Hesperbot Tarayıcısı

Bildiğiniz gibi son 1.5 senedir vatandaşımız, Hesperbot adındaki ileri seviye internet bankacılığı zararlı yazılımı salgını (#1, #2, #3) ile boğuşmaktadır. Özellikle her yeni salgında siber dolandırıcıların, Hesperbot zararlı yazılımının imza tabanlı antivirüs ve benzer güvenlik yazılımları ve teknolojileri tarafından tespit edilememesi adına yapmış oldukları geliştirmeler ve buna ilaveten bu salgınlar ile ilgili olarak yazılı ve görsel medyada yapılan haberlerin sayıca yetersiz oluşu, her yeni salgında daha fazla vatandaşımızın mağdur olmasına sebebiyet vermektedir. Hesperbot üzerinde fazlasıyla mesai yapmış bir siber güvenlik uzmanı olarak, elde ettiğim bilgiler ışığında daha az vatandaşımızın mağdur olması adına sistem üzerinde Hesperbot zararlı yazılımının çalışıp çalışmadığını kontrol eden, Hesperbot Tarayıcısı adında basit ama etkili bir yardımcı araç hazırlamaya karar verdim. (Bu araç ayrıca siber güvenlik uzmanları, adli bilişim uzmanları, zararlı yazılım analistleri ve bilgisayar olayları müdahale ekipleri tarafından da kullanılabilir.)

Bu araç çalıştırıldığı anda bellek (RAM) üzerinde Hesperbot zararlı yazılımına ait parmak izi aramakta ve kullanıcıya tarama sonuna dair olumlu veya olumsuz bilgi vermektedir.

Aracı iki şekilde kullanabilirsiniz;
1. hesperbot_scanner.exe aracını Hesperbot zararlı yazılımının bulaştığından şüphe ettiğiniz sistem üzerinde çalıştırabilirsiniz.
2. hesperbot_scanner.exe [internet bankacılığı adresi] şeklinde çalıştırarak aracın belirttiğiniz bankanın internet bankacılığı web sayfasını otomatik olarak açmasını, Hesperbot devreye girene kadar bir dakika boyunca beklemesini (devreye girmeme ihtimaline karşı) ve ardından belleği taramasını sağlayabilirsiniz.

Hesperbot Scanner
Hesperbot Scanner

Hesperbot geliştiricilerinin ekmeğine yağ sürmemek için (biraz da onlar uğraşsınlar :)) kaynak kodunu paylaşmadığım Hesperbot Tarayıcısını buradan indirebilirsiniz.

Hesperbot Scanner aracı, 6 Kasım 2014 tarihinde başlayan Hesperbot salgınında gönderilen zararlı yazılım örneği üzerinde çalıştırılmış ve başarıyla Hesperbot bulaşmış sistemi tespit edebildiği teyit edilmiştir.

Hesperbot Scanner
Hesperbot Scanner

Aracın kullanımı için aşağıdaki videoyu aşağıdan izleyebilirsiniz.

Bir sonraki yazıda görüşmek dileğiyle herkese güvenli günler dilerim.

—- ENGLISH —-

Hesperbot is an advanced internet banking trojan which is widespread (since 1.5 years) in Turkey. Hesperbot has keystroke logging, screenshots and video capture, hidden VNC server, network traffic interception and HTML injection capabilities. (For more information, I suggest readers to take a look at Eset’s great Hesperbot report.)

In every new Hesperbot campaign, bad guys release Hesperbot with new signatures therefore traditional security softwares/systems could not be able to detect it at the beginning of the campaigns so this situation forced me to code a tiny tool called Hesperbot Scanner. This tool is able to detect Hesperbot by searching memory for Hesperbot fingerprint. This tool is prepared for end users and for security professionals working in the information security, computer forensics, incident response and malware analysis fields.

Usage of Hesperbot Scanner is pretty simple, just run it on the infected/suspected system and check the result.

Click here to download Hesperbot Scanner

Hesperbot Scanner

Regards,

image_pdfShow this post in PDF formatimage_printPrint this page
4 comments
  1. Çok güzel bir çalışma olmuş, teşekkürler. Bir tavsiyem olacak, HB tespit edildiğinde biraz daha dikkat çekici bir şekilde kullanıcıyı uyarmak güzel olur. (Bu yazılımı anneme gönderim çalıştırmasını istediğinde nasıl olacağını düşündüm :))

    1. Rica ederim ;) Yazılımcı olsaydım daha janjanlı bir ön yüz hazırlayabilirdim de imkanlar dahilinde benim adım Hıdır misali :)

    1. Merhaba,

      Bu yorum, sanattan anlamayan birinin Da Vinci’nin eserlerini eleştirmesi gibi olmuş ama ben yine de doğru bilgiye erişmene yardımcı olacağım;
      Boyutu neden 8mb için interpreted diller üzerine biraz okuman ve araştırman gerekiyor. -> http://www.codeproject.com/Articles/696764/Differences-between-compiled-and-Interpreted-Langu
      Trojan iddiası için ise yine Google’da python decompiler anahtar kelimesi ile arama yaparak bu programı kaynak koduna çevirerek içinde ne olduğunu görebilirsin ama ben sana yine yardımcı olayım, içinde truva atı, zararlı bir kod bulunmuyor.

      Görüşmek dileğiyle,

Leave a Reply

Your email address will not be published. Required fields are marked *

You May Also Like
Read More

e-Devlet Hacklendi mi?

If you are looking for an English version of this article, please visit here. Öncelikle yazının sonunda söyleyeceğimi başta söyleyeyim, “Hayır, hack-len-me-di!” Peki bu durumda vatandaş olarak rahat bir nefes alabilir misiniz ? Maalesef hayır. Bunun sebebini de yazının devamında okuyabilirsiniz. Zaman zaman hortlayan “e-Devlet Hacklendi!”, “e-Devlet verileri çalındı!”, “85…
Read More
Read More

WhatsApp Dolandırıcıları

If you are looking for an English version of this article, please visit here. Başlangıç Son günlerde hemen hemen WhatsApp uygulaması kullanan herkesi rahatsız eden yabancı cep telefonu numaralarından gelen çağrılardan, mesajlardan ben de yakın zamanda nasibimi aldım ve tabii ki diğer dolandırıcılıklarla ilgili yazılarımda (Kripto Para Dolandırıcıları, LinkedIn Dolandırıcıları,…
Read More
Read More

LinkedIn Dolandırıcıları

If you are looking for an English version of this article, please visit here. Uzun yıllardan beri sosyal ağları ve medyayı etkin kullanan bir siber güvenlik araştırmacısı olarak bağlantılarım arasında yer alanlarınız özellikle hafta içi LinkedIn ve Twitter üzerinden okuduğum ve beğendiğim siber güvenlik makalelerini, haberleri paylaştıklarımı farkediyorlardır. Twitter hesabımın…
Read More
Read More

e-Devlet Hesaplarımızı Nasıl Hackliyorlar?

If you are looking for an English version of this article, please visit here. Başlangıç 25 Ekim 2023 günü saat 11:46’da e-Devlet uygulamasından ve e-posta adresime gelen uyarılardan e-Devlet Kapısı hesabıma üst üste birden fazla defa yanlış parola ile giriş yapılmaya çalışıldığı için hesabımın bir saatliğine geçici olarak kullanıma kapatıldığını…
Read More