Yazılar

Casus yazılımla gizli Bitcoin/Litecoin madenciliği hakkında herşey

Ekran kartı, CPU veya ASIC işlemcileri yardımıyla üretilen sanal para birimlerinin yükselişiyle birlikte siber suçluların ilgisi bu alana doğru kaymaya başladı. Bazı ücretsiz programların içerisine Bitcoin/Litecoin minerlar yerleştirildiği gibi hacklenen sistemler üzerinden de işlemci gücünü sömürerek mining yapan profesyonel zararlı yazılımlar satılmaya başlandı.

Bu Bitcoin/Litecoin mining yapan ve ücretli olarak satılan zararlı yazılım kitlerinden bazılarını sıraladık;

Gizlice Bitcoin/Litecoin mining yapan ticari bir zararlı yazılım;

bitcoin-litecoin-miner-1 Casus yazılımla gizli Bitcoin/Litecoin madenciliği hakkında herşey

bitcoin-litecoin-miner-2 Casus yazılımla gizli Bitcoin/Litecoin madenciliği hakkında herşey

Bir başka ticari olarak satılan Bitcoin/Litecoin mining zararlı yazılımı;

bitcoin-litecoin-miner-3 Casus yazılımla gizli Bitcoin/Litecoin madenciliği hakkında herşey

Mining zararlı yazılımı menü;

bitcoin-litecoin-miner-4 Casus yazılımla gizli Bitcoin/Litecoin madenciliği hakkında herşey

Bir başka mining zararlı yazılımı menü;

bitcoin-litecoin-miner-5 Casus yazılımla gizli Bitcoin/Litecoin madenciliği hakkında herşey

Bitcoin/Litecoin mining yapan yazılımın yönetim paneli;

bitcoin-litecoin-miner-6 Casus yazılımla gizli Bitcoin/Litecoin madenciliği hakkında herşey

bitcoin-litecoin-miner-8 Casus yazılımla gizli Bitcoin/Litecoin madenciliği hakkında herşey

bitcoin-litecoin-miner-81 Casus yazılımla gizli Bitcoin/Litecoin madenciliği hakkında herşey

Bitcoin/Litecoin mining yapan zararlı yazılımlar kaynak kodları ile birlikte veriliyor;

bitcoin-litecoin-miner-9 Casus yazılımla gizli Bitcoin/Litecoin madenciliği hakkında herşey

Cryptolocker verilerinizi çözülemeyecek şekilde şifreleyip para istiyor

Son dönemdeki en ünlü ransomware zararlı yazılımı Cryptolocker popülerliğini devam ettiriyor. Temel özellik olarak daha önce de veri şifreleyip para talep eden zararlı yazılımlarla karşılaşmıştık. Fakat Cryptolocker konuyu bir üst seviyeye taşıyor. Önceki yazılımlar kolayca kırılabilir, kaldırılabilir durumdayken Cryptolocker’da işler o kadar basit değil.

Zararlı yazılım, bulaştığı sistemde ana hedef olarak döküman ve fotoğrafları şifreliyor. Sadece bulaştığı sistem değil aynı zamanda o sistemin bağlı olduğu ağ sürücüleri ve harici diskler de dahil olmak üzere bu işlemi uyguluyor. Kullandığı şifreleme metodu genel, özel anahtar yapısına sahip, oldukça güçlü ve günümüz imkanlarıyla kırılması olanaksıza yakın gözüküyor. Yine de bu durumu garanti altına almak için sizden 72 saat içerisinde verilerinize ulaşmak için parayı yatırmanızı bekliyor.

Cryptolocker’dan korunmak için e-posta ile gelen eklentilere dikkat etmek, webden indirilen dosyaları kontrol etmek gerekiyor. Yine de bu tam olarak bir koruma sağlamıyor çünkü USB, P2P ağlar, E-posta, Web vb. her türlü platformdan zararlı yazılımın bulaşma ihtimali var. Cryptolocker bulaştıktan sonra yapılacak ilk şey ise sistemi tamamen ağdan izole ederek tüm ağ bağlantılarını iptal etmek. Güncel bir antivirus programı zararlı yazılımı temizlemeye yarıyor fakat yine de işletim sistemini yeniden kurmakta fayda var. Diğer yandan yedekleme prosedürlerini sıkı tutup gözden geçirmek gerekiyor.

cryptolocker-malware-zararli-yazilim Cryptolocker verilerinizi çözülemeyecek şekilde şifreleyip para istiyor
“Cryptolocker bulaşarak veri şifreleme işini hallettikten sonra geri sayıma başlıyor”

cryptolocker-malware-zararli-yazilim2 Cryptolocker verilerinizi çözülemeyecek şekilde şifreleyip para istiyor
“Bazı Cryptolocker varyantları masaüstüne ait duvar kağıdını da değiştirerek kullanıcıyı uyarıyor. Antivirusun Cryptolocker’ı verileri şifreledikten sonra yakalaması durumunda verilere ulaşmak için zararlı yazılımın tekrar indirilerek kurulması gerektiğini belirtiyorlar”

SMS ile gelen bankacılık şifreleri siber suçluların elinde

android-blackberry-internet-bankaciligi-zararli-yazilim1 SMS ile gelen bankacılık şifreleri siber suçluların elindeBir süredir siber suçlular bankalar tarafından SMS ile gönderilen tek kullanımlık şifreleri zararlı yazılımlar ile ele geçirerek çalışmaya devam ediyor. Henüz yazım aşamasında bulunan yeni bir internet bankacılığı zararlı yazılımı anlık şifreler için Android ve BlackBerry platformlarını tehdit ediyor.

Tamamlandığında 4000 dolara satılacak olan yazılım çift aşamalı şifreleri ve SMS uyarılarını ele geçirerek saldırganlara anında iletiyor.

Yazılımın ana özellikleri;

– Gelen SMS mesajlarını göstermeden anlık olarak istenilen numaraya iletmek

– Gelen aramalardan istenilenleri göstermeden istenilen numaraya yönlendirmek

– Cihazdaki SMS mesajlarına tam erişim

– Cihazdaki arama geçmişine erişimandroid-blackberry-internet-bankaciligi-zararli-yazilim2 SMS ile gelen bankacılık şifreleri siber suçluların elinde

– Cihazdaki telefon rehberine erişim

– Cihaz mikrofonunu uzaktan aktive ederek konuşulanları kaydederek uzaktaki sunucuya göndermek

– Cihaz üzerinden izinsiz SMS göndermek

– Cihaz üzerinden izinsiz arama yapmak, yönetmek

– Internet bağlantısı olmadığı durumlarda SMS mesajlarıyla cihazı yönetmek

– Cihaz ile ilgili telefon numarası, ICCID, IMEI, IMSI, Model, İşletim sistemi gibi her türlü bilgiyi edinmek

İstenildiği takdirde yazılımın Rusça ve İngilizce dışında dillere de çevirisinin yapılması sağlanabiliyor. Yazılımın botnet tarafının ise hacklenen Google Play hesapları üzerinden, yazılım geliştiricilerin hazırladığı programların içerisine yerleştirilerek dağıtılması planlanıyor.

android-blackberry-internet-bankaciligi-zararli-yazilim3 SMS ile gelen bankacılık şifreleri siber suçluların elinde

njRAT tüm bölgeyi tehdit ediyor

njrat-remote-access-trojan njRAT tüm bölgeyi tehdit ediyorYeni bir RAT (Remote Access Trojan) zararlı yazılımı browserda saklanan verileri çalıyor, tuş vuruşlarını kaydediyor ve webcamleri uzaktan aktive edebiliyor. Hedef ise Türkiye’nin de aralarında bulunduğu orta doğu ülkeleri.

Adına “njRAT” denilen zararlı yazılım özellikle devlet, telekominikasyon ve enerji sektöründe bulunan orta doğu ülkelerindeki hedefleri seçiyor. Analizlere göre saldırganlar “authorization.exe” adlı bir dosyayı Microsoft Word veya PDF formatında dosyalar içerisine gömerek ulaştırıyorlar. Dosyalar mail yolu ile geliyor. Fakat kurban dosyayı çalıştırdıktan sonra zararlı yazılım kendisini USB yoluyla dağıtabiliyor. Ayrıca bulaştığı ağa uzaktan erişim de sağlıyor.

Buna ek olarak tuş vuruşlarını kaydetmek, bulaştığı sistemlerin kameralarını kontrol etmek, şifrelerini çalmak, istenilen dosyaları göndermek/almak, registry üzerinde değişiklik gibi pek çok özellik zararlı yazılım ile birlikte aktive oluyor. Zararlı yazılım ağdaki bir sisteme bulaştıktan sonra saldırgan o sistem njrat-control-anel njRAT tüm bölgeyi tehdit ediyorüzerinden tüm ağı tarıyarak diğer hedefleri tanımlayarak daha özellleştirilmiş saldırılar yapabiliyor.

 

njRAT uzaktaki bir yönetim merkezine (C&C sunucusu) bağlanarak şifreli olarak haberleşiyor, bilgi gönderiyor, komut alıyor. Her bulaştığı sistemi, ağı tanımlarken kullanılan farklı üretilmiş bir kod oluyor. Yönetim merkezi bulaştığı sistemlerin seri numaraları, sistem isimleri, sistem lokasyonlarını, işletim sistemi ismini ve versiyonlarını çekmeyi ihmal etmiyor.

njRAT zararlı yazılımını barındıran sunuculardan ikisi Vietnam ve İngiltere olarak belirlendi. Fakat bu gerçek orjin hakkında pek net bilgi vermiyor. Kaynak herhangi bir ülke olabilir.

Red October: 5 senelik gizemli tehdit

red-october-kizil-ekim-rocta Red October: 5 senelik gizemli tehditSon keşfedilen Çin kaynaklı Kızıl Ekim (Red October) operasyonunun daha çok etkileri üzerine odaklanılırken,  antivirüs ve ağ saldırı tespit sistemlerinden en az 5 yıl süreyle kaçınmayı başaran amacına gösterilen ilgi ise oldukça yetersizdi.

Bu operasyonda kullanılan zararlı yazılım keylogger gibi birçok geleneksel işlev içeriyordu. Fakat bu geleneksel yeterlilikler üzerine odaklanmak çok önemli bir kilit noktasının gözden kaçırılmasına neden oldu: Kimlik bilgileri ve kişisel dosyalar gibi yerel verilerin çalınması.

Kızıl Ekim iki ilginç durum içeriyordu:

– Saldırganların, yeni kurbanlarına gönderdikleri maillere aynı sektörde yer alan önceki kurbanlarının bilgilerinden elde ettikleri ilgi çekecek verileri ekleyerek daha az şüphe uyandırmaları.

– Önemli veri merkezlerini belirleme ve ulaşım yeteneği.

Bu siber-casusluk operasyonun kurbanları ise en çok koruma altında olan ve tehditlerin farkında olan sektörler; hükümet, enerji, havacılık ve askeri üsler vs. gibi. Bu kurbanlardan ele geçirilecek potansiyel bilgiler içeriğine ve çeşidine göre farklılık göstermekte: Toplantılara, stratejik planlara ait sunum ve dosyalar, finansal kayıtlara sahip veri tabanları, CRM kayıtları, silah ve altyapıya ait teknik çizimler, önemli email yazışmaları ve daha fazlası.

Kızıl Ekim operasyonunda kullanılan zararlı yazılımın adı Rocra. Rocra APT saldırısı için gerekli her bir element için spesifik modüller içeriyor:  Keşif toplama, yayma, devamlılık, veri çekme ve dışarı veri aktarma. Bu malware özellikle hem yapılandırılmamış veri (dosya) hem de yapısal veri (veritabanı kayıtlarına) erişim yeteneğine sahip dahası yüklenmiş yazılımlardan en çokta Oracle tabanlı veritabanlarından bilgi toplayabilir özellikte. 

Peki bu modüller ne yapar, bazılarını açıklayalım:

– “Recon – Keşif toplama” modülünün amacı saldırganın doğru veriyi bulmasına yardımcı olmak.red-october-kizil-ekim-saldiri-moduller Red October: 5 senelik gizemli tehdit

– “Exfiltration – Veri dışarı aktarma” modülünün amacı veriyi saldırgana ulaştırmak.

Genel olarak Rocra modülleri, FTP sunucularına erişim, ağ paylaşımlarının, yerel disk sürücülerinin kontrolü ve bu kaynaklardan dosya kopyalama yeteneğine sahip. Saldırganın isteğine bağlı olarak devre dışı bırakılabilen “Recon” modülünün aksine “Exfiltration” modülü sürekli olarak çalışıp sadece yeni değerli veri getirmek için tasarlanmıştır.

Kurbanların ağlarına ve uç noktalarına sızma, özenle hazırlanmış email mesajlarına eklenen Excel ve Word dosyaları üzerinden gerçekleştiriliyor. Ekli dosyalarda kurbanla aynı sektörden eski kurbanlara ait veriler bulundurularak şüpheli olabilecek bir e-mail böylelikle meşru bir e-mail olarak yansıtılıyor. Rocra, C&C ile dosya içeriği aynı zamanda dosya boyutunu değiştiren bir veri aktarımı protokolü uyguladığından bu saldırıda muhtemelen DLP çözümleri de yenilgiye uğramış durumda.

Bu veri hırsızlığı tespit etmek ve önlemek mümkün müydü? Evet. Sadece ağ çevresini ve uç noktalarını izlemek yerine kurbanların kendi verilerini daha yakından izlemesi, zayıflıklarının denetlenmesi sağlanabilirdi.

Suriye muhalif siber aktivistleri hack ederek izliyor

suriye_muhalifleri_internetten_izliyor Suriye muhalif siber aktivistleri hack ederek izliyorSuriye hükümetinin muhaliflerle olan savaşını sadece gerçek hayatta sürdürmediği ortaya çıktı. Hükümeti isyancı muhaliflerle internet üzerinden savaşmak için Skype ve sosyal mühendislik yöntemlerini etkin biçimde kullanıyor.

Skype ve sosyal mühendislik tekniklerini kullanan hükümet yetkilileri muhaliflerin bilgisayarlarını takip etmek için uzaktan çeşitli yazılımlar yüklüyor. İnceleme için bir muhalifin sabit diskinin kopyasına ulaşan araştırmacılar sisteme uzaktan erişim sağlayan bir arka kapı ile karşılaştı. Başka muhaliflerden alınan disk kopyalarını da inceleyen uzmanlar tekrar bu arka kapıyı tespit etti.

Muhaliflerin belirttiğine göre farklı bir kimlikle irtibat kuran hükümet yetkilisi muhaliflere MACAddressChanger.exe adında bir dosyayı “hükümetin takibinden gizlenerek internette gezebilmesi için” gönderiyor. Bu dosyaya tıklandığında ise trojan kendini silvia.exe olarak sisteme kopyalayarak arka planda çalışmaya devam ediyor.

Muhaliflerin bilgisayarlarına yüklenen bu uzaktan kontrol yazılımı ekrandaki görüntüyü izliyor, tüm tuş darbelerini kaydediyor, bilgisayara bağlı mikrofonu ve web kamerasını açıp kapatabiliyor, bilgisayarın ve bağlı olduğu ağın tüm dosyalarına ulaşabiliyor.

Arka kapı yaratan trojanın bilgileri gönderdiği ip adresi ise Suriye Telekomünikasyon Kurumuna ait. Bu da hedefin doğrudan Suriye’li siber aktivistler ve muhalifler olduğunu doğrular nitelikte.

Internette tehditler her zamankinden fazla

virus_trojan_malware Internette tehditler her zamankinden fazlaGerek karşı karşıya kalınan hack olayları, gerekse virüsler açısından 2012 yılı çok yoğun geçiyor. Tehdit seviyesinin hiç olmadığı kadar üst seviyelerde olduğu şu zamanlarda virüs, trojan ve zararlı kodların yayılmasında ciddi bir artış var. İstatistiklere göre en sık rastlanılan 10 virüs listesine geçtiğimiz ay hiç bir zaman olmadığı kadar çok yeni tehdit eklendi. Daha önceden bilinen fakat gittikçe yaygınlığı artan dört zararlı yazılım da hızla yayılıyor.

Yeni görülen dört zararlı yazılım dikkat çekici. Dört zararlı yazılımın da ortak yönü çeşitli yöntemler kullanarak kullancıları belirli internet sitelerine yönlendirerek bilgisayarlarına virüs bulaşmasını sağlamaları.

Bunlardan biri olan “JS/Agent” hack edilmiş internet sitelerinde tespit edilen bulaşıcı Javascript kodlarına verilen genel isim. Bu virüs listeye 5. sıraya kadar yükseldi. “JS/Iframe” ise internet tarayıcısı yazılımları zararlı başka yazılımlarla dolu internet sitelerine yönlendiriyor. Bu tür zararlı yazılımların kodları genellikle HTML dosyalarının içine gömülüyor.

Bir diğer yeni virüs olan “Win32&Sirefef” ise arama motorlarının sonuç sayfaları reklam bulunan sitelere yönlendiren bir trojan. İlk on tehdit listesinin sonuna yerleşen “JS/Redirector” ise internet tarayıcılarını zararlı yazılımlar bulunduran internet sitelerine yönlendiren bir trojan.virus_trojan_zararlikod_listesi-300x124 Internette tehditler her zamankinden fazla

Listede dünyada en çok görülen tehdit ise “HTML/Scrinject.B” olarak listelendi. Bu virüs, güvenli olduğu düşünülen internet sitelerine yerleşerek kullanıcıları sahte linklere yönlendiriyor ve bilgisayarlarına zararlı yazılımlar indirmesini sağlıyor. “HTML/Scrinject.B” 2012 yılının ocak ayından beridir en çok görülen tehdit olma ünvanını koruyor.

Gizlice ses ve görüntü kaydeden trojan Georbot

georbot_trojan Gizlice ses ve görüntü kaydeden trojan GeorbotYeni botnet W32/Georbot bulaştığı bilgisayarlardan web kamerası aracılığı ile ses ve görüntü kaydetme, ağ içerisinde dolaşma gibi yeteneklere sahip. Bu trojan kendini güncellemek için ise Gürcistan hükümetine ait bir internet sitesini kullanıyor.

Trojan her ne kadar tüm dünyada yayılsa da etkilenen bilgisayarların %70’i Gürcistan’da bulunuyor. Bu ülkeyi Almanya, Amerika ve Rusya takip ediyor. Trojanın diğer bir özelliği de “uzaktan masaüstü bağlantısı yapılandırma dosyalarını” çalması. Bu şekilde trojanı yazan kişiler bilgisayara hiç bir güvenlik açığına gerek kalmadan kolayca giriş yapabiliyorlar.

Dikkat edilmesi gereken bu trojanı Gürcistan hükümeti yazıyormuş gibi düşünmemek. Genelde bu tarz zararlı kod içeren ve hızla yayılan trojanların bulaştıkları sistemlerden sistem yöneticilerinin haberi olamayabiliyor.

Botnetin yönetim panelinde ise bulaştığı sistemlerde hedeflediği dökümanların içeriğine ait bir liste yer alıyor. Bu listedeki kelimelerin bazıları; “bakanlık, gizli, servis, ajan, Rusya, ABD, FBI, CIA, silah, FSB, KGB, telefon, numara” olarak sıralanıyor.