Yazılar

Fidye için şifrelenmiş dosyaları çözmenin yeni yolu

fidye-icin-sifrelenmis-dosyalari-cozmenin-yeni-yolu Fidye için şifrelenmiş dosyaları çözmenin yeni yoluBir süredir çok sayıda abonesi olan firmaların ismiyle gönderilen phishing mailleri dolaşıyordu. Bunlara tıklayanların sistemindeki veriler şifrelenerek para ödemesi isteniyor. Şimdi ortada yeni bir çözüm var.

Saldırılar önce CryptoLocker türevleri ile başladı. Bu furyanın sonu CryptoLocker’ın şifreleme anahtarının keşfedilmesiyle geldi. Sonrasında ise TorLocker türevi zararlı yazılımlarla dosyalar şifrelenerek kullanıcılardan para toplandı. Halen farklı farklı firmaların ismiyle phishing mailleri gönderilerek kullanıcılar tuzağa düşürülüyor. Torlocker yani Ransom.Win32.Scraper halen çok sayıda varyantıyla birlikte yayılım gösteriyor.

Eğer bulaşan TorLocker zararlı yazılımı dosyaları başarıyla şifreledikten sonra bir güvenlik/antivirus yazılımı tarafından silinirse bir anda arka plan değişerek kırmızı bir uyarı mesajı geliyor. Burada bir .exe dosyasının linki var ve parayı ödeseniz bile bunu yüklemeden dosyaları deşifre edemeyeceğiniz söyleniyor. Aynı zamanda bu ekranda ödeme detaylarını da girebiliyorsunuz.fidye-icin-sifrelenmis-dosyalari-cozmenin-yeni-yolu_2 Fidye için şifrelenmiş dosyaları çözmenin yeni yolu

Zararlı yazılım Office dosyaları, videolar, ses dosyaları, fotoğraflar, arşiv dosyaları, veritabanları, sertifikalar gibi çok tipte dosyayı şifreliyor. Kullanılan şifreleme ise AES-256 ve RSA-2048. Şifrenin çözülebilmesi için kullanıcılardan ortalama 600 TL isteniyor. Fakat şimdi yeni bir çözüm var ve bununla birlikte şifrelenen dosyaların %70’ine yakınını para ödemeden çözme imkanı mevcut.

Kullanılan algoritmada bulunan zayıflık sebebiyle keşfedilmiş olan çözüm, adına “ScraperDecryptor” denilen araçla TorLocker ve bazı türevleri tarafından şifrelenen dosyalarınızı çözmeye yardımcı oluyor. Yazılımı geliştiren firma zararlıyı geliştiren kişilerin ne hata yaptığını açıklamasa da bu hatayı istismar eden bir araç yayınlamayı ihmal etmedi.

TorLocker ile şifrelenmiş dosyaları çözme için kullanılabilecek ScraperDecryptor uygulamasını buradan indirebilirsiniz.

Göz ardı edilen tehlike: BIOS

goz-ardi-edilen-tehlike-bios Göz ardı edilen tehlike: BIOSEndüstri yoğun şekilde işletim sistemleri, browserlar, yazılımlar, gömülü sistemlere dair açıklar ve dahasıyla uğraşırken göz ardı edilen BIOS çok ciddi tehditlere gebe.

Milyonlarca BIOS teknik bilgi gerektirmeksizin hacklenebilir şekilde kullanılmaya devam ediyor. BIOS’lar saldırmak için ideal bir hedef. Yapısı gereği yüksek haklarla, kalıcı ve gizli erişim sağlamak için kullanılabiliyor. Üstelik neredeyse kimse de BIOS’ları yamamıyor.

LightEater adı verilen zararlı yazılım ile şimdiye kadar Gigabyte, Acer, MSI, HP, Asus gibi üreticilere ait BIOS’lar istismar edilerek GPG özel şifreleme anahtarı çalınabildi. Üstelik bu saldırıyı uygulamak için saldırganın iki dakikadan az süre için bilgisayarınıza erişimi olması yeterli. Sadece veri ele geçirmek için sızmak değil. Aynı zamanda LightEater sahip olduğu kernel driver ile CPU ve flash chip’e komutlar göndererek sistemin kapanarak bir daha açılmamasını da sağlayabiliyor.

LightEater kişisel, kamu, ticari, askeri gibi her türlü alanı doğrudan ilgilendiren bir problem. Diğer alanlara odaklanırken unutulan BIOS güncellemelerinin IT ekipleri tarafından takip edilerek yapılması önemini her geçen gün arttırıyor.

Microsoft Stuxnet’e sebep olan açığı kapatamıyor

microsoft-stuxnet-sebep-olan-acigi-kapatamiyor Microsoft Stuxnet’e sebep olan açığı kapatamıyor2010 yılının ortalarında keşfedilen Stuxnet, İran’ın nükleer programını sabote etmeye yönelik hazırlanmış bir zararlı yazılım. 2009 yılında kullanılmaya başlanan Stuxnet zararlısı içerisinde çok sayıda zero day açığı içeriyordu. Bunlar arasında Windows Shell zayıflığı yani LNK dosyaları hakkında olan CVE-2010-2568 kodlu zayıflıkta yer alıyor.

Söz konusu Windows Shell zayıflığı uzaktan veya lokal olarak saldırganın zararlı .LNK veya .PIF uzantılı dosyaları Windows Explorer ile çalıştırmasına olanak tanıyordu. LNK zayıflığı İran’dan önce Pakistan bölgesinde yayılmıştı.

Zayıflık ortaya çıktıktan sonra, 2010 yılında Microsoft MS10-046 kodlu yamayı yayınladı. Fakat işler beklenildiği gibi gitmiyor. 2015 öncesi yaşanan gelişmelere göre yamanın doğru çalışmadığı tespit edildi. Bu yüzden Microsoft bu kez MS15-018 kodlu yeni bir yama yayınladı.

Windows Shell zayıflığı öyle ciddi etkilere sahip ki Kasım 2013 – Haziran 2014 arası 50 milyon kez tespit edildi. Bu saldırılarda dünya çapında 19 milyon sistem hedef alındı. Bu hedef alınan ülkelerde Vietnam ilk sırayı alırken onu Hindistan ve Endonezya takip ediyor. Türkiye ise %5.52 ile Endonezya’nın ardından en çok saldırı alan dördüncü ülke.

Bunun anlamı yamanın yayınlandığı ve açığın kapatıldığının sanıldığı 4 yıl boyunca Stuxnet aktif olarak tüm dünyada yayılımına ve hizmet ettiği amaca yönelik çalışmaya devam etti. Bu bir ülkeye ait siber savaş silahı olarak görülmemiş bir başarıya işaret ederken diğer yandan ülkelerin ulusal güvenliğini ciddi şekilde tehdit ediyor.

PDF dosyası kullanarak farkettirmeden sisteme sızmak

pdf-dosyasi-kullanarak-farkettirmeden-sisteme-sizmak PDF dosyası kullanarak farkettirmeden sisteme sızmakGeçerli, okunabilir bir PDF dosyası içerisinde siyah beyaz JPEG dosyası kullanarak hedef sisteme sızmak mümkün.

PDF dosyaları ile sisteme sızma tekniği önceden de kullanılıyordu. Fakat bu okunamayan ve geçersiz şekilde oluşturulmuş PDF dosyaları yoluyla yapılıyordu. Antivirus yazılımları ise okunabilir olmayan PDF dosyalarını tespit ederek işaretleyerek karantinaya alabiliyordu.

Şimdi ise durum farklı. Geçerli ve açtığınızda okuyabileceğiniz PDF dosyaları içerisinde hiç hissettirmeden sistemde kod çalıştırılabiliyor. Performansı arttırmak için kullanılan DCTDecode adında bir kütüphane bu zafiyete sebep oluyor. Kullanılan kütüphanenin işlevi JPEG dosyalarının RGB renk yoğunluğunu düşürerek PDF dosyasını okurken sistemi yavaşlatmamak.

Fakat kütüphane aynı şeyi düzgün şekilde siyah beyaz JPEG dosyaları için gerçekleştiremiyor. PDF içindeki siyah beyaz JPEG dosyaları sadece siyah ve beyaz renklerin yoğunluk bilgilerini içeriyor. Araştırmacılar kısa bir scripti encode ederek, siyah beyaz bir JPEG dosyası olarak, en yüksek kaliteyle PDF içerisine yerleştirdi. Bu haliyle PDF dosyasını okuyarak siyah beyaz JPEG’i proses etmeye çalışan DCTDecode yerleştirilen zararlı kodu çalıştırdı.

İşin asıl tehdit kısmı ise bu içerisine zararlı kod yerleştirilmiş PDF dosyalarını Adobe Acrobat Reader’ın açabilmesi. Problemsiz şekilde açılan zararlı kod içeren PDF dosyaları, kurumsal ve kişisel bilgisayarlarda yaygın şekilde kullanılan Adobe Acrobat Reader tarafından okunabiliyor. Dolayısıyla zararlı kod bu yazılımın kullanıldığı sistemlerde sessizce çalıştırılıyor. An itibarı ile Adobe Acrobat Reader 9 versiyonu bu zafiyetten etkileniyor. Diğer versiyonlar için ise bazı küçük değişiklikler yapıldıktan sonra istismar etmek mümkün.

Regin ileri seviye casusluk yaparak devletlere veri topluyor

regin-ileri-seviye-casusluk-yaparak-devletlere-veri-topluyor Regin ileri seviye casusluk yaparak devletlere veri topluyorİleri seviye özelliklere sahip bir arka kapı zararlı yazılımı olan Regin siber casusluk operasyonu amaçlı devletlere ve altyapı sağlayıcılara karşı kullanılıyor.

Regin’in kodu incelendiğinde oldukça sofistike yöntemler kullanıldığı, teknik kapasite açısından nadir görülen kişiler tarafından yazıldığı belli oluyor. Benzerlik Flame, Duqu, Stuxnet gibi yine devletlerin hazırlayarak yaydıkları zararlı yazılımları akla getiriyor. Regin oldukça esnek bir yapıya sahip. Tek bir kişiden, tüm bir organizasyona kadar hedefi özelleştirmek mümkün. Böyle bir zararlı yazılımı tamamıyla yazmak yıllar gerektiriyor.

Tüm bu veriler ışında düşündüğümüz Regin’in bir devlet tarafından hazırlanarak farklı alanlardaki uluslararası hedeflerden veri toplama amacıyla dağıtıldığı. Regin kendini öyle iyi gizlemiş ki tüm prosesler katmanlara ayrılarak şifrelenmiş. Adeta domino taşları gibi her aşama kendini çözüp işini bitirdikten sonra bir sonraki şifreli aşamayı başlatıyor. Tüm aşamalar kontrol ediliyor ve tam bir bütünlük, başarım sağlanıyor. Bu da yıllarca zararlı yazılımın farkedilmesini engellemiş.

Regin çok sayıda yeteneğe sahip. Bulaştığı sistemde şifreleri çalma, ağ trafiğini izleme, ekran görüntüsü alma, mouse kontrol etme, silinen dosyaları geri getirme gibi işleri gerçekleştirebiliyor. Bazı modüller ise oldukça spesifik aksiyonlar için ayrılmış. Örneğin biri mobil telefon baz istasyonu cihazının trafiğini sniff ederken, bir diğeri IIS sunucusu trafiğini izlemek için yapılandırılmış. İşin ilginç tarafı Regin zararlı yazılım saldırısı ilk kez 2008 yılında ortaya çıktı ve faaliyetini uzunca bir süre farkedilmeden devam ettirdi.

Operasyon Pawn Storm devletler ve askeri kuruluşları hedef alıyor

operasyon-pawn-storm-devletler-askeri-kuruluslari-hedef-aliyor Operasyon Pawn Storm devletler ve askeri kuruluşları hedef alıyorYeni keşfedilen siber casusluk operasyonunun adı Pawn Storm. Hedef ise askeri kuruluşlar, devletler ve medya organları. 2007’den beri aktif olduğu belirlenen bu siber saldırı operasyonu yeni farkedildi.

Pawn Storm kapsamındaki hedeflere bakıldığında stratejik çok sayıda nokta göze çarpıyor. Bunlar arasında; Askeri birimler, büyükelçilikler, ABD ve ABD’nin müttefiki olan askeri kurumlara iş yapan firmalar, bazı Rus politikacılar ve uluslararası medya kuruluşları bulunuyor.

Bu hedeflere yapılan saldırılarda Pawn Storm Operasyonunun ardındaki kişiler farklı farklı senaryolar kullanıyorlar. İçerisinde SEDNIT/Sofacy zararlı yazılımı bulunan MS Office dosyaları, özel exploitlerin inject edildiği iyi ziyaretçi trafiğine sahip web siteleri ve Outlook Web Access giriş sayfasına yönlendirilen phishing mailleri bunlardan birkaçı.

Operasyon Pawn Storm kapsamında, bu saydığımız tüm saldırı vektörlerinde önemli hedeflere saldırılar gerçekleştirildi. Asya Pasifik Ekonomik İşbirliği Toplantısının hemen öncesinde toplantıya katılacak ziyaretçilerine Phishing mailleri atılarak zararlı yazılım bulaştırılmıştı. Ortadoğu Kamu Güvenliği Fuarı 2014 etkinliğinde de yine aynı şekilde phishing yöntemi kullanılmıştı.

Operasyon Pawn Storm’un ardındaki kişilerin ileri siber operasyon kapasitesine sahip olduğu ve finansal olarakta çok ciddi şekilde desteklendikleri biliniyor.

Sızdırılan bilgiler sayesinde ATM’ler hackleniyor

sizdirilan-bilgiler-sayesinde-atmler-hackleniyor Sızdırılan bilgiler sayesinde ATM’ler hackleniyorBaidu’da yayınlanan NCR ATM API dokümanları suçluların ATM odaklı zararlı yazılımlar geliştirmeleri için ciddi bir yardımcı kaynak oluşturdu. Yakın zamandaki artan ATM saldırılarının sebebi olarak bu olay gösteriliyor.

Kısa süre öncesine kadar Tyupkin adlı zararlı yazılım kullanılarak Avrupa çapında 50 kadar ATM cihazından zorla nakit para çekilmişti. Aslında Tyupkin bu türün tek örneği değil. 2013 Mayıs ayında Padpin adında bir zararlı yazılım, Ekim 2013’te ise Ploutus adlı bir zararlı yazılım yine benzer amaçla geliştirilerek aktif olarak kullanılmıştı.

Ploutus zararlı yazılımında saldırgan zararlı bulaştırdığı ATM cihazına SMS gönderiyor, ondan sonra da cihazın yanına giderek çıkardığı paraları alarak uzaklaşıyordu. Bu teknik dünyanın farklı köşelerindeki kriminaller tarafından kullanılmaya başlanmıştı. Zararlıyı bulaştırırken ise izlenen yol oldukça ilginç. Kişi illegal yolla ulaştığı USB portundan cep telefonunu USB tethering ile bağlayarak internet erişimini paylaştırıyor, sonrasında ATM cihazının içine gizlediği telefona uzaktan SMS göndererek ilgili komutları işlemesini sağlıyordu. Bu aynı zamanda telefonun pilinin de şarj olmasını sağlıyordu.

Elbette bu gibi zararlı yazılımları geliştirmek için söz konusu ATM cihazlarının yazılım ve donanım yapılarının iyi şekilde bilinmesi gerekiyor. Sızdırılan bazı dokümanlar ise bu riskin çoktan gerçekleştiğine işaret ediyor. Malezya’da kullanılan Padpin zararlı yazılımı sayesinde bir çete ATM cihazlarından 900 bin dolar para çekti. ATM’e bulaştırılan zararlı finansal servislerle ilgili çalışan DLL MSXFS.dll dosyasının bir uzantısı gibi davranarak API üzerinden ATM cihazında şifrenin girildiği tuşları izleyebiliyordu.

Tüm bu zararlı yazılımların, saldırıların, tekniklerin temelinde içeride tutulması gereken bazı özel dokümanların Çin merkezli arama motoru firması Baidu üzerinden sızdırılması ve ATM’lerin fiziksel güvenliklerinin yeterince sağlanamaması yatmakta.

Northern Gold çetesini gözünü online bankacılığa dikti

northern-gold-cetesi-gozunu-online-bankaciliga-dikti Northern Gold çetesini gözünü online bankacılığa diktiRus siber suç çetesi Northern Gold, dünya üzerinde 500 binin üzerinde sisteme zararlı yazılım bulaştırarak Avrupa ve ABD’deki büyük banka müşterilerinin şifrelerini ele geçiriyor.

Çetenin 2008 yılından beridir aktif olduğu biliniyor. Northern Gold çetesi genellikle Qbot zararlı yazılımını kullanarak kurbanların bilgisayarlarına sızıyor. Bu şekilde kullanıcı şifreleri dahil olmak üzere çok sayıda kişisel bilgiyi toplayan şebeke, en önemlisi 800 bin kez para transferi gerçekleştirdi.

Çete zararlı yazılımı yaymak için oldukça etkin bir yol seçti. Çeşitli popüler WordPress tabanlı web sitelerinin yönetim şifrelerini siber mafyanın etkin olduğu platformlardan birinden satın aldı. Daha sonrasında bu web siteleri üzerine zararlı yazılım yerleştirilerek ziyaretçilere bulaştırıldı. Bu sitelerle ilgili şifreleri toplamak ise oldukça kolay. Basit bir yazılım sürekli WordPress sitelerini tarayarak çok kullanılan şifrelerle giriş yapmaya çalışıyor. Bu Brute Force saldırısı bazen beklenildiğinden daha etkili olabiliyor.

Zararlı yazılım Java, Flash, PDF veya Internet Explorer gibi popüler yazılımlara ait zayıflıkları istismar ettikten sonra ara bir zararlı yazılım kuruyor. Sonrasında ise Dropper yardımı ile final olarak esas çalıştırılacak zararlı yazılım bankacılık bilgileri gibi operasyonları gerçekleştiriyor.

Northern Gold’un kurduğu bi organizasyon daha yıllar boyu şartlara göre güncellenerek devam edeceğe benziyor.

Harkonnen Operasyonu: 12 yıl gizli kalan zararlı yazılım

harkonnen-operasyonu-12-yil-gizli-kalan-zararli-yazilim Harkonnen Operasyonu: 12 yıl gizli kalan zararlı yazılımBankalar, kurumsal firmalar ve devletleri hedef alan Harkonnen Operasyonu 12 yıl ile tarihteki en uzun süren zararlı yazılım operasyonu olarak deşifre edildi.

Operasyon öyle detaylı şekilde planlanmış ki ilk etapta İngiltere’de kayıt ettirilmiş aynı IP adresine sahip 800 kadar firma gözümüze çarpıyor. Bu siteler saldırganların dünyanın farklı ülkelerindeki bankalar, büyük firmalar, devlet kuruluşlarının sistemlerine veya ağ cihazlarına sızarak zararlı yazılım yüklemesinde yardımcı oluyor.

Harkonnen Operasyonu sayesinde saldırganların 300 kadar büyük kuruluşun sistemlerine girerek veri sızdırdığı tahmin ediliyor. İşin ilginç kısmı ise 2002’den beri bu zararlı yazılım operasyonunun hiç deşifre olmadan devam ediyor olması. Çok sayıda saldırı biçiminin kullanıldığı bu operasyondaki ana bileşenlerden biri de spear phishing saldırıları. Bu phishing saldırıları yardımıyla zararlı yazılım içeren phishing mesajları çok sayıda kullanıcıya ulaştırılıyor.

Trojan bir süredir gfiltersvc.exe, wmdmps32.exe dosyalarını kullanıyor ve genel trojan ailesine ait olan Trojan.win7.generic!.bt olarak bazı antivirusler tarafından tanınabiliyor. Edinilen izlenim ise bu zararlı yazılım operasyonunun bir suç örgütünün planladığı aktiviteden çok aslında devletler arası bir casusluk faaliyeti olduğu yönünde. Yapılan yatırımın 150 bin doları bulduğu bu operasyonda yüzlerce alan adı, IP adresi, SSL sertifikası kullanılıyor.

Bu vakanın da doğruladığı gibi aslında en büyük tehdit ağ ve sistemlere girerek oradan verileri alarak sessizce çıkan saldırganlar. İstikrarlı veri sızıntıları amaçlı yapılan saldırılar kurumlara en büyük zararları vermeye devam ediyor.

Yeni zararlı yazılım Suriye’deki muhalifleri hedef alıyor

yeni-zararli-yazilim-suriyedeki-muhalifleri-hedef-aliyor-1030x701 Yeni zararlı yazılım Suriye’deki muhalifleri hedef alıyorZararlı yazılımlar hükümetlerin uzun zamandır kullandığı bir siber savaş silahı. Araştırmacılar ise Suriye’deki muhalifleri hedef alan yeni bir zararlı yazılımın izini buldu.

Zararlı yazılım kendini gizlemek için bazı teknikler kullanıyor. Dağıtımı ise genellikle sosyal mühendislik yoluyla karşıdaki kişiyi kandırarak dosyayı açması üzerine kurulu. Zararlı yazılımın dosyaları aktivistlerin web sitelerinde ve sosyal ağ forumlarında dolaşım halinde.

Zararlı yazılım RAT adı verilen uzaktan erişim trojanları kategorisinde değerlendirilebilir. Beşşar Esed yanlısı kişiler tarafından oldukça organize ve sistematik biçimde muhaliflerin bilgisayarlarına bulaştırılıyor. Burada kullanılan sosyal mühendislik argümanlarından biri “Suriye rejimi elinde bulunan kimyasal silahlara dair delil olabilecek dokümanlar” olduğu. Elbette bu sahte dokümanlar zararlı yazılım içeriyor.

Suriye’deki rejim yanlıları aynı zamanda Youtube üzerinden de bu zararlının dağıtılmasına aracılık ediyorlar. Bazı videolardaki linkler yardımıyla WhatsApp, Viber gibi popüler uygulamaların trojanlı versiyonları dağıtılıyor. Şu ana kadar 110 zararlı yazılım, 20 dağıtım yapılan alan adı ve 47 IP adresi tespit edilmiş durumda.

Saldırganlar enfekte olan sistemlerden kullanıcı adı/şifreler, sosyal ağ hesapları, Skype bilgileri gibi çok sayıda bilgiyi elde ediyorlar. İşin ilginç kısmı saldırı vektörü Suriye olarak belirlenmiş olsa da dışarıdaki ülkeler de bu zararlı yazılımdan etkileniyor.

Etkilenen ülkeler;

1. Türkiye
2. Suudi Arabistan
3. Lübnan
4. Filistin
5. Birleşik Arap Emirlikleri
6. İsrail
7. Fas
8. Fransa
9. ABD

Zararlı yazılımın tuzağına düşen kurban sayısının 10 binin üzerinde olduğu biliniyor. Özellikle Türkiye gibi Suriye’deki Beşşar Esed karşıtı kitle ve sığınmacıların olduğu bir yerde tehdit bize yönelikte ilerlemeye devam ediyor.