DarkRadar Logo
Sözlük
Stub / Ana Zararlı Gövdesi

Stub, bir Infostealer yazılımının asıl işlevlerini (veri çalma, ekran görüntüsü alma, C2 iletişimi) yerine getiren çekirdek dosyasıdır. Genellikle bir Crypter tarafından şifrelenmiş halde bulunur ve kurbanın bilgisayarında çalıştırılan dosyanın içindeki gerçek "hırsızlık" yapan modüldür.

Stub Nedir? Zararlı Yazılımın Mimari Merkezi

Siber güvenlikte bir Infostealer operasyonunu bir füze sistemine benzetirsek, Stub bu füzenin savaş başlığıdır. Diğer tüm bileşenler (ikon değiştiriciler, şifreleyiciler, yayıcılar) sadece bu Stub dosyasının hedef sisteme güvenle ulaşmasını ve fark edilmeden çalışmasını sağlamak için tasarlanmıştır. Stub, yazılımın tüm yeteneklerini (şifre çalma, dosya çekme, C2 ile iletişim kurma) içeren "beyin" kısmıdır.


Stub'ın Teknik Bileşenleri ve Çalışma Mantığı

Bir Stub dosyası, kurbanın bilgisayarında çalıştırıldığı anda (genellikle bir Crypter aracılığıyla belleğe enjekte edildikten sonra) şu operasyonel döngüyü başlatır:

  1. Sistem Kontrolü ve Anti-Analiz: Gelişmiş Stublar, çalışmaya başlamadan önce ortamı kontrol eder. Eğer bir sanal makine (VM), kum havuzu (Sandbox) veya hata ayıklayıcı (Debugger) tespit ederse, analizi yanıltmak için kendini imha eder veya zararsız bir dosya gibi davranır.
  2. Veri Hasadı (Harvesting): Stub, önceden programlanmış hedeflerine yönelir. Bu; Chrome tabanlı tarayıcıların SQLite veritabanları, MetaMask cüzdan dosyaları, Discord "local storage" kayıtları veya %AppData% altındaki VPN konfigürasyonları olabilir.
  3. Paketleme ve Exfiltration: Toplanan veriler genellikle bellek üzerinde (RAM) şifrelenmiş bir arşiv (ZIP veya özel bir format) haline getirilir. Ardından, Stub'ın içine gömülmüş olan C2 (Komuta Kontrol) adresine HTTP/HTTPS veya özel TCP protokolleri üzerinden gönderilir.


Savunma ve Zafiyet Analizinde Stub Analizinin Önemi

Statik analiz yöntemleri, şifrelenmiş bir dosyanın içindeki Stub'ı göremez. Ancak dinamik analiz (sandbox ortamında çalıştırma) sırasında Stub bellekten açıldığında, güvenlik uzmanları "Memory Dump" (bellek dökümü) alarak Stub'ın ham koduna ulaşabilir. Bu noktada yapılan tersine mühendislik (reverse engineering) işlemleri, saldırganın C2 adresini, kullandığı şifreleme anahtarlarını ve hangi veri türlerine odaklandığını ortaya çıkarır. Dark Radar gibi sistemler, bu Stub örneklerini analiz ederek kurumlara özel "imza bazlı tespit" (IOC) verileri sağlar.


Önerilen Terimler
S

Sandboxing / Korumalı Alan (Kum Havuzu)

Sandboxing / Korumalı Alan (Kum Havuzu), şüpheli bir dosyanın veya Infostealer yazılımının, gerçek sisteme veya ağa erişimi olmayan, tamamen izole edilmiş sanal bir ortamda çalıştırılarak analiz edilmesi işlemidir. Bu yöntem, zararlı yazılımın gerçek niyetini güvenli bir şekilde gözlemlemeyi sağlar.

S

Session Hijacking / Oturum Çalma

Session Hijacking / Oturum Çalma, bir kullanıcının bir web sitesi veya uygulama üzerindeki aktif oturumunu, geçerli oturum çerezlerini (cookies) ele geçirerek kontrol altına alma işlemidir. Infostealer yazılımlarının en tehlikeli yeteneklerinden biridir; çünkü bu yöntemle saldırgan, şifreye veya iki faktörlü doğrulamaya (MFA) ihtiyaç duymadan kurbanın hesabına girebilir.