Merhaba. Bu yazımda 2018 yılında gerçekleştirilmiş olan STMCTF yarışmasında malware kategorisinde sorulmuş olan bir sorunun çözümünü yapacağım. Malware Analiz ile ilgili yazı yazmak için Google’da arayışta olduğum sırada karşılaştığım bu soruyu çözüp paylaşmak istedim. Aşağıda verdiğim github ve anyrun adresinden de indirilip çözüm yapılabilir.
Soru hakkında bize verilen bilgi aşağıdaki gibidir.
Zararlı yazılım bilgisayarına MUTEX bırakıyor. FLAG bu Mutex’te.
Analiz edilecek dosya buradan indirilebilir: da2.zip – da2.zip
Mutex Nedir?
Mutex’ler uygulamanın yazıldığı dil ve Runtime tarafından sağlanan basit veri yapılarıdır. Farklı Thread’ler tarafından paylaşılan her bir kaynak için kaynağa olan erişimi düzenlemek üzere bir Mutex yaratılır.
Daha fazla bilgi için aşağıdaki linki ziyaret edebilirsiniz.
https://medium.com/@gokhansengun/semaphore-mutex-ve-spinlock-nedir-ve-ne-i%C5%9Fe-yarar-ba552a17c03
Verilen exe dosyasını indirip çalıştırdığımda aşağıda görüldüğü gibi matematiksel bir işlem sorup doğru cevap verildiğinde ekranda “mutex oluşturuldu” diye bir mesaj görülüyor.
Dosya tekrar çalıştırıldığında aşağıda görüldüğü üzere mutex’in daha önce oluşturulduğu ve 5 dakika içerisinde silineceği söylenmektedir. Oluşturulan dosyanın nerede olduğunu bulmamız gerekiyor.
Analiz ettiğim dosyayı daha önce çalıştırdığım için Process Hacker programı ile da2.exe programını “create dump file” diyerek dump dosyasını kayıt ediyorum.
Dump dosyasını incelediğimde dosya içinde arama yaparak “stm, flag” kelimelerini arattım fakat herhangi bir sonuca ulaşamadım. Dosya içerisinde en başta sorulan matematiksel soru cümlelerini ve cevap verdikten sonra ekrana yansıyan mesajları kelime olarak arattım ve aramam sonucunda boot.sys isminde bir dosya oluşturulduğunu gördüm.
Boot.sys dosyasını C:\ dizininde bulup metin editörü ile açıyorum.
Daha sonra dosya içerisinde yine “stm, flag” kelimelerini arattım ve aşağıda görüldüğü gibi flag değerini elde ettim.
STMCTF (2018) yarışmasına olduğu tarihte katılamamıştım. Bu şekilde denk gelerek Malware kategorisinde sorulan bu soruyu çözmek çok zevkliydi. Oldukça güzel soruların olduğu STMCTF yarışmasında yer alan diğer soruların çözümünü de ilerleyen yazılarımda çözüp paylaşmak istiyorum.
Başka yazılarda görüşmek üzere.
