MJ Registry Watcher – Registry Monitoring Tool

Zaman zaman çeşitli güvenlik araçları bilgisayar (Windows) güvenliği konusunda oldukça yetersiz kalırlar. Windows işletim sistemleri saldırganların en çok hedef aldığı işletim sistemleridir. Bir çok zararlı yazılım (Trojan-RAT) Windows’un yazılım politikalarından faydalanarak işletim sisteminin yönetimini ele geçirirler.

Zararlı yazılımlar genel olarak Windows işletim sistemine bulaştıklarında kendilerini Registry’nin başlangıç anahtarlarına eklerler. Bu işlem, bilgisayar kapanıp açıldığında zararlı yazılımın kendisini tekrar başlatması için gereklidir.

Windows’ta yer alan bazı başlangıç anahtarları şu şekildedir;

• HKLM\Software\Microsoft\Windows\CurrentVersion\Run
• HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
• HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
• HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
• HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
• HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
• HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
• HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
• HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
• HKLM \Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run
• HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
• HKLM \SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder
• HKLM \SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

Yukarıda yer alan registry anahtarları bilgisayarın başlangıcında bazı dosyaları çalıştırmak için kullanılmaktadır. Zararlı yazılımlar bilgisayara bulaşma anında kendilerini bu anahtarlara kaydederler. Tamda bu noktada zararlı yazılımları aktivitelerini izlemek için Registry Monitor araçlarına ihtiyacımız bulunmaktadır. MJ Registry Watcher hemen imdadımıza yetişiyor.

MJ Registry Wather yazılımını bu adresten indirebilirsiniz: http://www.jacobsm.com/RegWatcher.zip

Şimdi bu yazılıma ne ihtiyaç duyacağız diyenler için geçenlerde yaşadığım bir olayı aktarayım. Ebu-Duhan nickli bir arkadaş internette “Gr3eNoX Exploit Scanner V1.3_2” adında bir yazılım paylaşmıştı. Bende bu yazılımı alıp incelemek istedim.

Yazılımı indirdikten sonra önce “ILSpy” ile kaynak kodlarını decompile etmek istedim.

Yazılımın kaynak kodları okunmasın diye obfuscate edildiğini (Resim-01) gördüm. Bu yüzden kaynak kodlarına erişememekteydim.

Programı çalıştırdığımda programın “NEWBOT.EXE” ve “Java.exe” adında iki dosya çalıştırmak istediğini gördüm. Resim-02’nin en alt satırında “C:\Users\Eyup\AppData\Local\Temp\Java.exe” adında bir dosyayı “hkey_users\S-1-5-21-2986859538-1314750194-4160170564-1001\software\microsoft\windows\currentversion\run” dizinine eklemeye çalıştığını gördüm.

Hemen ardından “C:\Users\Eyup\AppData\Local\Temp” dizinine eriştim.

Programın “Temp” dizinine 3 dosya çıkardığını gördüm. Bu dosyalar daha önce “MJ Registry Watcher”da gördüğüm (Resim-02) dosyalardı. Burda dikkatimi 2 şey çekti.

• İndirmiş olduğum dosya versiyon 1.3.2’ydi. Ancak Temp dizininde versiyon 1.1 olduğunu gördüm.
• Java.exe ve NEWBOT.EXE dosyalarınında aynı programla Temp dizinine neden çıkarılsın…

Java.exe ve NEWBOT.EXE dosyalarını https://malwr.com sitesine gönderip analiz ettmesini istedim. Dosyanın UD’lanmış ve bir çok antivirüsten saklanmış olduğunu gördüm. UD’lanmış olan bu zararlı yazılımların DarkComet RAT Server’ı olduğunu bir kaç anti-virüs yakalamıştı. Dosyaların boyutundan da anlaşılacağı üzere DarkComet Server’ı 658 KB’tır. Bu dosyalar 694 KB boyutunda. Yani 36 KB’lık bir stub kullanılmış.

Dosyanın analizi burada mevcuttur: https://malwr.com/analysis/Y2NiNzgxNDY3ZWQ5NDNhN2E0OTgyYjVjN2VjNjczNTE/

MJ Registry Watcher zararlı yazılım bilgisayara yerleşmeden beni uyardı ve bu zararlı yazılımı engellememi sağladı.

Bunu hallettikten sonra sıra Temp dizininde oluşturulan versiyon 1.1 adındaki dosyayı tekrar “ILSpy” ile decompile etmeye geldi.

Temp dizine kendini çıkaran versyion 1.1 dosyasını decompile ettiğimde Resim-04’teki gibi kaynak kodlarına erişmiş oldum 🙂

Ebu-Duhan nickli bu çok zeki arkadaşımızın yazılım içerisine yerleştirmiş olduğu zararlı yazılımları da “MJ Registry Watcher” ile tespit edip bilgisayara yerleşmeden engellemiş olduk.

MJ Registry Watcher yazılımını bilgisayarın başlangıcına ekledikten sonra, registry üzerinde yapılacak olan herhangi bir değişiklik bize bildirilecek ve onay vermemizi isteyecektir. Registry’e eklenen değerleri control ederek zararlı yazılımları sisteme yerleşmeden önce tespit edebiliriz.

Güvenli günler.