HACKAN
Spys-Z
- Katılım
- 24 Kas 2013
- Mesajlar
- 353
- Tepkime puanı
- 0
- Puanları
- 0
Bircogunuz bugune kadar cok cesit keylogger, stealer vs. denemissinizdir. Bircok farkli siteden FTP icin site veya e-mail adresi almissinizdir. Fakat mutlaka basiniza gelmis olan bir sey vardir bu konuda. Keyloggeri yedirdiniz iyi guzel fakat bir turlu mail gelmiyor ya da FTP’nize kayit islenmiyor. Bu makalemde sizlere buna sebep olabilecek 20 nedeni yazacagim.
1. Yanlis FTP veya PHP bilgisi girmis olabilirsiniz. Cunku bircok kisi keylogger’a ya da stealer’a dogru FTP veya PHP bilgilerini koymayi bilmiyor.
2. Guvenlik duvariniz dosyaya erisimi engelliyor olabilir. Eger hedefinizde guclu bir guvenlik duvari varsa (ZoneAlarm, Outpost vs.) FUD olsa bile keylogger ya da stealer’in davranislarindan suphelenip baglantiyi durduruyor olabilir. Ayrica ozel olarak girilen guvenlik duvari ayarlariyla, izinsiz programlarin veri trafigi engellenmis olabilir.
3. Eger hedefinizdeki kisi keyloggerinizi ya da stealerinizi ollydbg ile inceleyecek kadar yetenekliyse, FTP ya da e-mail bilgilerinizi kurbana kaptirmis olabilirsiniz. Ayrica EXE’nizi sanal makinada calistirip icerigini incelemis de olabilir.
4. Bircok stealer ve Keyloggerlar TCP baglantisi yerine UDP kullanir. UDP, TCP’ye oranla daha az guvenilirdir cunku UDP hata ayiklama veya veriyi tekrar gondermeyi desteklemez. Eger kullandiginiz program TCP desteklemiyorsa bu bir sorun yaratabilir.
5. Bazen (eger yeterince sanssizsaniz) FTP veya PHP hostunuz yedekleme, surum yukseltme ya da saldiri gibi sebeplerle bir sureligine kapali olabilir. Bu durumlarda keyloggeriniz ya da stealeriniz veriyi gonderiyor fakat sunucu cevap vermiyor olabilir.
6. Eger kullandiginiz keylogger ya da stealer FUD ise, bugunun 27 Mart oldugunu dusunursek, 28 Mart ya da birkac gun sonrasinda FUD’lugunu yitirebilir. Bu yuzden siz hala FUD oldugunu dusunurken, kurbanin antileri cayir cayir otuyor olabilir.
7. Eger kurbaninizin antivirusu yeterince guclu ise Kaspersky, Avast vs. gibi, Heuristic analiz yapabilir. Bu analiz yuzunden de kurbana attiginiz dosya hic acilmayabilir.
8. EXE dosyanizin bircok Anti-metoda gore FUD’landigindan emin olun. Ornegin, anti-sandbox, anti-VMWare, anti-debugger, anti-emulator, anti-sunbelt vs. (Daha bircok anti-metod bulunuyor ben sadece su anda aklima gelenleri yazdim) Eger EXE’nizi yeterince metoda karsi FUD’lamadiysaniz bunlardan biri yuzunden yakalanabilirsiniz.
9. Bazen, stealer ya da keylogger loglarinizi FTP veya PHP sunucunuza gonderirken bazi paketler gonderme isleminde kaybolabilir. Bunun sebebi cok farkli seyler yuzunden olabilir; ag kalabaligi, port tikanikligi vs. gibi.
10. Bazen kullandiginiz sunucunuz cok fazla yuklenir ve veri trafigini kesebilir.
11. EXEyi gonderdiginizi dusunun ve loglar icin FTP kullaniyorsunuz. Eger FTP sifrenizi degistirirseniz farkinda olarak ya da olmayark, loglari alamazsiniz. Bunun sebebi de keyloggere ya da stealere girdiginiz FTP kullanici adi ve sifresi sabittir kendini guncelleyemez.
12. Bildiginiz gibi keylogger ve stealerler beseri yapimidir. Buda demektir ki beser sasar. Icerisindeki herhangi bir kodlama hatasi ya da surum yukseltme hatasi yuzunden calismiyor olabilir.
13. Bir baska sebep ise crypter/binder/packer den kaynaklanan sorunlardir. Eger kullandiginiz crypter keyloggerinizi ya da stealerinizi desteklemiyorsa, exe’nizi bozabilir. Bu yuzden dogru keyloggerle dogru crypter’i secmelisiniz.
14. Kullandigiinz ya da kurbaninizin kullandigi isletim sistemi cok buyuk sorun olusturabilir. Eger hazirladiginiz keylogger ya da stealerin XP SP1, SP2, SP3 NT 2k ve Vista’ya gore hazirlandigini dusunurseniz ve kurbaniniz Windows 7 kullaniyorsa iste orada cuvalladiginizin resmidir. Kurbaninizin isletim sistemini iyi arastirip ona uygun keylogger ya da stealer’i bulmalisiniz.
15. 32-bit 64-bit de bir diger onemli sorunlardandir. Eger EXE’niz sadece 64-bit’e gore kodlandiysa 32-bit bir isletim sistemi altinda calismayacaktir.
16. Eger iyi bir crypter’iniz yoksa ve EXE’nizi hexleme ile kendiniz FUD’lamaya karar verdiyseniz, cok dikkatlice bu islemi yapin. Google’da ya da forumlarda FUD’lama yontemlerini ezberleyip degil, olayin mantigini kavrayip da FUD’layin. Ezbere yaptiginiz takdirde EXE’nizin yapisini bozabilirsiniz ve kurbana EXE’yi yedirseniz dahi loglari alamazsiniz.
17. Eger kurbaninizin tarayicisinda hic kaydedilmis sifre yoksa, ne kadar beklerseniz bekleyin stealer’den bir sifre gelmeyecektir. Bu yuzden keylogger daha islevseldir.
18. Dusunun ki kurbaniniz Google Chrome kullaniyor ve butun sifreleri milyon dolarlik banka hesaplari bu tarayicida kayitli. Eger stealer’iniz Google Chrom ile uyumlu degilse bunca sifre ve hesap arasindan ancak ve ancak hava alirsiniz. Bu yuzden kurbaninizin surekli kullandigi tarayiciyi da iyi arastirmalisiniz.
19. EXE’nizi hazirladiniz ve FUD’ladiniz. Fakat kurbaniniz bunu virustotal, jotti gibi sitelerde taratirsa, onca emek harcadiginiz EXE’niz ertesi gune yada birkac gun icnde antiler tarafindan taninir ve loglar gelmemeye baslar.
20. Olusturdugunuz EXE 0/24 FUD olsa dahi, kurbaniniz bunu Anubis ile tarattirirsa, buyuk bir ihtimalle Anubis EXE calistigi anda uyari verecektir. Bu da kurbaninizin uyanmasina ve EXE’yi silmesine neden olabilir.
1. Yanlis FTP veya PHP bilgisi girmis olabilirsiniz. Cunku bircok kisi keylogger’a ya da stealer’a dogru FTP veya PHP bilgilerini koymayi bilmiyor.
2. Guvenlik duvariniz dosyaya erisimi engelliyor olabilir. Eger hedefinizde guclu bir guvenlik duvari varsa (ZoneAlarm, Outpost vs.) FUD olsa bile keylogger ya da stealer’in davranislarindan suphelenip baglantiyi durduruyor olabilir. Ayrica ozel olarak girilen guvenlik duvari ayarlariyla, izinsiz programlarin veri trafigi engellenmis olabilir.
3. Eger hedefinizdeki kisi keyloggerinizi ya da stealerinizi ollydbg ile inceleyecek kadar yetenekliyse, FTP ya da e-mail bilgilerinizi kurbana kaptirmis olabilirsiniz. Ayrica EXE’nizi sanal makinada calistirip icerigini incelemis de olabilir.
4. Bircok stealer ve Keyloggerlar TCP baglantisi yerine UDP kullanir. UDP, TCP’ye oranla daha az guvenilirdir cunku UDP hata ayiklama veya veriyi tekrar gondermeyi desteklemez. Eger kullandiginiz program TCP desteklemiyorsa bu bir sorun yaratabilir.
5. Bazen (eger yeterince sanssizsaniz) FTP veya PHP hostunuz yedekleme, surum yukseltme ya da saldiri gibi sebeplerle bir sureligine kapali olabilir. Bu durumlarda keyloggeriniz ya da stealeriniz veriyi gonderiyor fakat sunucu cevap vermiyor olabilir.
6. Eger kullandiginiz keylogger ya da stealer FUD ise, bugunun 27 Mart oldugunu dusunursek, 28 Mart ya da birkac gun sonrasinda FUD’lugunu yitirebilir. Bu yuzden siz hala FUD oldugunu dusunurken, kurbanin antileri cayir cayir otuyor olabilir.
7. Eger kurbaninizin antivirusu yeterince guclu ise Kaspersky, Avast vs. gibi, Heuristic analiz yapabilir. Bu analiz yuzunden de kurbana attiginiz dosya hic acilmayabilir.
8. EXE dosyanizin bircok Anti-metoda gore FUD’landigindan emin olun. Ornegin, anti-sandbox, anti-VMWare, anti-debugger, anti-emulator, anti-sunbelt vs. (Daha bircok anti-metod bulunuyor ben sadece su anda aklima gelenleri yazdim) Eger EXE’nizi yeterince metoda karsi FUD’lamadiysaniz bunlardan biri yuzunden yakalanabilirsiniz.
9. Bazen, stealer ya da keylogger loglarinizi FTP veya PHP sunucunuza gonderirken bazi paketler gonderme isleminde kaybolabilir. Bunun sebebi cok farkli seyler yuzunden olabilir; ag kalabaligi, port tikanikligi vs. gibi.
10. Bazen kullandiginiz sunucunuz cok fazla yuklenir ve veri trafigini kesebilir.
11. EXEyi gonderdiginizi dusunun ve loglar icin FTP kullaniyorsunuz. Eger FTP sifrenizi degistirirseniz farkinda olarak ya da olmayark, loglari alamazsiniz. Bunun sebebi de keyloggere ya da stealere girdiginiz FTP kullanici adi ve sifresi sabittir kendini guncelleyemez.
12. Bildiginiz gibi keylogger ve stealerler beseri yapimidir. Buda demektir ki beser sasar. Icerisindeki herhangi bir kodlama hatasi ya da surum yukseltme hatasi yuzunden calismiyor olabilir.
13. Bir baska sebep ise crypter/binder/packer den kaynaklanan sorunlardir. Eger kullandiginiz crypter keyloggerinizi ya da stealerinizi desteklemiyorsa, exe’nizi bozabilir. Bu yuzden dogru keyloggerle dogru crypter’i secmelisiniz.
14. Kullandigiinz ya da kurbaninizin kullandigi isletim sistemi cok buyuk sorun olusturabilir. Eger hazirladiginiz keylogger ya da stealerin XP SP1, SP2, SP3 NT 2k ve Vista’ya gore hazirlandigini dusunurseniz ve kurbaniniz Windows 7 kullaniyorsa iste orada cuvalladiginizin resmidir. Kurbaninizin isletim sistemini iyi arastirip ona uygun keylogger ya da stealer’i bulmalisiniz.
15. 32-bit 64-bit de bir diger onemli sorunlardandir. Eger EXE’niz sadece 64-bit’e gore kodlandiysa 32-bit bir isletim sistemi altinda calismayacaktir.
16. Eger iyi bir crypter’iniz yoksa ve EXE’nizi hexleme ile kendiniz FUD’lamaya karar verdiyseniz, cok dikkatlice bu islemi yapin. Google’da ya da forumlarda FUD’lama yontemlerini ezberleyip degil, olayin mantigini kavrayip da FUD’layin. Ezbere yaptiginiz takdirde EXE’nizin yapisini bozabilirsiniz ve kurbana EXE’yi yedirseniz dahi loglari alamazsiniz.
17. Eger kurbaninizin tarayicisinda hic kaydedilmis sifre yoksa, ne kadar beklerseniz bekleyin stealer’den bir sifre gelmeyecektir. Bu yuzden keylogger daha islevseldir.
18. Dusunun ki kurbaniniz Google Chrome kullaniyor ve butun sifreleri milyon dolarlik banka hesaplari bu tarayicida kayitli. Eger stealer’iniz Google Chrom ile uyumlu degilse bunca sifre ve hesap arasindan ancak ve ancak hava alirsiniz. Bu yuzden kurbaninizin surekli kullandigi tarayiciyi da iyi arastirmalisiniz.
19. EXE’nizi hazirladiniz ve FUD’ladiniz. Fakat kurbaniniz bunu virustotal, jotti gibi sitelerde taratirsa, onca emek harcadiginiz EXE’niz ertesi gune yada birkac gun icnde antiler tarafindan taninir ve loglar gelmemeye baslar.
20. Olusturdugunuz EXE 0/24 FUD olsa dahi, kurbaniniz bunu Anubis ile tarattirirsa, buyuk bir ihtimalle Anubis EXE calistigi anda uyari verecektir. Bu da kurbaninizin uyanmasina ve EXE’yi silmesine neden olabilir.