Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

Furkan ÇALIŞKAN


NSM, DFIR, WebPen, coding and stuff

WinTrail - Deneysel anti-malware (istihbarat) yazılımı

Zararlı yazılımların en büyük karakteristik özelliklerinden birisi sistemlere bulaştıktan sonra bir komuta & kontrol (C&C) merkezine bağlanarak periyodik olarak bu adreslerden yeni komutlar beklemesi ve bu komutları sistem üzerinde işletmeleridir.

"Botnet"'lere üye zombileştirilmiş PC'ler bu yöntemle yeni hedeflerini öğrenerek bu adreslere çeşitli saldırılar (DDos vb) yapmakta ve akabinde işlemleri bittikten sonra yeni emirlerini beklemeye başlamaktadır.

Bu zararlı komuta kontrol merkezlerine bağlantı aktivitelerini security monitoring altyapısı kullanan kurumlarda yaygınlaştırmak basit bir korelasyon yazmak kadar kolay olsa da (thanks to Maltrail) bireysel kullanım bazında doğrudan bir çözüm benim görebildiğim yoktu.

WinTrail ismini verdiğim bu yazılım farklı siber-istihbarat kaynaklarından aldığı (maltrail adlı open source projenin kaynaklarını kullanıyor şu an için) IP'leri network'ten internete çıkan paketlerin destination alanlarına bakarak bir karşılaştırma yapıyor ve eğer bir eşleşme varsa bunun için alarm üretiyor.

Şu an daha geliştirme aşamasında olsa da çalışır haldeki erken kaynak kodları şurada: https://github.com/ozirus/wintrail

Toplamda 2 saatte yazılmış bu haline destek vermek isterseniz pull request'leri bekliyorum :)

Nereden destek verebilirim diyenler için;

Bilinen eksiklikleri;

1- Doğrudan URL desteği içermemesi. İzlemeyi IP üzerinden yapması.
2- Alarming mekanizmasının henüz oturmamış olması
3- Sadece Windows desteklemesi :)
4- İnternete bağlanan yerel aktif interface'i otomatik bulamaması Kullanıcıdan dinlenecek PC'ye ait local IP'yi istemesi
5- Maltrail'deki tüm feed'lerin henüz entegre edilmemiş olması
6- Sistem tray'e saklanamaması :)


About the author

Furkan ÇALIŞKAN


Discussions

comments powered by Disqus