23.7 C
İstanbul
27/07/2024

Epics for Security
Image default
HaberlerZararlı Yazılım Analizleri

IcedID(Bokbot) ZARARLI YAZILIMI

by Mustafa Okay Maktav0219

Bugünkü yazımızda, 14 Temmuz 2020 tarihinde ortaya çıkan IcedID isimli kötü amaçlı yazılımı (Bokbot olarak da bilinmektedir) inceliyoruz. Yazılım, Mircrosoft Word dokümanları üzerindeki macrolarla çalışmaktadır. Daha önce benzer olarak Valak ve Ursnif zararlıları da aynı şekilde faaliyetlerini yürütmüştü. IcedID de bu zararlıların devamı olarak değerlendirilmektedir. Aşağıdaki resimlerde zararlıya ait dosya isimlerinden bazıları ve Word dokümanının içeriği bulunmaktadır. Zararlı, HTTP isteği ile birlikte .cab uzantılı bir Windows DLL dosyası oluşturmaktadır.

Resim 1: Dosya Örnekleri

Resim 2: Microsoft Word Dosyası İçeriği

Resim 3: Zararlının Çalışması

Zararlının oluşturduğu dosya Microsoft Word dosya yolu ile aynı yere yazılmaktadır. Bunun devamında zararlı, https üzerinden “ldrglobal[.]casa” adresine bağlanmakta olup akabinde “.top” uzantılı web adreslerine https istekleri göndermektedir.

Resim 4: Zararlı Trafiği

IcedID yükleyici (Installer), Malwarebytes tarafından da Aralık 2019’da bildirilen, enfeksiyon (Injection) sürecinin bir parçası olarak steganografi kullanmaktadır. Virüs, bulaşmış olduğu kullanıcının AppData\ Local\Temp dizininde, IcedID tarafından tipik olarak kullanılmakta olan steganografi kanıtı görülmektedir. Bu dizinde, PNG resim dosyası olan .tmp ive .exe ile biten dosyalar bulunmaktadır.

Resim 5: Zararlı Dosyası

Bu işlemlerin sonucunda zararlı Görev Planlayıcısı’nın (Task Scheduler) içerisinde kendini kalıcı hale getirmektedir.

Resim 6: Kalıcı Hale Gelinmesi

Zararlının iletişim kurduğu C&C adresleri aşağıdaki gibidir:

  • 1bwsl4[.]com – 37.230.113[.]85
  • 804gtd[.]com – 185.139.70[.]165
  • m33xa3[.]com – 91.235.129[.]43
  • n9i9ep[.]com – 185.144.31[.]90
  • nm5oi0[.]com – 81.29.134[.]62
  • uhq943[.]com – 95.181.187[.]5
  • 104.248.62[.]43 port 443 (HTTPS) – ldrglobal[.]casa
  • 194.5.249[.]158 port 443 (HTTPS) – slizilinno[.]top
  • 194.5.249[.]158 port 443 (HTTPS) – portivitto[.]top
  • 194.5.249[.]158 port 443 (HTTPS) – mramoritto[.]top

Kaynaklar:

https://isc.sans.edu/diary/Word+docs+with+macros+for+IcedID+%28Bokbot%29/26352

https://www.malware-traffic-analysis.net/2020/05/27/index2.html

https://www.malware-traffic-analysis.net/2020/07/07/index.html

Related posts

UCSF, şifre için 1.14 milyon dolar ödedi!

Serdar H.

SystemBC Malware Analizi

Mustafa Okay Maktav

Razer’a ait veri tabanı sızıntısı!

Serdar H.

Bu web sitesi, kullanıcı deneyimini iyileştirmek amacıyla çerezler kullanmaktadır. Kabul Et Daha Fazlası