16.8 C
İstanbul
15/04/2024
Image default
HaberlerZararlı Yazılım Analizleri

IcedID(Bokbot) ZARARLI YAZILIMI

Bugünkü yazımızda, 14 Temmuz 2020 tarihinde ortaya çıkan IcedID isimli kötü amaçlı yazılımı (Bokbot olarak da bilinmektedir) inceliyoruz. Yazılım, Mircrosoft Word dokümanları üzerindeki macrolarla çalışmaktadır. Daha önce benzer olarak Valak ve Ursnif zararlıları da aynı şekilde faaliyetlerini yürütmüştü. IcedID de bu zararlıların devamı olarak değerlendirilmektedir. Aşağıdaki resimlerde zararlıya ait dosya isimlerinden bazıları ve Word dokümanının içeriği bulunmaktadır. Zararlı, HTTP isteği ile birlikte .cab uzantılı bir Windows DLL dosyası oluşturmaktadır.

Resim 1: Dosya Örnekleri

Resim 2: Microsoft Word Dosyası İçeriği

Resim 3: Zararlının Çalışması

Zararlının oluşturduğu dosya Microsoft Word dosya yolu ile aynı yere yazılmaktadır. Bunun devamında zararlı, https üzerinden “ldrglobal[.]casa” adresine bağlanmakta olup akabinde “.top” uzantılı web adreslerine https istekleri göndermektedir.

Resim 4: Zararlı Trafiği

IcedID yükleyici (Installer), Malwarebytes tarafından da Aralık 2019’da bildirilen, enfeksiyon (Injection) sürecinin bir parçası olarak steganografi kullanmaktadır. Virüs, bulaşmış olduğu kullanıcının AppData\ Local\Temp dizininde, IcedID tarafından tipik olarak kullanılmakta olan steganografi kanıtı görülmektedir. Bu dizinde, PNG resim dosyası olan .tmp ive .exe ile biten dosyalar bulunmaktadır.

Resim 5: Zararlı Dosyası

Bu işlemlerin sonucunda zararlı Görev Planlayıcısı’nın (Task Scheduler) içerisinde kendini kalıcı hale getirmektedir.

Resim 6: Kalıcı Hale Gelinmesi

Zararlının iletişim kurduğu C&C adresleri aşağıdaki gibidir:

  • 1bwsl4[.]com – 37.230.113[.]85
  • 804gtd[.]com – 185.139.70[.]165
  • m33xa3[.]com – 91.235.129[.]43
  • n9i9ep[.]com – 185.144.31[.]90
  • nm5oi0[.]com – 81.29.134[.]62
  • uhq943[.]com – 95.181.187[.]5
  • 104.248.62[.]43 port 443 (HTTPS) – ldrglobal[.]casa
  • 194.5.249[.]158 port 443 (HTTPS) – slizilinno[.]top
  • 194.5.249[.]158 port 443 (HTTPS) – portivitto[.]top
  • 194.5.249[.]158 port 443 (HTTPS) – mramoritto[.]top

Kaynaklar:

https://isc.sans.edu/diary/Word+docs+with+macros+for+IcedID+%28Bokbot%29/26352

https://www.malware-traffic-analysis.net/2020/05/27/index2.html

https://www.malware-traffic-analysis.net/2020/07/07/index.html

Related posts

KONNI RAT RUSYAYI HEDEF ALDI!

Mustafa Okay Maktav

IPHONE Telefonlarınız Güvende Mi?

Mustafa Okay Maktav

Sunburst Backdoor!

Mustafa Okay Maktav

Bu web sitesi, kullanıcı deneyimini iyileştirmek amacıyla çerezler kullanmaktadır. Kabul Et Daha Fazlası