AF-3DFB-RAM · Bellek / RAM

Bellekte Hayalet Süreç

İNDİRİLEBİLİR ham RAM imajı (2 MiB). Bellekte onlarca kimlik bilgisi var ama çoğu zararsız cache (decoy). Zararlı süreci (svchost taklidi) ve onun sızdırmada kullandığı gerçek kimliği korelasyonla bul.

Senaryo

Bir iş istasyonunun bellek dökümü. Bellekte cache'lenmiş, LSA ve WiFi kimlikleri dağınık durur; bunların çoğu eski ve zararsızdır (decoy). Zararlı bir süreç, svchost.exe'yi taklit eden bir adla (homoglyph) C:\Users\Public altından çalışır, bir C2'ye HTTP-POST ile veri yollar ve bir hizmet hesabını sızdırır. Beceri: rastgele bir pwd= raporlamak değil, sızıntıyı yapan sürecin bağlamındaki kimliği korele etmek. Yanlış (cache) kimliği gerçek kanıt sanmak soundness'ı yıkar.

Anti-forensics teknikleri

Süreç maskeleme (homoglyph, svchost taklidi)
Gürültü: çok sayıda zararsız cache kimliği (decoy)
Bellekte düz-metin kimlik + C2 izi

Sağlanan artefaktlar

Ham RAM imajı (2 MiB)

Örnek sorular

q1: Zararlı sürecin adı nedir? (maskeleme)
q2: Sızdırmada kullanılan parola nedir?
q3: Sızıntı (C2) hedef IP'si nedir?
trap1: Cache'lenmiş zararsız kimliği (Welcome1) sızıntı kanıtı diye raporlama.

Soundness tuzağı

Bellekteki cache kimlikleri (Welcome1, Spring2025!) gerçek görünür ama sızıntıyla ilgisizdir; birini kanıt diye sunmak ağır ceza. Gerçek kanıt yalnızca zararlı sürecin C2 bağlamındaki kimliktir.

Puanlama

Süreç-kimlik korelasyon doğruluğu + cache-tuzağı direnci (soundness).

İNDİRİLEBİLİR

İndir ve çöz

Artefaktı indir

Cevap anahtarı gizlidir (puanlı set); bayrak şifrelidir, çözmen gerekir.