Dshell Forensic Framework ile Network Paketi Analizi

Merhaba

USA Army Research Lab tarafından geliştirilen ve github üzerinden opensource olarak ulaşılabilen Dshell, son zamanlarda ilgimi çeken güzel bir network forensic aracı. Bu blog yazısında kurulum ve basit düzeyde kullanımı hakkında bilgilerin paylaşılacağı Dshell son derece geliştirilebilir ve plugin yazılabilir ortam sağlamaktadır.

Kurulum

Kurulum öncesi gerekli olan bağımlılıkların kurulumu gerçekleştirilmelidir.

Ardından Dshell github üzerinden clonlanır ve kurulum tamamlanır.

Cryptolocker Varyantı Network Paketi Analizi

Dshell aracının imkanlarını anlayabilmek adına CryptoLocker varyantı olan bir .exe ‘nin trafiğini analiz etmeye karar verdim. Network trafiği üzerinde dshell ile analiz gerçekleştirilen sample’ın hash değeri  ve virustotal raporu aşağıdadır.

Malware Hash = 64c6764f569a663407552b98b5458757145b97e0513805ff9acd65352f7596c1

Virus Total Raporu = https://www.virustotal.com/en/file/64c6764f569a663407552b98b5458757145b97e0513805ff9acd65352f7596c1/analysis/

Malwr Raporu = https://malwr.com/analysis/YjgwYmMwYTYzZWI5NGJlZTk1MmMwODNjYTM1MTVjODQ/

Eğer pcap dosyasını indirmek isterseniz =  http://www.malware-traffic-analysis.net/2014/04/14/2014-04-14-Magnitude-EK-traffic.pcap

Dshell Komutları

Dshell’in default olarak kendisinde bulunan decode modülleri aşağıdaki gibidir.

DNS paketleri

İlk aşamda malware çalıştığı anda oluşturduğu DNS sorgularını görmek basit bir komutla mümkündür. Bir önceki kısımda listelediğimiz dshell decoder listesinden dns decoderını seçerek -d parametresine veriyoruz.

Dshell> decode -d dns locker.pcap

dshell dns

Bu listeye bakarak C2 sunucularının listesi rahatlıkla çıkartılabilmektedir.

Dosya boyutuna göre listeme

Dsniff’in large-flows isimli modülü en az 1 MB transferin gerçekleştirildiği aktiviteleri listelemektedir.

Bu tür trafikler genellikle dropperin hedef sistemde çalışmasının ardından asıl zararlı yazılımın indiriliyor olması ile ilgilidir. Bu durumda da indirlen zararlı yazılımı tespit etmek adına web taleplerini listelememiz gerekecektir.

En sonda görüldüğü üzere 5minut1.exe dosyası C2 sunucularından indirilmekte.

Sonuç

Cuckoo ile network paketleri toplanan bir zararlı yazılımın genel itibariyle nasıl bir trafik oluşturduğunu görme imkanımız bulunmakta. Bu işlemide dshell ile oldukça basit komutlar ile wireshar/tshark gibi yazılımların karmaşık komutlarıyla uğraşmadan gerçekleştirebilmekteyiz. Özellikle Dshell’in modül listesinde bulunan xor modülü bazı noktalarda işleri son derece kolaylaştırabilir.