik Uzmanı
alicangonullu[at]yahoo.com