antivirüs Archives – TerraMedusa Secure

Polis kameralarına bulaşan gizli Virus

23/11/2015/in Güncel /tarafından TerraMedusa

Polislerin üzerlerine takılarak görev ve operasyon görüntülerini kaydeden kameralarda zararlı yazılım tespit edildi.

ABD’nin Florida eyaletinde faaliyet gösteren iPower Technologies ismindeki firma polislerin üzerine takılan Martel Frontline Camera adında GPS’li bir ürün üretmekte. Aynı zamanda iPower firması polis departmanları ve diğer devlet kurumları için bulut bağlantılı video depolama hizmeti de sunuyor. Videolar bulut üzerinde arşivlenerek buradan arama ve erişim sağlanıyor.

Fakat Martel Electronics firmasının ürünlerini analiz eden uzmanlar çarpıcı bazı sonuçlarla karşılaştılar. Polislerin üzerlerine taktığı iPower serisi kameralarda ön yüklü olarak Win32/Conficker.B!inf solucan virüsü tespit edildi. Kamera bilgisayara bağlandığında antivirus programları kolayca zararlı yazılımı tespit ederek karantina altına alınıyor. Birden fazla kamerada bu zararlı yazılım tespit edilmiş durumda. Fakat antivirus kullanılmayan ağlarda durum vahim. Öyle bir senaryoda Conficker virusu aktif hale gelerek önce kameranın bağlandığı sisteme sonrasında ise ağ yoluyla diğer sistemlere bulaşıyor.

Araştırmacılar Martel firması ile iletişime geçerek konuyla ilgili görüştüğünde ise firmanın başkanı bu durumun ciddi güvenlik sorunları yaratacağını ve sattıkları kameralarla ilgili IT bölümlerinin sorunun çözümü için çalıştığını belirtmekle yetiniyor. Martel firmasının ürünleri ABD dahil çok sayıda ülkede polis ve başka devlet kurumlarınca aktif olarak kullanılıyor. Conficker ise ilk kez Kasım 2008 tarihinde ortaya çıkmıştı ve İran’ı etkileyen Stuxnet zararlısıyla ilişkili olarak belirlenmişti. Halen çok sayıda devlet kurumu ve firmanın Windows XP benzeri eski işletim sistemleri de kullandığı düşünüldüğünde, ağa bulaşacak bu tür bir zararlı yazılım için kolayca diğer sistemlere bulaşmak mümkün.

Verileri şifreleyip şantaj yapan TeslaCrypt 2.0 baş belası yeni özelliklerle geliyor

20/07/2015/in Güncel /tarafından TerraMedusa

Ülkemizde de organize veya bireysel saldırılarda sıkça kullanılan Ransomware türü zararlı yazılımlardan TeslaCrypt ikinci versiyonuyla yenileniyor.

TeslaCrypt’ın yeni versiyonunda artık oyun dosyaları da şifreleniyor. Fakat asıl yenilik şifrelemede yapılan değişiklikler. Eskiye göre çok daha güçlü bir şifreleme bizi bekliyor. Bu versiyonda artık şifrelenen dosyaları açmak imkansız hale geliyor. TeslaCrypt artık kullanıcıya bildirimde bulunmak için bir arabirim yerine kopyaladığı HTML sayfasını kullanıyor.

Bulaşılan her PC için yeni bir anahtar üretiliyor. Yani eskisi gibi bir “master key” yardımıyla tüm şifrelenen verileri açmak mümkün değil. Elbette eski versiyonda bulunan ve güvenlik uzmanlarının verileri şifrelemesine yarayan açıklıkta giderilerek dosyalar kurtarılamayacak hale getirilmiş.

TeslaCrypt 2.0’ın diğer özelliklerine bakacak olursak;

Zararlı yazılım bulaştığı sistemden ödeme isterken her sistem için ayrı bir Bitcoin adresi oluşturuyor. Aynı şekilde her sistem için ayrı bir özel anahtar oluşturularak birbiriyle ilişkilendiriliyor

AES-256-CBC algoritmasıyla şifreleme gerçekleştiriliyor

268 MB üzerindeki dosyalar şifrelenmiyor

C&C sunucuları Tor ağı üzerinde bulunuyor. Zararlı yazılım C&C sunucularıyla tor2web servisi aracılığı ile iletişim kuruyor

Şifrelenen dosyalar bilgisayar oyunları gibi çok sayıda şablona ve uzantıya göre seçiliyor

Diskteki Shadow kopyalar siliniyor

Kullanıcıya gösterilen pencerede yazılı RSA-2048 şifreleme algoritması aslında hiçbir yerde kullanılmıyor

TeslaCrypt 2.0’ın tamamı C++ ile yazılmış ve kripto fonksiyonları için ise OpenSSL kütüphanesi kullanılmış

Çok sayıda antivirus firması ABD ve İngiltere’nin hedefinde

29/06/2015/in Güncel /tarafından TerraMedusa

Yaşanan Kaspersky’nin hacklenmesi olayından sonra kriz daha da derinleşiyor. Şimdi de sadece Kaspersky değil, çok sayıda antivirus üreticisinin gizli servislerin takibinde olduğu ortaya çıktı.

Edward Snowden’ın yayınladığı yeni bilgilerde gizli servisleritn antivirus üreticilerine dair ilgisi açıkça görülüyor. Hem ABD’li NSA, hem de İngiliz GCHQ gizli servislerinin antivirus üreticilerinin e-postalarını takip ettiği ortaya çıktı. E-postaları takip eden her iki gizli serviste gelen yeni zararlı yazılım ihbarlarını, zararlı yazılım örneklerini inceleyerek kendi casusluk yazılımlarını ona göre güncelliyor. Amaç antivirus uygulamalarına yakalanmayan zararlı yazılımları hızlı şekilde üretebilmek.

Ortaya çıkan dokümanlarda geçtiğimiz haftalarda hacklenen Kaspersky için “GCHQ’nun sistem ve ağlara sızmayı sağlayan yazılımlarını engelleme çabasına devam ediyorlar. Ama yapılan ters mühendislik çalışması sayesinde antivirus yazılımını exploit ederek bypass etmeyi başardık” şeklinde bahsediliyor. NSA’in “PROJECT CAMBERDADA” adını verdiği operasyonda ise 24 antivirus firmasının gizli servisin takibinde olduğu görülüyor.

Listelenen firmalardan Bitdefender, ESET, Avast, AVG ve F-Secure gibi firmalar yıldızı parlayan hedef olarak seçilenlerden. Merkezi ABD’de bulunan McAfee, Symantec ve İngiliz firma Sophos ise ilginç biçimde listede yok. Sophos, Symantec ve McAfee tüm dünyada kullanılıyor ve gizli servislerin takibinde olmaması düşündürücü. Yine aynı şekilde TrendMicro’da listede bulunmuyor.

Kaspersky görülmemiş bir yöntemle hacklendi

14/06/2015/in Güncel /tarafından TerraMedusa

Dünyaca ünlü antivirus ve bilgi güvenliği yazılımları üreticisi Kaspersky şimdiye dek görülmemiş bir operasyonla hacklendi.

Kim olduğu bilinmeyen, Kaspersky iç ağına kadar sızan siber suçluların Duqu benzeri bir zararlı yazılım kullandıkları biliniyor. Kaspersky’nin araştırmalarında saldırının ileride derecede karmaşık olduğunu ve neredeyse görünmez biçimde gerçekleştirildiği ortaya çıktı. Yapılan incelemelerde bu tarz bir operasyonu yapmanın yönetim ve diğer kısımlar dikkate alındığında 10 milyon doların üzerinde bir maliyeti olduğu ortaya çıkıyor.

Saldırganlar iç ağa sızmak için sistemlerde üç ayrı zero day açığından faydalandılar. Dolayısıyla bu saldırılar sırasında bazı izler de bıraktılar. Zararlı yazılım Kaspersky iç ağında MSI (Microsoft Software Installer) kullanılarak dağıtıldı. MSI genellikle sistem yöneticileri tarafından Windows sistemlere uzaktan yazılım kurmak için kullanılıyor. Saldırı sonucu bazı izlere ulaşılsa da, saldırganlar ağ içerisinde hareket ederken hiçbir dosya bırakmayarak, ayar değiştirmedi. Bu da hack olayının tespitini oldukça zor hale getirdi.

Planlama, ileri düzeydeki teknik kapasite göz ealındığında 2011 yılındaki Duqu saldırısını yapan kişilerle aynı olduğu ortaya çıkıyor. Büyük ihtimalle bu zararlı yazılımın da üretilmesinde bir gizli servisin büyük payı var. Kaspersky uzmanlarınca ağlarındaki bu zararlının keşfi ise hayli ilginç. Uzmanlar yeni antivirus ürünlerini kendi ağlarında denerken bazı garipliklerle karşılaşıyorlar. Araştırma derinleştirildikçe kullanılan üç ayrı zero day açığının da yamaları tamamen yapılmış Microsoft sistemlerde kullanıldığını farkediliyor. Kaspersky’nin yaptığı açıklamaya göre saldırganlar sadece bilgi güvenliğiyle ilgili ar-ge çalışmalarının yapıldığı sunucular, satış pazarlama ve hukuk departmanlarını hedef aldı. Amaçlarının ise tam olarak ne olduğu bilinmiyor.

Tox ile üç aşamada zararlı yazılım üretmek

01/06/2015/in Güncel /tarafından TerraMedusa

Ülkemizde de son dönemde oldukça popüler olan Ransomware zararlı yazılımları üretmek oldukça kolaylaştı. Verilerin şifrelenip para talep edildiği bu yazılımlardan Tox siber yeraltı dünyasına hızlı bir giriş yaptı.

Yeni Ransomware üretme kiti ortaya çıkalı fazla bir zaman olmadı. 19 Mayıs’ta başlayan servis oldukça ilgi görüyor. Yazarları Tox’u şöyle ifade ediyor; “Geliştirdiğimiz virüs Windows işletim sisteminde açıldığında tüm dosyaları şifreliyor. Şifreleme tamamlandıktan sonra ise bir uyarıyla birlikte ücretin ödenmesi için Bitcoin adresini kullanıcıya gösteriyor”

Tox üyelik sistemiyle çalışıyor. Siber suçlular kendi viruslerini üretmek için bu servise kayıt oluyorlar. Üstelik bu virusu oluşturmak oldukça basit üç adımdan oluşuyor;

1. Dosyaları şifrelenen kişiden talep edilecek ücret

2. Mesaj

3. Captcha’nın girilmesi

Tox’u yazan kişiler aynı zamanda Tox aracılığıyla alınan paralardan %30 gibi bir yüzde de alıyorlar. Yani şifrelenen dosyalar için 1000$ ücret isteniyorsa bunun 300$ kadar kısmı Tox’u yazanlara gidiyor. Zararlı yazılım anonimliği garanti altına almak için Bitcoin transferlerini Tor üzerinden gerçekleştiriyor. Tox ile üretilen zararlıların antivirusler tarafından tanınma oranı ise hayli düşük. Yazılımı geliştirenler bununla övünüyor.

Tox’un ürettiği zararlı yazılım MinGW ile derleniyor. Bulaştığı sistemde dosyaları şifrelerken ise AES şifreleme ve Crypto++ kütüphanesini kullanıyor. Microsoft CryptoAPI ise anahtar üretmek amacıyla tercih edilmiş.

Türkiye’de henüz Tox kullanımına rastlamadık. Fakat ileriki zamanlarda hem Tox, hem de benzer servislerin Türkiye’ye de uyarlanacağını tahmin etmek zor değil.

Ekran kartına zararlı yazılım, keylogger gizlemek

18/05/2015/in Güncel /tarafından TerraMedusa

Güvenlik araştırmaları yapan bir ekip ismine Jellyfish dedikleri herhangi bir şekilde yazılımla tespit edilemeyen zararlı yazılımı GPU üzerine yerleştirmeyi başardılar.

Günümüz saldırıları gittikçe sofistike hale geliyor. Bunları engellemek zorlaştığı gibi tespit etme aşaması bile artık hayli güç. Ekran kartının grafik işlemci ünitesi GPU üzerine yerleştirilen Jellyfish zararlı yazılımı bunun son örneği. Bu geleceğin zararlı yazılımı ile GPU üzerinde dijital para birimlerini de üretmek mümkün. Tüm bunlar olurken işletim sisteminde çalışan prosesler veya servisler değiştirilip, müdahale edilmediği için zararlının tespiti de yapılamıyor.

Jellyfish zararlısı Nvidia, AMD ve Intel donanımına sahip ekran kartlarında çalışabiliyor. Böyle bir saldırıda zararlı yazılımı GPU’da çalıştırmak gizlenmek için en az riskli yöntem gibi gözüküyor. CPU çok sayıda güvenlik yazılımı tarafından taranırken, Windows Task Manager veya Process Explorer gibi araçlarla da incelenebiliyor. GPU için ise GPU-Z, GPU Load tarzı uygulamalar bulunuyor. Bunların yaptığı ise basitçe ekran kartlarının performanslarını analiz etmek. Eğer bu yazılımları Visual Studio’ya bağlarsanız ancak o zaman o anda GPU’da çalıştırılan kodu monitör etme şansına sahip olabiliyorsunuz.

Eğer bu tarz bir zararlı yazılımın GPU kullanımına, yüküne bakılarak tespit edilebileceğini düşünüyorsanız yanılıyorsunuz. GPU’ya yerleştirilen zararlı yazılımların getirdiği yük yaklaşık %0.1 kadar. GPU’da çalıştırılan kodlar şu an takip edilemez durumda. Muhtemelen NSA, GCHQ gibi gizli servisler yıllardır bu metodu kullanıyorlar. Çalışır bir örneği herkesin önündeyken gelecekte GPU üzerinden yapılacak saldırıların sadece devletler tekelinde olmayacağı kesin gibi gözüküyor.

7 ay boyunca farkedilmeyen kumarhane soygunu

11/05/2015/in Güncel /tarafından TerraMedusa

Kredi kartı bilgileri siber suçluların göz diktiği yegane finansal bilgilerden. Bu kez hedefleri Las Vegas’ta bulunan Hard Rock Hotel & Casino.

Siber suçlular detaylı bir çalışma sonucu Las Vegas’ta bulunan Hard Rock Hotel & Casino’ya sızarak detaylı kredi kartı bilgilerini ele geçirdi. Ele geçirilen bilgiler arasında kredi kartı numaraları, isimler ve adresler bulunuyor. Hard Rock saldırıyı 3 Nisan’da tespit edebildiğini ve 3 Ekim 2014 ile 4 Nisan 2015 arası restoran, bar, alışveriş kısımlarında yapılan işlemlerin etkilendiğini belirtiyor.

Konu halen kısmen de olsa gizemini korumakta. Çünkü Hard Rock’ta kullanılan zararlı yazılımın ne olduğuna dair henüz bir bilgi yok. Zararlı yazılım POS cihazlarında kullanılan manyetik kartlara ait hassas verileri ele geçirmekte kullanıldı. 28 Nisan tarihinde ise siber suçlular bir web sitesinden ele geçirilen kredi kartlarını satmaya başladılar.

Geçtiğimiz haftalarda yapılan Mayweather ile Paquiao arasındaki boks maçının biletlerinin ortalama 86.000 USD olduğu göz önüne alındığında Las Vegas’ta kullanılan kredi kartlarının limitlerinin ne kadar yüksek olduğu beli olacaktır. Bu yüksek limitler siber suçlular için de yüksek kazanç anlamına geliyor.

ABD’nin hackerlarla zararlı yazılım ticareti

20/04/2015/in Güncel /tarafından TerraMedusa

ABD Uyuşturucu ile mücadele polisinin İtalyan bir firmadan 2012 yılından beridir hack araçları satın aldığı ortaya çıktı.

İsminin RCS (Remote Control System) olduğu belirlenen özel casusluk yazılımı yerleştirildiği telefondaki aramalar, kısa mesajlar, sosyal medya mesajlarını merkeze iletiyor. Tüm servislerin şifrelerini toplayabildiği gibi aynı zamanda kullanıcının haberi olmadan webcam ve mikrofonu da aktif hale getirerek kayıt yapabiliyor.

Hükümet kayıtlarına göre RCS casus yazılımı için 2.4 milyon dolar ödenmiş durumda. Yazılım bir kez yerleştirildikten sonra istenildiği kadar anlık veri sızdırılabiliyor ve casusluk yapılabiliyor. Casus yazılımın kaynağı ise belirsizliğini koruyor. DEA yazılımı Cicom USA adında bir firmadan almış gözüküyor, fakat bazı kaynaklar Cicom’un sadece 2011 yılından beridir devletlere casus yazılım satan yasadışı bir hack grubunun bayisi olduğunu belirtiyorlar.

Bu hack grubu da oldukça kötü bir üne sahip. Bu siber suçluların daha önce YouTube ve Microsoft servisleri üzerinden hedefli zararlı yazılım saldırıları düzenledikleri söyleniyor. Bu saldırılarda kullandıkları açıklıkları da Fas, Etiyopya, Birleşik Arap Emirlikleri gibi ülkelere satıyorlar. Hack grubunun sözcüsü Eric Rabe DEA ile karşılıklı bir sözleşmelerinin olup olmadığı konusunda herhangi bir yorum yapmıyor.

Bu olay gösteriyor ki İngiltere MI6/MI8, ABD CIA/FBI, Almanya GCHQ gibi gizli servisler dışında başka devlet kurumları da casus yazılımlar kullanarak kendi vatandaşlarını veya yabancıları hacklemeye devam ediyorlar.

Fidye için şifrelenmiş dosyaları çözmenin yeni yolu

13/04/2015/in Güncel /tarafından TerraMedusa

Bir süredir çok sayıda abonesi olan firmaların ismiyle gönderilen phishing mailleri dolaşıyordu. Bunlara tıklayanların sistemindeki veriler şifrelenerek para ödemesi isteniyor. Şimdi ortada yeni bir çözüm var.

Saldırılar önce CryptoLocker türevleri ile başladı. Bu furyanın sonu CryptoLocker’ın şifreleme anahtarının keşfedilmesiyle geldi. Sonrasında ise TorLocker türevi zararlı yazılımlarla dosyalar şifrelenerek kullanıcılardan para toplandı. Halen farklı farklı firmaların ismiyle phishing mailleri gönderilerek kullanıcılar tuzağa düşürülüyor. Torlocker yani Ransom.Win32.Scraper halen çok sayıda varyantıyla birlikte yayılım gösteriyor.

Eğer bulaşan TorLocker zararlı yazılımı dosyaları başarıyla şifreledikten sonra bir güvenlik/antivirus yazılımı tarafından silinirse bir anda arka plan değişerek kırmızı bir uyarı mesajı geliyor. Burada bir .exe dosyasının linki var ve parayı ödeseniz bile bunu yüklemeden dosyaları deşifre edemeyeceğiniz söyleniyor. Aynı zamanda bu ekranda ödeme detaylarını da girebiliyorsunuz.

Zararlı yazılım Office dosyaları, videolar, ses dosyaları, fotoğraflar, arşiv dosyaları, veritabanları, sertifikalar gibi çok tipte dosyayı şifreliyor. Kullanılan şifreleme ise AES-256 ve RSA-2048. Şifrenin çözülebilmesi için kullanıcılardan ortalama 600 TL isteniyor. Fakat şimdi yeni bir çözüm var ve bununla birlikte şifrelenen dosyaların %70’ine yakınını para ödemeden çözme imkanı mevcut.

Kullanılan algoritmada bulunan zayıflık sebebiyle keşfedilmiş olan çözüm, adına “ScraperDecryptor” denilen araçla TorLocker ve bazı türevleri tarafından şifrelenen dosyalarınızı çözmeye yardımcı oluyor. Yazılımı geliştiren firma zararlıyı geliştiren kişilerin ne hata yaptığını açıklamasa da bu hatayı istismar eden bir araç yayınlamayı ihmal etmedi.

TorLocker ile şifrelenmiş dosyaları çözme için kullanılabilecek ScraperDecryptor uygulamasını buradan indirebilirsiniz.

Çin ve Rusya ulusal güvenlik için teknoloji firmalarına rest çekti

09/02/2015/in Güncel /tarafından TerraMedusa

Artık Çin’e satılacak donanım ve yazılım ürünlerinin kaynak kodları Çin hükümetine teslim edilecek.

Çin hükümeti devreye aldığı yeni regülasyonlar sayesinde kritik kurumlara satılan yabancı ürünlerin kaynak kodlarını talep ediyor. Örneğin bir Çin bankasına satışı yapılan yabancı yazılımın kaynak kodu devlete teslim edilecek ve bu kod üzerinde olabilecek arka kapılara karşı kaynak kod analizi gerçekleştirilecek.

Çin hükümetinin yayınladığı doküman yaklaşık 22 sayfadan oluyor. Yeni regülasyonlar 2014 yılı sonunda kabul edilerek yürürlüğe girdi. Burada amaç kritik önemdeki sektörlerde Çin’in siber güvenlik altyapısını güçlendirmek. Diğer yandan bu yeni kurallar bütünü ABD’li firmaları büyük fırsatlar içeren Çin pazarına girememek konusunda endişelendiriyor. ABD Ticaret Odası yaptığı açıklamada Çin’li yetkilileri diyaloga çağırarak bu durumun Çin’in büyük oranda milli ürünleri kullanması ile sonuçlanacağını belirtti.

Tek çekince bu değil. Diğer bir çekince ise satışı yapılacak donanım/yazılımların kaynak kodları teslim edildikten sonra Çin’in siber savaş komutanlığı olan PLA’in bunları inceleyerek zero day güvenlik açıklarını tespit etme ihtimali. Bu durumda ABD ürünlerinin kaynak kodlarını inceleyen Çin, ABD’de bu ürünlerin kullanıldığı ağlara izinsiz erişebilir. ABD’li üreticiler ise teslim edecekleri kaynak kodlarının Çin’li teknoloji firmalarına sızdırılabileceği için endişeli görünüyor. ABD ile aynı ürünlerin ucuz versiyonlarını üretmekle ünlü oldukları için ABD’li üreticiler teknolojilerinin kopyalanmasını istemiyorlar. Çin’in hedefi 2019 yılına gelindiğinde ulusal güvenliği ilgilendirebilecek altyapıların %75’inde Çin menşeili ürünler kullanmak.

Rusya’da Çin’in benzeri bir planı devreye sokarak 1 Ocak 2015 itibarı ile yabancı ürünlerin kritik altyapılarda kullanılmasının önüne geçme kararı aldı. Hatta bu adımı ileri götürerek bazı kritik toplantılarda hazırlanan tutanakların bilgisayar yerine mekanik daktilolar ile kağıda dökülmesi kararı almıştı.

Türkiye ise ulusal güvenlik açısından ABD, Fransa, İsrail ve Çin’li üreticilere teslim gözüküyor. En kritik altyapılarda bile ana bileşenler ağırlıklı olarak bu dört ülkedeki üreticiler tarafından hazırlanıyor.

Yazılar