Yazılar

Enfekte olmuş FTP sunucuları hızla artıyor

enfekte-olmus-ftp-sunuculari-hizla-artiyorFTP sunucuları siber suçluların exploit ettikten sonra kolayca zararlı yazılım veya servis yaydıkları mecraların başında geliyor. Son dönemde enfekte olan FTP server sayısının artması ise ister istemez göze çarpıyor. Şu an yaşanan artışla birlikte sayısı 10 bine varan sayıda FTP sunucusunun enfekte şekilde zararlı uygulama, servis dağıtarak çalıştığı söylenebilir.

Bu enfekte olan FTP sunucuları listesinde UNICEF, The New York Times, PC World gibi yüksek profilli siteler de bulunuyor. FTP sunucularına yüklenen zararlı yazılımların dışında web sunucusuna ulaşmaya çalışılarak PHP dosyaları veya indirilerek çalıştırıldığında zararlı sitelere yönlendiren HTML dosyaları da yerleştiriliyor.

Bu bağlamda saldırı vektörünü iki ayrı gruba ayırabiliriz;

1. Hacker zararlı bir PHP scriptini FTP sunucusuna yerleştirir, eğer FTP sunucusundaki dizin web sunucusuna bağlıysa shell elde ederek diğer hedeflere bulaşır. Amaç dahilinde web sitelerine yönlendirme yapar. Bilgi elde eder.

2. Hacker bir HTML dosyasını FTP sunucusuna yükler, kurban dosyayı çalıştırmak için tıkladığında zararlı içerik bulunan bir web sitesine yönlendirilir. Saldırgan bu siteden ister zararlı yazılım bulaştırır, isterse sosyal mühendislik yoluyla ekstra bilgi elde eder. Genellikle yönlendirilen siteler ramsomware adı verilen sahte uygulamalar, virusler, ilaç satış siteleri, ponografik siteler olabiliyor.

Kurumların FTP sunucularını kontrol altında tutması, özellikle anlık dosya transferi ve dağıtım için daha güvenli alternatifleri gözden geçirmesi gerekli.

Hackerlar 22 saat içinde harekete geçiyor

hackerlar-22-saat-icinde-exploit-ediyorHer hafta yazılarımızla siber tehditler ile ilgili en güncel bilgileri aktarmaya çalışıyoruz. Bu gelişmeler TerraMedusa Siber İstihbarat altyapısına detaylı analizleri ile birlikte anlık olarak düşse de, ayrıcalıklı müşterilerimiz hariç sizlere haftalık olarak özet bilgileri aktarabiliyoruz.

En çok rastladığımız anlık düşen bilgilerin bazen bir hafta, bazen iki haftayı bulacak bir süre sonra herkesçe erişilebilir kaynaklara ulaşıyor olması.

Bilginin önem kazandığı, önce öğrenenin kazandığı çağda bu bilgileri siber saldırganlar da hızlıca değerlendiriyor.

Artık siber suçlular ışık hızıyla siber güvenlik ile ilgili gelişmeleri exploit ederek kullanma yarışına girmiş durumda. Bu bazen haberlerde “son dakika gelişmesi” olarak duyurulan bir uluslararası haberin zararlı yazılım olarak dağıtılması için fırsat oluyor, bazen ise firmaların yaptığı yazılım, hizmetlerin exploit edilerek farklı şekillerde kullanılması olarak gelişiyor.

Bir güvenlik açığının bulunması, bir haberin zararlı kod olarak dağıtılabilmesi o konunun afişe olmasından sonra yaklaşık 22 saat içinde gerçekleştiği görülüyor. Reel örneklere gelecek olursak 6 Ekim’de zararlı yazılım dağıtıcılarının tasarladığı haberde ABD’nin Suriye’ye hava saldırısı başlattığı duyurularak “The United States Began Bombing” konulu e-postalar yayılmaya başlamıştı. Elbette çok sayıda kişi bu e-postalar yardımıyla zararlı yazılıma maruz kaldı.

Benzer saldırıları bir yazılımın yeni açığı bulunduğunda da hızlıca uygulandığını görererek sıkça yaşıyoruz. Diğer örneklerde ise Mart 2013’de yeni Papa’nın seçilmesi, Nisan 2013’de yapılan Boston maratonu bombalı saldırısı gibi exploit edilebilecek gelişmelere sıkça şahit oluyoruz.

njRAT tüm bölgeyi tehdit ediyor

njrat-remote-access-trojanYeni bir RAT (Remote Access Trojan) zararlı yazılımı browserda saklanan verileri çalıyor, tuş vuruşlarını kaydediyor ve webcamleri uzaktan aktive edebiliyor. Hedef ise Türkiye’nin de aralarında bulunduğu orta doğu ülkeleri.

Adına “njRAT” denilen zararlı yazılım özellikle devlet, telekominikasyon ve enerji sektöründe bulunan orta doğu ülkelerindeki hedefleri seçiyor. Analizlere göre saldırganlar “authorization.exe” adlı bir dosyayı Microsoft Word veya PDF formatında dosyalar içerisine gömerek ulaştırıyorlar. Dosyalar mail yolu ile geliyor. Fakat kurban dosyayı çalıştırdıktan sonra zararlı yazılım kendisini USB yoluyla dağıtabiliyor. Ayrıca bulaştığı ağa uzaktan erişim de sağlıyor.

Buna ek olarak tuş vuruşlarını kaydetmek, bulaştığı sistemlerin kameralarını kontrol etmek, şifrelerini çalmak, istenilen dosyaları göndermek/almak, registry üzerinde değişiklik gibi pek çok özellik zararlı yazılım ile birlikte aktive oluyor. Zararlı yazılım ağdaki bir sisteme bulaştıktan sonra saldırgan o sistem njrat-control-anelüzerinden tüm ağı tarıyarak diğer hedefleri tanımlayarak daha özellleştirilmiş saldırılar yapabiliyor.

 

njRAT uzaktaki bir yönetim merkezine (C&C sunucusu) bağlanarak şifreli olarak haberleşiyor, bilgi gönderiyor, komut alıyor. Her bulaştığı sistemi, ağı tanımlarken kullanılan farklı üretilmiş bir kod oluyor. Yönetim merkezi bulaştığı sistemlerin seri numaraları, sistem isimleri, sistem lokasyonlarını, işletim sistemi ismini ve versiyonlarını çekmeyi ihmal etmiyor.

njRAT zararlı yazılımını barındıran sunuculardan ikisi Vietnam ve İngiltere olarak belirlendi. Fakat bu gerçek orjin hakkında pek net bilgi vermiyor. Kaynak herhangi bir ülke olabilir.

Red October: 5 senelik gizemli tehdit

red-october-kizil-ekim-roctaSon keşfedilen Çin kaynaklı Kızıl Ekim (Red October) operasyonunun daha çok etkileri üzerine odaklanılırken,  antivirüs ve ağ saldırı tespit sistemlerinden en az 5 yıl süreyle kaçınmayı başaran amacına gösterilen ilgi ise oldukça yetersizdi.

Bu operasyonda kullanılan zararlı yazılım keylogger gibi birçok geleneksel işlev içeriyordu. Fakat bu geleneksel yeterlilikler üzerine odaklanmak çok önemli bir kilit noktasının gözden kaçırılmasına neden oldu: Kimlik bilgileri ve kişisel dosyalar gibi yerel verilerin çalınması.

Kızıl Ekim iki ilginç durum içeriyordu:

– Saldırganların, yeni kurbanlarına gönderdikleri maillere aynı sektörde yer alan önceki kurbanlarının bilgilerinden elde ettikleri ilgi çekecek verileri ekleyerek daha az şüphe uyandırmaları.

– Önemli veri merkezlerini belirleme ve ulaşım yeteneği.

Bu siber-casusluk operasyonun kurbanları ise en çok koruma altında olan ve tehditlerin farkında olan sektörler; hükümet, enerji, havacılık ve askeri üsler vs. gibi. Bu kurbanlardan ele geçirilecek potansiyel bilgiler içeriğine ve çeşidine göre farklılık göstermekte: Toplantılara, stratejik planlara ait sunum ve dosyalar, finansal kayıtlara sahip veri tabanları, CRM kayıtları, silah ve altyapıya ait teknik çizimler, önemli email yazışmaları ve daha fazlası.

Kızıl Ekim operasyonunda kullanılan zararlı yazılımın adı Rocra. Rocra APT saldırısı için gerekli her bir element için spesifik modüller içeriyor:  Keşif toplama, yayma, devamlılık, veri çekme ve dışarı veri aktarma. Bu malware özellikle hem yapılandırılmamış veri (dosya) hem de yapısal veri (veritabanı kayıtlarına) erişim yeteneğine sahip dahası yüklenmiş yazılımlardan en çokta Oracle tabanlı veritabanlarından bilgi toplayabilir özellikte. 

Peki bu modüller ne yapar, bazılarını açıklayalım:

– “Recon – Keşif toplama” modülünün amacı saldırganın doğru veriyi bulmasına yardımcı olmak.red-october-kizil-ekim-saldiri-moduller

– “Exfiltration – Veri dışarı aktarma” modülünün amacı veriyi saldırgana ulaştırmak.

Genel olarak Rocra modülleri, FTP sunucularına erişim, ağ paylaşımlarının, yerel disk sürücülerinin kontrolü ve bu kaynaklardan dosya kopyalama yeteneğine sahip. Saldırganın isteğine bağlı olarak devre dışı bırakılabilen “Recon” modülünün aksine “Exfiltration” modülü sürekli olarak çalışıp sadece yeni değerli veri getirmek için tasarlanmıştır.

Kurbanların ağlarına ve uç noktalarına sızma, özenle hazırlanmış email mesajlarına eklenen Excel ve Word dosyaları üzerinden gerçekleştiriliyor. Ekli dosyalarda kurbanla aynı sektörden eski kurbanlara ait veriler bulundurularak şüpheli olabilecek bir e-mail böylelikle meşru bir e-mail olarak yansıtılıyor. Rocra, C&C ile dosya içeriği aynı zamanda dosya boyutunu değiştiren bir veri aktarımı protokolü uyguladığından bu saldırıda muhtemelen DLP çözümleri de yenilgiye uğramış durumda.

Bu veri hırsızlığı tespit etmek ve önlemek mümkün müydü? Evet. Sadece ağ çevresini ve uç noktalarını izlemek yerine kurbanların kendi verilerini daha yakından izlemesi, zayıflıklarının denetlenmesi sağlanabilirdi.

Mobilde Android botnet problemi

android-sms-spam-botnetAraştırmacılar, tüm büyük ABD mobil ağlarında çalışan, tehlikeli cihazlardan oluşan ve SMS spam iletmek amacıyla kullanılan bilinen ilk Android botnetin tespit edildiğini açıkladılar.

Aralık ayının başlarında yapılan tespite göre; botnet, kullanıcıların farkında olmadan yükledikleri SpamSoldier adlı trojan içeren zararlı bir oyun uygulaması indirmeleriyle büyüyor. Virüs bulaşmış cihazlar bir komuta-kontrol sunucusu ile bağlantıya geçerek 100’den fazla telefon numarasına SMS göndermeyi sağlayan talimatlar alıyor.

Bu numaralara gönderilen mesajlarla birlikte, virüslü telefonlar yaklaşık bir dakika içerisinde yeni bir hedef listesine ulaşmış oluyor. Bu kötü amaçlı yazılım, bilinmeyen numaralardan gelen ve giden mesajları da engelleyerek, kurbanlarının diğer kullanıcılar veya mobil servis sağlayıcılar tarafından spam yaydıkları konusunda uyarılmasının da önüne geçmiş oluyor. Bu botnetin kurucuları, kurbanlarını sahte hediye çeki vaat eden linkler yoluyla kişisel bilgi talebinde bulunan dolandırıcı pazarlama sitelerine yönlendirmek başta olmak üzere buna benzer pek çok strateji kullanarak kazanım sağlıyorlar.

Tipik bir SMS spam tekniğinde, spammer bir mağazaya gider ve hazır SIM kartlardan alarak bunları spam mesajlar göndermek için kullanır. Teknolojinin bu metodu yakalamasıyla spammerların bu yolla elde ettiği kazanımlar çok çok azaldı. SpamSoldier kampanyasında, dolandırıcılar spam masraflarını kurbanlarının omuzlarına yüklüyorlar. Botnet, geleneksel PC ortamındaki benzerlerine nazaran daha “ilkel” olarak tanımlanabilir ama bu taktik saldırganlar tarafından kullanılacak bir gelecek modeli gibi görünüyor.

Şu ana kadar 800’den fazla spam gönderen numara tespit edildi ve virüs bulaşmış cihaz sayısının 1000 civarında olduğunu düşünülüyor. Ağlarında Spamsoldier sms-spam-botnet-mesajmesajlarının giriş çıkışına rastlanan ABD servis sağlayıcıları arasında Verizon, AT&T, Sprint ve T-Mobile yer alıyor. Mobil operatorlerden gelen yorum ise, düşük seviyede kötü amaçlı yazılım oluşumlarına rastlandığını doğruladı ve kullanıcı ya da servis sağlayıcılar tarafından fark edilmediği takdirde daha büyük olumsuzluklar yaşanabileceğini gösteriyor.  İlk negatif etki, gönderilen çok fazla sayıdaki SMS’ten dolayı kurbanlarının yükümlü olacağı borçlara ilaveten servis sağlayıcı ağlarında oluşacak potansiyel yavaşlama. Servis sağlayıcıların bu tür bir sorunu tespit edip gidermekte çok hızlı davranamayacakları olası bir durum ve bundan dolayı kullanıcılara uygulanacak ilk standart prosedür olarak telefonun mesaj gönderme işlevini devre dışı bırakmaları.

Android platformunun sahibi Google ise bu konuda yorum yapmaktan kaçınıyor ki geçtiğimiz temmuz ayında Android cihazlarda açığa çıkan spam botnet varlığına ilişkin çelişkili raporları da aynı şekilde inkar etmişlerdi. Google her nasılsa bu spam mesajların virüslü bilgisayarlar ve sahte mobil imzalar kullanılarak Android uygulamalarından biri olan Yahoo Mail’e yönelik yapılan kötü amaçlı bir saldırı olduğu sonuca varmıştı. Anlaşılan ileriki zamanlarda Google bile Android üzerinde dolaşan tehdit bulutlarını inkar edemeyecek gibi gözüküyor.

Bankalar için yeni trojanlar

internet_bankaciligi_trojan_hack_zararli_kodSanal dünyada suçlular boş durmuyor. Online internet bankacılığı hedefli, kişiselleştirilmiş trojan ve zararlı kodlu yazılımlar artık modüllere bölünerek satılmaya başlandı. Geçtiğimiz günlerde bir satıcı Zeus/SpyEye ile birlikte çalışan bazı online bankacılık modüllerini ayrı ayrı sattığını duyurdu.

Fiyatlandırma toptan satışlarda indirim yapılmasına olanak tanıyor. Internet sitelerine yerleştirilmiş zararlı kodlarla ilgili ise lokasyon tabanlı bir fiyatlandırma söz konusu. Rakamlar hangi ülkeden ziyaretçilere saldırmak istediğinize göre değişiyor. Hazır bazı webinject scriptleri olduğu gibi, sipariş vererek özel bir tane yazdırmakta mümkün. Fiyatta buna göre değişiyor.

Zararlı kod hizmeti veren satıcılar SpyEye, Zeus, Ice IX gibi istenilen her platform için webinject scripti hazırlayabiliyorlar.

Aşağıda satılan bazı modüller ile ilgili bilgiler var.

Bakiye öğrenici: Kurbanın hesabında ne kadar para olduğunu öğrenerek bunu komuta kontrol sistemi aracılığı ile dolandırıcıya iletiyor.
Fiyat: 50-100$

Bakiye değiştirici: Online bankacılık sisteminde kurbanın hesabında gözüken parayı değiştirerek aslında para transfer edilmemiş gibi gösteriyor. Elbette bu değişiklik sadece kullanıcıya öyle gözüküyor. Bu modül sayesinde kurbanın ATM’ye gitmeden, telefon bankacılığı kullanmadan veya hesap ekstresi gelmeden dolandırıcılığı öğrenmesi mümkün olmuyor.spyeye_internet_bankaciligi_trojan_Zararli_kod
Fiyat: 200-300$

Şifre yakalayıcı: SMS ile kullanıcıya gönderilen tek kullanımlık şifreleri yakalayarak dolandırıcıya iletiyor.
Fiyat: 150-200$

Ek şifreleme teknikleri: Bazı online internet bankacılığı uygulamalarında kullanılan ek şifreleri atlatmak için.
Fiyat: 100-200$

Uyarılar: Bu modül zararlı kodlar bir kurbanın bilgisayarına bulaştığında kontrol paneline, Jabber veya MSN hesabına anında uyarı gönderiyor.
Fiyat: 100-200$

ATS: Bu otomasyon modülü sayesinde tüm işlemler insan müdahalesi olmadan gerçekleşiyor. Sistem kullanıcıya zararlı kod bulaştırıyor, tek kullanımlık şifreyi öğreniyor, parayı transfer ediyor, kurbanın online internet bankacılığı hesabındaki bakiyesini gizliyor.
Fiyat: 1500-2000$

Şu anda bu modüllerin İtalyan, İspanyol ve Alman bankaları için uyarlanmış halleri satışta. Satıcılar istek geldiği takdirde her ülkeye ait bankalara uyarlanabileceğini belirtiyor. Türk dolandırıcıların bunları farketmesi uzun sürmeyecek gibi gözüküyor.

Internette tehditler her zamankinden fazla

virus_trojan_malwareGerek karşı karşıya kalınan hack olayları, gerekse virüsler açısından 2012 yılı çok yoğun geçiyor. Tehdit seviyesinin hiç olmadığı kadar üst seviyelerde olduğu şu zamanlarda virüs, trojan ve zararlı kodların yayılmasında ciddi bir artış var. İstatistiklere göre en sık rastlanılan 10 virüs listesine geçtiğimiz ay hiç bir zaman olmadığı kadar çok yeni tehdit eklendi. Daha önceden bilinen fakat gittikçe yaygınlığı artan dört zararlı yazılım da hızla yayılıyor.

Yeni görülen dört zararlı yazılım dikkat çekici. Dört zararlı yazılımın da ortak yönü çeşitli yöntemler kullanarak kullancıları belirli internet sitelerine yönlendirerek bilgisayarlarına virüs bulaşmasını sağlamaları.

Bunlardan biri olan “JS/Agent” hack edilmiş internet sitelerinde tespit edilen bulaşıcı Javascript kodlarına verilen genel isim. Bu virüs listeye 5. sıraya kadar yükseldi. “JS/Iframe” ise internet tarayıcısı yazılımları zararlı başka yazılımlarla dolu internet sitelerine yönlendiriyor. Bu tür zararlı yazılımların kodları genellikle HTML dosyalarının içine gömülüyor.

Bir diğer yeni virüs olan “Win32&Sirefef” ise arama motorlarının sonuç sayfaları reklam bulunan sitelere yönlendiren bir trojan. İlk on tehdit listesinin sonuna yerleşen “JS/Redirector” ise internet tarayıcılarını zararlı yazılımlar bulunduran internet sitelerine yönlendiren bir trojan.virus_trojan_zararlikod_listesi-300x124

Listede dünyada en çok görülen tehdit ise “HTML/Scrinject.B” olarak listelendi. Bu virüs, güvenli olduğu düşünülen internet sitelerine yerleşerek kullanıcıları sahte linklere yönlendiriyor ve bilgisayarlarına zararlı yazılımlar indirmesini sağlıyor. “HTML/Scrinject.B” 2012 yılının ocak ayından beridir en çok görülen tehdit olma ünvanını koruyor.

Gizlice ses ve görüntü kaydeden trojan Georbot

Computer VirusYeni botnet W32/Georbot bulaştığı bilgisayarlardan web kamerası aracılığı ile ses ve görüntü kaydetme, ağ içerisinde dolaşma gibi yeteneklere sahip. Bu trojan kendini güncellemek için ise Gürcistan hükümetine ait bir internet sitesini kullanıyor.

Trojan her ne kadar tüm dünyada yayılsa da etkilenen bilgisayarların %70’i Gürcistan’da bulunuyor. Bu ülkeyi Almanya, Amerika ve Rusya takip ediyor. Trojanın diğer bir özelliği de “uzaktan masaüstü bağlantısı yapılandırma dosyalarını” çalması. Bu şekilde trojanı yazan kişiler bilgisayara hiç bir güvenlik açığına gerek kalmadan kolayca giriş yapabiliyorlar.

Dikkat edilmesi gereken bu trojanı Gürcistan hükümeti yazıyormuş gibi düşünmemek. Genelde bu tarz zararlı kod içeren ve hızla yayılan trojanların bulaştıkları sistemlerden sistem yöneticilerinin haberi olamayabiliyor.

Botnetin yönetim panelinde ise bulaştığı sistemlerde hedeflediği dökümanların içeriğine ait bir liste yer alıyor. Bu listedeki kelimelerin bazıları; “bakanlık, gizli, servis, ajan, Rusya, ABD, FBI, CIA, silah, FSB, KGB, telefon, numara” olarak sıralanıyor.