Yazılar

Mayhem sadece Linux, BSD türevi sistemlere bulaşıyor

mayhem-sadece-linux-bsd-turevi-sistemlere-bulasiyor Mayhem sadece Linux, BSD türevi sistemlere bulaşıyorUNIX türevi sistemleri hedef alan yeni zararlı yazılım Mayhem kısıtlı bir kullanıcı hakkına sahip sistemlere bile bulaşabiliyor. Özellikle Avustralya’da yayılan zararlı yazılım her geçen gün aktivitesini çoğaltıyor.

Mayhem aslında bu yılın Nisan ayında keşfedilmişti. Özellikle root erişimi gerektirmemesi ve Linux türevi, FreeBSD sistemleri hedef alması onu farklı kılıyordu. Sistemlerin enfekte olması bir PHP scripti yardımıyla sağlanıyor. Komuta kontrol merkeziyle bu script iletişim kuruyor. Zararlı yazılımın işlevi ise hangi eklentilerin seçildiğine bağlı. Botmaster istediği fonksiyonları Mayhem’e yükleyebiliyor. Gizli dosya şeklinde farkedilmemeyi başarabiliyor.

Mayhem’in eklentileri arasında brute force yoluyla şifre kırmaya çalışan veya o anda ziyaretçiler web sitenizi gezerken belli başlı bilgileri tarayarak ileten çeşitli modülleri var. Aslında bu brute force yeteneği daha önce gerçekleştirilen Fort Disco saldırısının devamı gibi duruyor. Fort Disco vakasında 6 komuta kontrol sunucusu yardımıyla 25.000 enfekte olmuş Windows sistem çalışıyordu. Bu operasyona dair yazıya TerraMedusa Blog arşivinden ulaşabilirsiniz.

Şimdilik Mayhem’in bulaştığı 1400’ün üzerinde sistem tespit edildi. Bunlar ağırlıklı olarak ABD, Rusya, Almanya, Kanada, Avustraya, Yeni Zelanda’da bulunuyor. UNIX türevi sistemlerin kurulup unutulduğu bilinen bir gerçek. Mayhem bu şartlarda bakıldığında bulaştığı sistem üzerinden diğer sistemlere sızmaya çalışarak çok kısa sürede ciddi sayıda sistemi enfekte edebilir. Özellikle Türkiye’de orta ölçekli firmalar ve servis sağlayıcılar Mayhem gibi zararlı yazılımların yayılması için uygun bir zemin oluşturuyorlar.

Zeus alternatifi bankacılık trojanı Pandemiya iddialı geldi

Bir süredir hybrid bankacılık zararlı yazılımlarının yükselişe geçtiği malum. Fakat yine de Zeus’a güçlü bir alternatif bekleyişi hakimdir. Bu uzun sürmedi ve Zeus’a alternatif olabilecek güçlü bir zararlı yazılım olan Pandemiya ortaya çıktı.

Pandemiye trojanının en temel paketi 1500 dolar gibi bir rakama satılıyor. Eğer ek modüller alırsanız bu rakam 2000 doları bulabiliyor. Zararlı yazılım bir bankacılık trojanında olması gereken her türlü gelişmiş özelliğe sahip. Bunlar arasında dosya yakalama, antivirus atlatma, veri çalma, ekran görüntüsü yakalama, C&C merkeziyle şifreli iletişim gibi özellikler var. Pandemiya zararlısı modüler şekilde geliştirilmiş adeta iddialı bir yazılım projesi gibi. Eklenti sistemi sayesinde istenen özellikler ana yazılıma kazandırılabiliyor.

Bu arada özellikle belirtmek gereken konu Pandemiya’nın sıfırdan yazılan bir trojan olduğu. Yani Zeus, Citadel, Carberp vb. diğer bankacılık zararlı yazılımlarıyla ortak bir kod paylaşmıyor. Pandemiya kodlanırken bir yıl içerisinde 25.000 C kodu yazılmış. Bu da ciddi bir efor anlamına geliyor. Developer veya developerların ana hedefi ise zararlının tespit edilmesini olabildiğince güçleştirmek. Özellikle son olarak yürütülen uluslararası Gameover/Zeus operasyonundan da ders alan developer alıntı kod kullanmamak ve zararlının analiz sürecini uzatarak kodu korumak için büyük bir çaba göstermiş.

Pandemiya’nın ek ücretle sunulan eklentileri arasında ise reverse proxy, FTP stealer, PE infector gibi modüller bulunuyor. Bunun dışında gizli RDP, Facebook spreader gibi henüz test aşamasında olan eklentiler de mevcut.

Bakalım ileriki zamanlarda Pandemiye Türkiye ve bulunduğu bölgede ne derece yayılacak. Son aylarda MITB (Man in the Browser) saldırılarının, bankacılık şifresi ileten cep telefonu zararlılarının kol gezdiği ülkemizdeki siber suçlular bunu ne zaman değerlendirecek.

zeus-alternatifi-bankacilik-trojani-pandemiya-iddiali-geldi Zeus alternatifi bankacılık trojanı Pandemiya iddialı geldi

Kişiselleştirilmiş akıllı keylogger üretmek

Siber suçlular özelleştirilmiş araçlar sunmaya devam ediyorlar. Bu “kendin yap” tarzı araçlar yardımıyla zararlı aktivitelerden kazanılan ekonomi gün geçtikçe daha da ivme kazanıyor.

Sonuncusu bir keylogger bazlı botnet/zararlı yazılım geliştirme aracı. Web tabanlı yapıya sahip bu araç yardımıyla sadece istenilen özellikleri taşıyan keyloggerler yapılandırmak mümkün. Kullanışlı bir arabirime sahip bu zararlı yazılımda hedefe ve operasyona göre çok detaylı ayarlar yapmak mümkün.

Bu web tabanlı zararlı yazılımda sadece keylogging özelliği bulunmuyor. Bunun yanında DDoS fonksiyonu da eklenmiş durumda. Aşağıda bu zararlı yazılımdan bazı ekran görüntüleri bulunuyor.

kisisellestirilmis-akilli-keylogger-uretmek-1 Kişiselleştirilmiş akıllı keylogger üretmek

kisisellestirilmis-akilli-keylogger-uretmek-2 Kişiselleştirilmiş akıllı keylogger üretmek

kisisellestirilmis-akilli-keylogger-uretmek-3 Kişiselleştirilmiş akıllı keylogger üretmek

kisisellestirilmis-akilli-keylogger-uretmek-4 Kişiselleştirilmiş akıllı keylogger üretmek

kisisellestirilmis-akilli-keylogger-uretmek-5 Kişiselleştirilmiş akıllı keylogger üretmek

 

Internet bankacılığı zararlısı Zeus ve Carberp güç birleştirdi

internet-bankaciligi-trojani-zeus-ve-carberp-guc-birlestirdi Internet bankacılığı zararlısı Zeus ve Carberp güç birleştirdiYeni bir internet bankacılığı trojanı dünya çapında 450’nin üzerinde finansal kurumu tehdit etmeye başladı. Bu yeni internet bankacılığı trojanı Zeus ve Carberp zararlı yazılım ailesinin özelliklerini birleştirebilmiş olmasıyla öne çıkıyor.

Yeni zararlı yazılım Zberp sistemlerden hedeflenmiş verileri sızdırıyor, ekran görüntüleri alarak bunları iletiyor, SSL sertifikalarına müdahale ederek online formlara girilen verileri yakalıyor, FTP ve POP3 şifrelerini ele geçiriyor, MITB tekniğiyle kullanıcı ile browser arasına girerek oturumları değiştirebiliyor. Yeni zararlının bunun dışında da özellikleri bulunuyor ve yapı olarak oldukça komplike bir internet bankacılığı odaklı zararlı yazılım.

Zberp ileri seviye obfuscation ve evade detection özellikleriyle kendisini gizleyerek antivirus yazılımlarını atlatabiliyor. Aynı zamanda uzaktan, C&C sunucusu yardımıyla kendisini statik veya dinamik olarak değiştirebilme yeteneğine de sahip. Zberp’in faydalandığı zararlı yazılımlardan Zeus’un kaynak kodu yıllar önce bir web sitesinde yayınlanmıştı. Zberp, Zeus’un evade detection, konfigürasyon dosyalarını gönderirken stegonography’den faydalanma gibi özelliklerini alırken sisteme yerleşme tekniklerini ise Carberp’ten almış gözüküyor.

İşin korkutucu yanlarından biri ise Zberp zararlı yazılımı günler önce keşfedildiğinde, bilinen neredeyse hiçbir antivirus yazılımı bu zararlıyı tespit edemiyordu.

Nemanja POS zararlı yazılımı 35 ülkede ve hızla yayılıyor

nemanja-pos-zararli-yazilimi-35-ulkede-hizla-yayiliyor Nemanja POS zararlı yazılımı 35 ülkede ve hızla yayılıyorOtel, süpermarket, benzin istasyonu ve benzer daha çok sayıda POS cihazı kullanılan yerde Nemanja POS zararlı yazılımı hızla yayılıyor. Ele geçirilen POS sayısı şimdiden 1.500’ü geçmiş durumda.

Mart ayında keşfedilen Nemanja botnet zararlı yazılımı 35 ülkede, 1.500’ün üzerinde POS cihazında aktif durumda. Sırbistanda bulunan bazı siber suçlular tarafından üretilen zararlı yazılım ticari amaçla geliştirilen zararlı yazılımlara benzemiyor. Daha çok hedefli bir saldırı yapmak üzere geliştirilmiş ve amaç dünya çapındaki POS sistemleri. Bu yüzden Nemanja’nın topladığı kredi kartları blackmarket üzerinden farklı sitelere satılarak oradan da dünya çapında diğer satıcılara gidiyor.

Nemanja POS zararlı yazılımını yüklemek için ağa bir kez herhangi bir şekilde erişim sağlamak yeterli. Sonrasında zararlı yazılım aktif olarak C&C merkezi ile iletişim kuruyor. Elbette bu erişim bir güvenlik açığı sonucu olmak zorunda değil. Şirket içerisinde çalışan, insider olarak nitelendirilen kötü niyetli biri de bu yazılımı yükleyebilir. Nemanja da diğer benzerleri olan Alina, BlackPOS, Dexter, JackPOS, VSkimmer gibi keylogger, envanter yönetimi, muhasebe yazılımı algılama, kendi kendini silme gibi özelliklere sahip.

Bu arada Mart ayında keşfedilen Nemanja ancak ilk bulaştığı hedeften 6 ay sonra tespit edilebilmiş. Bu da demek oluyor ki 6 aylık bu kuluçka süresi boyunca şimdi tespit edilemeyen çok sayıda hedefe daha çoktan bulaşmış durumda.

iBanking mobil trojan Facebook’u kullanıyor

ibanking-mobil-trojan-facebook-kullaniyor_1 iBanking mobil trojan Facebook’u kullanıyorHTML injection özelliğine sahip mobil internet bankacılığı trojanı iBanking’in yeni bir türevi kendisini güvenlik Facebook üzerinden tanıtarak bulaşıyor.

Daha önce de incelediğimiz iBanking zararlı yazılımı siber mafya tarafından 5000 dolar gibi bir rakama satılıyor. Çift aşamalı kimlik doğrulama gibi bankacılık sitelerinde kullanılan teknikleri de atlatabiliyor bu trojan.

iBanking SMS veya HTTP üzerinden komuta kontrol merkezinden yönetilebiliyor ve gönderilen komutları çalıştırarak çıktılarını merkeze iletiyor. Bu komutlar SMS mesajlarını okuma/iletme, aramaları yönlendirme, adres defterini çekme, mikrofonu aktive edip ortamı dinleme olarak sayılabilir.

iBanking’in yeni varyantı ise Facebook kullanıcılarını hedef alarak kandırıyor. Zararlı yazılım Javascript kullanarak kendini Facebook sayfalarına inject ediyor. Diğer yandan sahte Facebook kimlik doğrulama sayfaları oluşturuyor. Facebook kimlik doğrulama sayfasına ulaşan kurban cep telefonu bilgilerini girdiğinde ise cep telefonununa bir URL ve QR kodu gönderiliyor. ibanking-mobil-trojan-facebook-kullaniyor_2 iBanking mobil trojan Facebook’u kullanıyor

Bu URL veya QR koddan dosya indirildikten sonra ise artık telefon komuta kontrol merkezinin yönetimine geçmiş oluyor ve zararlı yazılım aktif hale geliyor. HTML injection daha önce kullanılan bir yöntem fakat iBanking bunu Facebook üzerinde yaparak tamamen yeni bir tekniğe imza atmış oluyor.

Zararlı kodları internette yaymak için özel servis

Siber suçlular hazırladıkları virus, worm, trojan gibi zararlı içerikleri internette yaymak için sürekli yeni olanaklar peşinde. Buna giden en etkili yol ise herhangi bir kara veya gri listeye girmemiş IP adreslerinden geçiyor.

Siber mafya tarafından sunulan site yönlendirme (redirector) servisiyle web filtreleme sistemlerini de atlatarak zararlı içeriğe yönlendirmek daha da kolay hale geliyor. Fiyatlandırma ise; Dilediğiniz zararlı kod içeren yere 30.000 yönlendirme 50$, 100.000 yönlendirme 150$ gibi paketler halinde belirlenmiş. Servis için yüzbinlerce alan adı kayıt ettirilmiş, kullanım durumunda.

Yönlendirme servisi için kullanılan yazılımlardan birinin ekran görüntüsü;

zararli-kodlari-internette-yaymak-icin-ozel-servis Zararlı kodları internette yaymak için özel servis

iBanking bot mobil bankacılık zararlı yazılımı

iBanking yeni bir mobil bankacılık zararlı yazılımı ve siber mafya tarafından ortalama 5000 dolar gibi rakamlara satışına başlandı.

Zeus ve Carberp gibi iBanking’de kaynak kodları ile birlikte yayınlanmaya başlandı. Çok sayıda insan kendi özel eklentilerini ve versiyonlarını geliştirmekle meşgul. Özellikle de MaaS yani Malware as a Service olarak yazılımı hizmet olarak satmak şu sıralar popüler.

ibanking-mobil-zararli-yazilim iBanking bot mobil bankacılık zararlı yazılımı

Bu bot özelliğine sahip zararlı yazılım SMS veya HTTP üzerinden C&C sunucusu yardımıyla kolayca yönetilebiliyor. Bu verilen komutlarla aşağıdaki işlemleri gerçekleştirmek mümkün;

  • Tüm gelen/giden SMS mesajlarını yakalamak
  • Gelen tüm sesli aramaları başka bir numaraya yönlendirmek
  • Gelen/giden/cevapsız çağrıları silmek, kontrol etmek
  • Cihazın mikrofonunu kontrol ederek ses kaydetmek
  • Telefon defterini ele geçirmek
  • URL durumunu yakalamak. Burada amaç MITM yöntemiyle click-fraud tarzı saldırılar düzenlemek.

ibanking-mobil-zararli-yazilim2 iBanking bot mobil bankacılık zararlı yazılımı

iBanking bot mobil zararlı yazılımı aynı zamanda iki aşamalı kimlik doğrulaması kullanan bankacılık sistemlerini de atlatmakta başarılı. Kaynak kodlarının dağıtılıyor olması da herkesin farklı bankalarla ilgili yeni zararlı yazılımlar üretip paketleyerek kullanabileceği anlamına geliyor.

Enfekte olmuş FTP sunucuları hızla artıyor

enfekte-olmus-ftp-sunuculari-hizla-artiyor Enfekte olmuş FTP sunucuları hızla artıyorFTP sunucuları siber suçluların exploit ettikten sonra kolayca zararlı yazılım veya servis yaydıkları mecraların başında geliyor. Son dönemde enfekte olan FTP server sayısının artması ise ister istemez göze çarpıyor. Şu an yaşanan artışla birlikte sayısı 10 bine varan sayıda FTP sunucusunun enfekte şekilde zararlı uygulama, servis dağıtarak çalıştığı söylenebilir.

Bu enfekte olan FTP sunucuları listesinde UNICEF, The New York Times, PC World gibi yüksek profilli siteler de bulunuyor. FTP sunucularına yüklenen zararlı yazılımların dışında web sunucusuna ulaşmaya çalışılarak PHP dosyaları veya indirilerek çalıştırıldığında zararlı sitelere yönlendiren HTML dosyaları da yerleştiriliyor.

Bu bağlamda saldırı vektörünü iki ayrı gruba ayırabiliriz;

1. Hacker zararlı bir PHP scriptini FTP sunucusuna yerleştirir, eğer FTP sunucusundaki dizin web sunucusuna bağlıysa shell elde ederek diğer hedeflere bulaşır. Amaç dahilinde web sitelerine yönlendirme yapar. Bilgi elde eder.

2. Hacker bir HTML dosyasını FTP sunucusuna yükler, kurban dosyayı çalıştırmak için tıkladığında zararlı içerik bulunan bir web sitesine yönlendirilir. Saldırgan bu siteden ister zararlı yazılım bulaştırır, isterse sosyal mühendislik yoluyla ekstra bilgi elde eder. Genellikle yönlendirilen siteler ramsomware adı verilen sahte uygulamalar, virusler, ilaç satış siteleri, ponografik siteler olabiliyor.

Kurumların FTP sunucularını kontrol altında tutması, özellikle anlık dosya transferi ve dağıtım için daha güvenli alternatifleri gözden geçirmesi gerekli.

Yeni Windows 8 Temalı Şifre Çalan Yazılım

Siber suçlular sürekli yeni araçlar, yöntemler geliştirirken artık bunları şık arabirimlerle de sunmaya gayret ediyorlar. Yeni bir şifre ve oyunların lisans numaralarını çalarak toplayan Windows 8 temalı araç ise hayli dikkat çekici. Bu tema ile elde edilen bilgilerin düzenlemesi ve sunulması daha kolay hale getirilmiş durumda.

Araç elde edilen şifreleri, oyun lisans numaralarını gruplarken diğer yandan kurbanın sisteminde olabilecek güvenlik önlemleri hakkında da bilgilendiriyor. Kullanılan antivirus, spyware, firewall gibi güvenlik ürünleri var mı, eğer varsa hangileri kullanılmış bu yazılımda yer alıyor.

Projenin yönetim panelinden bazı ekran görüntüleri;

windows8-temali-sifre-calan-yazilim Yeni Windows 8 Temalı Şifre Çalan Yazılım

windows8-temali-sifre-calan-yazilim2 Yeni Windows 8 Temalı Şifre Çalan Yazılım

windows8-temali-sifre-calan-yazilim3 Yeni Windows 8 Temalı Şifre Çalan Yazılım

windows8-temali-sifre-calan-yazilim4 Yeni Windows 8 Temalı Şifre Çalan Yazılım