CTI_Arastirmalarim
LummaStealer C2 IoC Çalışması
alicangonullu[at]yahoo.com
Merhaba,
Bu yazımda LummaStealer C2 adlı malware üzerinde yaptığımız tespit çalışmalarının aşamalarını anlatacağım.
Disclaimer | Yasal Uyarı
Bu blog yazısında sağlanan bilgiler yalnızca eğitim ve bilgilendirme amaçlıdır. Bilgisayar korsanlığı, siber saldırılar veya bilgisayar sistemlerine, ağlara veya verilere herhangi bir şekilde yetkisiz erişim de dahil olmak üzere herhangi bir yasa dışı veya etik olmayan faaliyeti teşvik etme veya reklam etme amacı taşımaz.
Disclaimer: The information provided in this blog post is intended for educational and informational purposes only. It is not intended to encourage or promote any illegal or unethical activities, including hacking, cyberattacks, or any form of unauthorized access to computer systems, networks or data.
Virüsün İncelenmesi
Öncelikle zararlı yazılımın bir örneğini abuse sitesinden elde ettik. Daha sonrasında inceleme amacıyla Debugger uygulamasına koyduk. İnceleme esnasında zararlı yazılımın aslında bir loader olduğunu ve içerisinde asıl zararlıyı Veil kod sistemiyle bulundurduğunu fark ettik.
Ardından bu Veil kodunun işleyişini test ettiğimizde içerisinde Antivirüs sistemlerini bypass etmek için bulunan bir string ve bu string değerini ayıklayan bir fonksiyon bulduk.
Ağ İncelenmesi
Bu fonksiyon uygulandığında yazılımın bir C2 server'a bağlandığını, bu server'a HWID, Edge Browser Geçmişi gibi kayıtları gönderdiğini fark ettik.
Ardından bu C2 server IP adresinin CloudFlare altyapısında kendi IP adresini gizlediğini, domain adresinin moskhoods[.]pw olduğunun ve IP adreslerinin 172[.]67[.]176[.]151 ve 104[.]21[.]83[.]129 olduğunu tespit ettik.
Çözüm Önerisi
Buna dair çözüm önerisi olarak moskhoods[.]pw, 172[.]67[.]176[.]151 ve 104[.]21[.]83[.]129 IP adreslerinin engellenmesini önermekteyiz.
Yazar | Author
Ali Can GÖNÜLLÜ
Siber Güvenlik Uzmanı
alicangonullu[at]yahoo.com