Kara Süvari'nin Saha Defteri
— Tutulma'nın gölgesinde —
Her zararlı yazılım, karanlıktan çağrılmış bir demondur — yapısı, amacı ve kurbanı olan. Her analiz, bu varlığı ışığa çekerek parçalamaya çalışan bir çarpışmanın kaydıdır.
The Black Forge; tersine mühendislik masasında, decompiler çıktılarının içinde ve tehdit aktörlerinin izlediği yollarda yürütülen araştırmaların defteridir. Burada bulduğun her yazı, bir ikilinin içine girip sağ çıkmanın belgesidir.
Tutulma sonrası açılan her demonun kayıtları.
Behelit titreşmeye başladığında geri dönüş yoktur. Ransomware operatörleri tıpkı Griffith gibi, sadık bir ekibi tek bir gece içinde sunağa çevirir. Bu makale, modern fidye operasyonlarını Tutulma'nın beş aşamasıyla okur.
Defteri Aç →Bir insan, kendi en sevdiğini Behelit'e teslim ettiğinde Havari olur. APT aktörleri de aynı yolu izler: meşru bir kimliği, bir sertifikayı, bir tedarik zincirini kurban verir ve ağa yeni bir biçimde döner.
Defteri Aç →Kırmızı Behelit yere düştüğünde sıradan bir taş gibi görünür. Kullanıcının gözünde de oltalama bağlantısı sıradan bir e-postadır. Oysa her ikisi de aynı işi yapar: doğru anda dokunulduğunda evrenin yarığını açar ve içeri Tanrısal El'i davet eder.
Defteri Aç →Void, Slan, Ubik, Conrad, Femto. Causality'nin kendisi kadar görünmezler; çünkü çoğu zaman saldırının kendisi değil, saldırının zorunluluğudurlar. Nation-state aktörleri de aynı yapıdadır: tehdit değil, çerçevedir.
Defteri Aç →Boynundaki damga her gece kanar ve demonları çağırır. Bir IOC de tam olarak budur: avcının kurban olarak işaretlenmiş izi. Ama Guts gibi, damgayı bir hedefe değil, bir pusulaya çevirmek mümkün.
Defteri Aç →Berserker Zırh, Guts'ı her demondan koruyabilir; ama her giydiğinde bir parça aklını yer. Agresif EDR / XDR yapılandırmaları da öyledir: her engellediği şey bir şeyi kırar. Bu yazı, zırhı sürekli giymemeyi öğreten bir Skull Knight dersi.
Defteri Aç →"İnsan kaçabilir, saklanabilir, ağlayabilir. Ama eninde sonunda kılıcı kaldırması gerekir."
Sahadan toplanan demon leşlerinin ayrıntılı kesimi. Hash, asm, IOC, kural.
Yeni bir malware analizi yazarken kullandığım iskelet: triage, IOC tablosu, process ağacı, statik/dinamik analiz, C2 protokolü, Sigma + YARA kuralları. Her yeni otopsiyi buradan kopyalayarak başla.
Şablonu Aç →