Yazılar

Regin ileri seviye casusluk yaparak devletlere veri topluyor

regin-ileri-seviye-casusluk-yaparak-devletlere-veri-topluyor Regin ileri seviye casusluk yaparak devletlere veri topluyorİleri seviye özelliklere sahip bir arka kapı zararlı yazılımı olan Regin siber casusluk operasyonu amaçlı devletlere ve altyapı sağlayıcılara karşı kullanılıyor.

Regin’in kodu incelendiğinde oldukça sofistike yöntemler kullanıldığı, teknik kapasite açısından nadir görülen kişiler tarafından yazıldığı belli oluyor. Benzerlik Flame, Duqu, Stuxnet gibi yine devletlerin hazırlayarak yaydıkları zararlı yazılımları akla getiriyor. Regin oldukça esnek bir yapıya sahip. Tek bir kişiden, tüm bir organizasyona kadar hedefi özelleştirmek mümkün. Böyle bir zararlı yazılımı tamamıyla yazmak yıllar gerektiriyor.

Tüm bu veriler ışında düşündüğümüz Regin’in bir devlet tarafından hazırlanarak farklı alanlardaki uluslararası hedeflerden veri toplama amacıyla dağıtıldığı. Regin kendini öyle iyi gizlemiş ki tüm prosesler katmanlara ayrılarak şifrelenmiş. Adeta domino taşları gibi her aşama kendini çözüp işini bitirdikten sonra bir sonraki şifreli aşamayı başlatıyor. Tüm aşamalar kontrol ediliyor ve tam bir bütünlük, başarım sağlanıyor. Bu da yıllarca zararlı yazılımın farkedilmesini engellemiş.

Regin çok sayıda yeteneğe sahip. Bulaştığı sistemde şifreleri çalma, ağ trafiğini izleme, ekran görüntüsü alma, mouse kontrol etme, silinen dosyaları geri getirme gibi işleri gerçekleştirebiliyor. Bazı modüller ise oldukça spesifik aksiyonlar için ayrılmış. Örneğin biri mobil telefon baz istasyonu cihazının trafiğini sniff ederken, bir diğeri IIS sunucusu trafiğini izlemek için yapılandırılmış. İşin ilginç tarafı Regin zararlı yazılım saldırısı ilk kez 2008 yılında ortaya çıktı ve faaliyetini uzunca bir süre farkedilmeden devam ettirdi.

Zararlı Java applet dağıtım platformu

Siber suç dünyasında Java’nın ciddi bir önemi bulunuyor. Siber suçlular ise sürekli yeni araçlar, yöntemler yardımıyla Java gibi yüksek risk içeren platformlara dair istismarlarda bulunuyorlar. Bu yeni platform ise doğrudan Rodecap botnet ağına bağlanarak, web tabanlı bir Java applet dağıtım platformu sunuyor.

zararli-java-applet-dagitim-platformu Zararlı Java applet dağıtım platformu

zararli-java-applet-dagitim-platformu-2 Zararlı Java applet dağıtım platformu

Crypter ile antivirusleri atlatmak

crypter-antivirus-fud Crypter ile antivirusleri atlatmakCrypter uygulamaları dosyaları FUD haline getirmek yani antivirusler tarafından tanınmayacak şekle sokmak için uzun süredir kullanılıyor. Crypter uygulamalarının çoğunluğu lisanslama gerektiriyor ve bir dosyayı FUD haline getirmeden önce iyi bir Crypter programı satın almanız gerekiyor.

Geleneksel antivirus teknolojisi ise büyük oranda imza tabanlı çalıştığı için antivirus firmaları yoğun şekilde tüm Crypter uygulamaların imzalarını yazılımlarına ekliyorlar. Fakat Crypter uygulamalarının özel yayınlanan versiyonları bu imzaları halen gizleyebiliyor.

Crypter uygulamaları arasında en bilinenleri darksane, fileprotector, aegiscrypter, xprotect ve shiekh crypter sayılabilir. Lisanslar 50 dolar ile 200 dolar arasında değişiyor. Tüm Crypter uygulamaları size antivirusleri atlatabildiğini kanıtlamak aracıyla tarama hizmeti veriyor. Online taramaların tümü antivirus firmaları tarafından izlendiği için bu taramalar offline gerçekleştiriliyor.

Bu yazılımların sunduğu bilgilere dikkat etmek gerekiyor. Eğer Crypter yazılımı 37 antivirusun hepsini atlattığını söylüyorsa bu büyük ihtimal yanlış bilgi oluyor. Genellikle antivirusler bu dosyaları çalıştırıldığı anda tespit edebiliyorlar.