Tango Scramble 1: VBSscript Analizi
Scramble Terminolojisi Hakkında: Bu yazı serisinin isimlendirme mantığı (Alpha, Tango vb. Scramble kodları) hakkında detaylı bilgi almak için Scramble Konsepti yazımı okuyabilirsiniz.
Hava kuvvetlerinde scramble, hava sahası ihlali, kimliği belirsiz hava aracı tespiti veya ani tehdit durumlarında hazır bekleyen savaş uçaklarının dakikalar içinde kalkış yaparak müdahaleye yönlendirilmesi prosedürüdür.
Bu nöbet sisteminde pilotlar ve yer ekipleri sürekli hazır durumda bekler. Alarm verildiği anda uçaklar kısa sürede havalanır ve tehdide müdahale edilir.
Siber güvenlik bağlamında scramble kavramı; olay müdahale (Incident Response) ekiplerinin, tespit edilen bir tehdit karşısında gecikmeden ve planlı şekilde reaksiyon göstermesiyle benzerlik taşır. Bu analiz, script tabanlı bir zararlı örneğe karşı yürütülen kontrollü ve hızlı müdahale sürecini temsil etmektedir.
Yönetici Özeti (Executive Summary)
Bu analiz kapsamında incelenen örnek, HTTP üzerinden dosya indiren ve yerel sistemde çalıştıran bir VBScript dosyasıdır. Script, uzak bir IP adresinden iki dosya indirmekte ve bunları geçici dizine (%TEMP%) kaydederek çalıştırmaktadır.
Yapılan statik ve dinamik analiz sonucunda:
- Herhangi bir aktif zararlı payload tespit edilmemiştir.
- İndirilen PDF dosyası yalnızca dikkat dağıtıcı (decoy) amaçlıdır.
- İndirilen metin dosyası kullanıcı etkileşimine benzer kayıtlar içermektedir; ancak veri sızdırma (exfiltration) veya C2 iletişimi kanıtlanmamıştır.
- Kalıcılık (persistence) mekanizması gözlemlenmemiştir.
- Registry değişikliği, servis oluşturma veya scheduled task tespiti yapılmamıştır.
- Analiz izole laboratuvar ortamında gerçekleştirilmiştir.
Önemli Not: Hiçbir üretim sistemi etkilenmemiştir. Tüm analiz işlemleri kontrollü ve izole bir ortamda yürütülmüştür.
Genel değerlendirme olarak örnek, tamamlanmamış bir zararlı geliştirme denemesi veya işlevsel olmayan bir downloader scripti izlenimi vermektedir.
Örnek Bilgisi
Kaynak:
SHA256:
7b75cfc8d8f78028f5cdc2f03e4aa7be1ad15e567d227d353c6cbc2e378271ff
VirusTotal davranış analizi:
1. Statik Analiz
Dosya bir VBScript (VBS) scriptidir.
İlk aşamada Notepad++ ile açılarak doğrudan incelenmiştir.
Script içerisinde:
MSXML2.XMLHTTPnesnesi oluşturulmakta- HTTP GET isteği yapılmakta
ADODB.Streamkullanılarak binary veri yazılmakta%TEMP%dizinine dosya kaydedilmekteWScript.Shellile çalıştırılmaktadır
Bu yapı klasik bir:
Download → Write → Execute zinciridir.
Script aşağıdaki uzak kaynaklara erişmektedir:
http://150.241.66.66/document1.pdf
http://150.241.66.66/NEMO777.txt
2. İzole Ortam Kurulumu
Dinamik analiz öncesinde ortam INetSim ile izole edilmiştir.
Amaç:
- Gerçek uzak sunucu ile iletişimi engellemek
- Trafiği kontrollü şekilde gözlemlemek
3. Drop Edilen Dosyalar
Script çalıştırıldığında %TEMP% dizinine iki dosya yazılmaktadır:
document_kp_ekran1.pdfNEMO777.txt
Dosyalar indirilmiş ve hash değerleri alınmıştır.
4. NEMO777.txt Analizi
İndirilen NEMO777.txt dosyası incelendiğinde:
- Aktif pencere başlıkları
- Özel tuş basımları (CTRL, SHIFT vb.)
- Metin girişleri
gözlemlenmiştir.
Dosya içeriği, kullanıcı etkileşim kaydı (input artifact) formatına benzemektedir.
Dosya içinde gözlemlenen string:
Bu string:
- Hardcoded konfigürasyon değildir
- C2 adresi değildir
- Exfiltration kanıtı bulunmamaktadır
Bu nedenle IOC olarak değerlendirilmemiştir. Yalnızca:
Observed string in dropped artifact
şeklinde not edilmiştir.
Bu aşamada dosyanın aktif bir keylogger çıktısı olduğu kesin olarak kanıtlanamamıştır.
5. PDF Analizi
document_kp_ekran1.pdf dosyası analiz edilmiştir.
Yapılan kontroller:
- JavaScript objeleri
/OpenAction/Launch/EmbeddedFile- URI çağrıları
Herhangi bir zararlı JavaScript injection veya embedded payload tespit edilmemiştir.
PDF dosyası büyük olasılıkla:
Decoy (dikkat dağıtıcı belge)
olarak kullanılmaktadır.
6. Sandbox Davranışı
ANY.RUN raporu:
https://app.any.run/tasks/ceb30bf1-c223-45a4-9f29-771b8bc78480 https://any.run/report/9d80be11090ab64171179d516a7cd96698e1adfe07b7e4fb2627b9ff5c033d45/ceb30bf1-c223-45a4-9f29-771b8bc78480
Sandbox ortamında gözlemlenen davranışlar:
wscript.exeoutbound HTTP bağlantısı açmaktadırMSXML2.XMLHTTPkullanılmaktadır- Binary stream yazımı yapılmaktadır
- Dosya drop edilmektedir
- Shell execution gerçekleşmektedir
Davranış modeli:
Script-based downloader
karakteristiği göstermektedir.
7. IOC
Network
150.241.66.66
150.241.66.66/document1.pdf
150.241.66.66/NEMO777.txt
Sample
SHA256:
7b75cfc8d8f78028f5cdc2f03e4aa7be1ad15e567d227d353c6cbc2e378271ff
8. Teknik Değerlendirme
Bu örnek:
- Script tabanlı downloader
- HTTP üzerinden dosya indirme
%TEMP%dizinine drop- Shell execution
davranışlarını sergilemektedir.
Ancak analiz sonucunda:
- Herhangi bir aktif binary payload tespit edilmemiştir
- Kalıcılık mekanizması bulunmamaktadır
- C2’ye veri gönderimine dair kanıt yoktur
- Yetki yükseltme veya sistem manipülasyonu gözlemlenmemiştir
İndirilen PDF dosyası zararlı payload içermemekte olup sosyal mühendislik amacıyla kullanılmaktadır.
NEMO777.txt dosyası kullanıcı input benzeri kayıtlar içermektedir; ancak veri sızdırma (exfiltration) kanıtı elde edilmemiştir.
Bu bağlamda örnek:
- Tamamlanmamış bir zararlı geliştirme denemesi
- İşlevsel payload içermeyen bir test scripti
- veya hatalı/eksik implement edilmiş bir downloader
olma ihtimali taşımaktadır.
Sonuç
Bu analiz, script tabanlı bir indirme ve çalıştırma zincirinin kontrollü bir ortamda incelenmesini kapsamaktadır.