Hacking The Hacker

Bir önceki yazımda geçtiğimiz Cumartesi günü Adli Bilişim (Euroforensics) konferansına katıldığımı ve çoğu sunumda memory forensic’in öneminden bahsedildiğini belirtmiştim. Günümüzdeki çoğu keylogger, trojan yazarları ve bu zararlı programları kullanmak isteyen çoğu insan bu programların imza tabanlı antivirüs programlarıı tarafından tespit edilmelerini önleme adına araştırmalar yapıyor (örneğin Google arama motoruna “trojanı t” yazdığınız taktirde “trojanı tanınmaz yapma” cümlesi otomatik olarak tamamlanıyor ki bu bize bu anahtar cümlenin ne kadar çok arandığını gösteriyor) çeşitli yollara başvuruyorlar ve bunların başında packer ile sıkıştırma ve şifreleme geliyor. Paketlenmiş veya şifrelenmiş zararlı program çalıştırılır çalıştırılmaz memory’de kendini açarak orjinal haline bürünüyor. Şifrelenmiş veya paketlenmiş zararlı bir programı incelemek için çok fazla seçeneğiniz yok, ya unpacker yazacaksınız ve bu sayede statik olarak analiz edebileceksiniz ya da programı çalıştıracak ve assembly debugger ile dinamik olarak inceleyeceksiniz.

Yine bir can sıkıntısı ile geçtiğimiz günlerde Türk hacking sitelerine göz atmaya karar verdim. Hemen hemen her sitenin kendisine ait bir forumu var ve her forumda da istisnasız Virus/Trojan/Worm bölümü var. Bu bölüm hem ziyaretçi sayısı açısından ve hem de mesaj sayısı açısından başı çekiyor. Konu başlıklarına hızlıca göz atarsanız hemen hemen her gün yeni bir trojan, keylogger programının paylaşıldığını, bir çok insanın trojanları tanınmaz hale nasıl getirebildiğini öğrenmek için mesaj yazdığını görebilirsiniz.

Sitelerden birini gezerken ilk konu başlığına göz atmaya karar verdim, Keylogger ve Stealer Paketi. Forumun moderatörü mesajında 30’dan fazla keylogger programını ziyaretçilerin paylaşımına sunmuş. İnsan ister istemez bu kadar çok zararlı programı ve bu programlara olan yoğun ilgiyi görünce ister istemez biraz üzülüyor malum bu programlar nedeniyle bir çok insan madur oluyor.

Bu programları indirenlerin bu programları eğitim amacıyla kullanmayacakları göz önünde bulundurulduğunda antivirüs programlarına ve bizlere çok iş düşüyor bu sebeple ufakta olsa birşeyler yapsam diye işe koyuldum ve programların genel özelliklerine bakmaya karar verdim. Örnek ekran görüntülerine baktığımda en çok dikkatimi çekenin hemen hemen her keylogger programının çalışabilmesi için bir SMTP sunucusuna ve bu sunucuyu kullanabilecek kullanıcı adı ve şifreye ihtiyaç duyduğunu gördüm ve o anda şimşekler çakıverdi.

Kendi kendime acaba ufak bir program yazsam ve bu program memory’den dump edilmiş keylogger process’ine ait olan dump dosyasındaki stringlerden, keylogger programına gömülmüş olan SMTP sunucusunu ve bu sunucuya ait olan kullanıcı adını ve şifreyi ortaya çıkarsa bu sayede madur olan kişi isterse kendisini hacklemede kullanılan e-posta hesabına ulaşabilir, şifresini değiştirebilir veya adli mercilere iletebilir dedim.

Öncelikle test için forumda paylaşılan Eslogger adındaki keylogger programını indirip kurdum.

eslogger

Eslogger programını çalıştırdığınızda kurbana göndereceğiniz dosyayı 1 tuş ile hazırlamanıza imkan tanıyor ve default olarak adını svchost.exe olarak diske kaydediyor. Test amacıyla [email protected] e-posta hesabını aldım ve deneme1234 olan şifresini Eslogger programına kayıt ettim ve kurbana gönderilecek olan programı oluşturdum. Program çalıştığında işletim sistemi tarafından oluşturulan diğer svchost.exe processleri ile karışmaması için programın adını keylogger.exe olarak değiştirdim ve programı çalıştırdım.

eslogger

Ardından PD programı ile memory’den keylogger.exe process’ini diske keylogger.dump adı ile kayıt ettim. (PD programı, memory forensic analizlerinde kullanılan ve çalışan processi diske kayıt etmenize imkan tanıyan oldukça faydalı bir program.)

pd

Gelelim yazmış olduğum programa, ksps (Keylogger SMTP Password Scanner). Öncelikle bu program şuan için sadece iki keylogger programını (Eslogger ve Perfect Keylogger) destekliyor. KSPS programını şüphelendiğiniz process’e ait olan dump üzerinde çalıştırdığınızda eğer bu dump Eslogger ve Perfect Keylogger programlarından birine ait ise size içerisinde yer alan SMTP sunucu adını, kullanıcı adını ve şifreyi gösteriyor.

ksps

KSPS programının kaynak koduna bakacak olursanız ufak bir geliştirme ile başka keylogger programlarınıda tespit etmesini sağlatabilirsiniz. KSPS programına buradan ulaşabilirsiniz.

That’s all folks :)

image_pdfShow this post in PDF formatimage_printPrint this page
17 comments
  1. Çok şahane bir makale olmuş tebrikler :) yasalardan dolayı mail adresinin şifresini değiştirmek suç oluyor ya birazda ava giden avlanır etkisi bıraktı bende :) malum hırsızı yatak odasında vurmak suç değil, bilişim hukukçularının bilgisayar için yatak odası neresidir bize söylemeleri lazım :)

    1. Keylogger’ı gönderen kişi, e-posta şifresi değişti diye dava açar mı dersin :) Olurda açarsa ne mutlu bize, kekliği düz ovada avlayabiliriz :)

  2. haha :) tabi ilginç bir durum olur :) bilirsiniz ben yanacaksam benimle beraber 3-5 kişide yansın mantığıyla peşpeşe davalar gelebilir :)

  3. yazmış olduğum bi programı baska bi sitede görmek beni mutlu etti :) bu arada esloggerin devamı gelecek. Bi website kurmayı düsünüyorum esloggerda sitemin reklamı olur hem ;)

  4. Elinize sağlık çok güzel bir yazı olmuş. En kısa sürede daha önceden tanışmış olduğum kl’ları da programa eklemeyi düşünüyorum. Teşekkürler..

    1. Teşekkürler. Programa eklenti yaptıktan sonra bizimlede paylaşabilirseniz seviniriz :)

  5. Sonraki sürümde, mail geliyormu diye bir test maili gönderme yapacağım ve sahte hata mesajı verdirme olacak. Yapabilirsemde dosya ile birlestirme özelliği ekleyeceğim. Yazdığım zaman sizlede paylasırım.

    1. You can download Keylogger SMTP Password Scanner tool from here.

      By the way at this weekend, I will move all my python codes to the “Codes” section.

  6. Merhaba;
    Bu programın kodlarını dağıttınız mı herhangi bir yerde ?
    Fikir güzel bende ekstra neler ekleyebilirim diye düşünüyordum da dump analizini nasıl yaptığınızı merak ettim.

    1. Dağıttım, konu ile ilgili olan yazımın en altında yazıyor, “KSPS programına buradan ulaşabilirsiniz.”

  7. Evet gördüm code bölümünde dağıtacağınızı yazınca o sadece tool sandım benim hatam kusura bakmayın.

  8. hocam anlamadıgım sey şu şimdi mail adresini alıyorsunuz ve yazdığınız kod size mail adresinin şifresini mi veriyor yani? Eğer öyleyse bu şifreyi nerden çekiyorsunuz exe nin içinde gömülümü yani bu mail ve şifre?

    1. Zararlı yazılımı test etmek için benden istediği e-posta adresi ve şifre bilgilerini girdim. Ardından zararlı yazılımı çalıştırdım, bellekten e-posta adresi ve şifre bilgilerinin elde edilebildiğini gördüm ve bunun için bir araç yazdım. Bu araç ile yazılım bellekten diske kayıt edildikten sonra içinde gömülü olan e-posta adresi ve şifresini tespit edebiliyor.

  9. hmm anladım yani keyloger ı yaparken bizden istediği epostayı buluyor yaptığınız program öyle mi doğru anladım sanırım yani herhangi bir epostanın şifresini bulamıyor iyi kokrtuğum kadar kötü bir amaçla kullanılamaz :)bu arada gerçektende kalitelisiniz ben bu kadar kısa sürede soruma yanıt bulacağımı sanmıyordum teşekkür ederim :)

    1. Rica ederim. Zararlı yazılımı oluşturan art niyetli kişi yazılımın içine hangi e-posta adresini ve şifresini gömdüyse onu buluyor.

Leave a Reply

Your email address will not be published. Required fields are marked *

You May Also Like
Read More

e-Devlet Hacklendi mi?

If you are looking for an English version of this article, please visit here. Öncelikle yazının sonunda söyleyeceğimi başta söyleyeyim, “Hayır, hack-len-me-di!” Peki bu durumda vatandaş olarak rahat bir nefes alabilir misiniz ? Maalesef hayır. Bunun sebebini de yazının devamında okuyabilirsiniz. Zaman zaman hortlayan “e-Devlet Hacklendi!”, “e-Devlet verileri çalındı!”, “85…
Read More
Read More

WhatsApp Dolandırıcıları

If you are looking for an English version of this article, please visit here. Başlangıç Son günlerde hemen hemen WhatsApp uygulaması kullanan herkesi rahatsız eden yabancı cep telefonu numaralarından gelen çağrılardan, mesajlardan ben de yakın zamanda nasibimi aldım ve tabii ki diğer dolandırıcılıklarla ilgili yazılarımda (Kripto Para Dolandırıcıları, LinkedIn Dolandırıcıları,…
Read More
Read More

LinkedIn Dolandırıcıları

If you are looking for an English version of this article, please visit here. Uzun yıllardan beri sosyal ağları ve medyayı etkin kullanan bir siber güvenlik araştırmacısı olarak bağlantılarım arasında yer alanlarınız özellikle hafta içi LinkedIn ve Twitter üzerinden okuduğum ve beğendiğim siber güvenlik makalelerini, haberleri paylaştıklarımı farkediyorlardır. Twitter hesabımın…
Read More
Read More

e-Devlet Hesaplarımızı Nasıl Hackliyorlar?

If you are looking for an English version of this article, please visit here. Başlangıç 25 Ekim 2023 günü saat 11:46’da e-Devlet uygulamasından ve e-posta adresime gelen uyarılardan e-Devlet Kapısı hesabıma üst üste birden fazla defa yanlış parola ile giriş yapılmaya çalışıldığı için hesabımın bir saatliğine geçici olarak kullanıma kapatıldığını…
Read More