Yazılar

Yeni botnet sizi kullanarak başkalarını hackliyor

sql-injection-zayifligi-botnet-zararli-yazilim Yeni botnet sizi kullanarak başkalarını hackliyorYeni bir botnet hızla yayılmaya başladı. Marifeti bulaştığı sistemler üzerinden başka web sitelerindeki/sistemlerdeki zayıflıkları istismar etmek. Diğer bir deyişle bu botnet sizin sisteminize bulaştıktan sonra, sizin üzerinizden başkalarını hackliyor.

“Advanced Power” adlı bu botnet zararlı yazılımı kendisini bir Firefox eklentisi olarak sunuyor. İsmi “Microsoft .NET Framework Assistant” olarak geçiyor. Yaptığı genellikle bulaştığı sistemler üzerinden başka web sitelerindeki SQL injection açıklarını kullanmak.

Advanced Power öncelikle zayıflık bulunan web sitelerinin bir listesini güncelliyor. Botnet sadece açığı kullanmakla kalmıyor. Aynı zamanda bulaştığı web sitelerine zararlı kodlar yerleştirerek daha fazla sisteme, siteye bulaşıyor. Bu da hedef olabilecek sistemlerin, sitelerin sayısını ciddi şekilde arttırıyor.

Botnetin çok sayıda hassas bilgiyi çalabilme yeteneği var. Fakat henüz bu özellik aktive edilmemiş. Yani sadece komuta kontrol sistemi bulaştığı sistemleri, web sitelerini yöneterek daha da yayılmayı seçiyor. Şu an 12.500’ün üzerinde sistemin bu zararlı yazılımdan etkilendiği, 1.800 web sitesinin ise SQL injection açığının veritabanında bulunduğu biliniyor.

Diğer bir sıkıntı ise üzerinden başka yerlerin hacklendiği botnet kurbanları. Bu kişiler yasal olarakta o sisteme sızmış olarak kabul ediliyorlar. Bunun cezai yaptırımlarıyla yüzyüze gelmek zorunda kalıyorlar. Diğer bir önemli nokta ise adli süreçler başlayıp, bilirkişiler inceleme yapıp zararlı yazılım bulunmadan kendilerini aklamaları zor gözüküyor.

Cryptolocker verilerinizi çözülemeyecek şekilde şifreleyip para istiyor

Son dönemdeki en ünlü ransomware zararlı yazılımı Cryptolocker popülerliğini devam ettiriyor. Temel özellik olarak daha önce de veri şifreleyip para talep eden zararlı yazılımlarla karşılaşmıştık. Fakat Cryptolocker konuyu bir üst seviyeye taşıyor. Önceki yazılımlar kolayca kırılabilir, kaldırılabilir durumdayken Cryptolocker’da işler o kadar basit değil.

Zararlı yazılım, bulaştığı sistemde ana hedef olarak döküman ve fotoğrafları şifreliyor. Sadece bulaştığı sistem değil aynı zamanda o sistemin bağlı olduğu ağ sürücüleri ve harici diskler de dahil olmak üzere bu işlemi uyguluyor. Kullandığı şifreleme metodu genel, özel anahtar yapısına sahip, oldukça güçlü ve günümüz imkanlarıyla kırılması olanaksıza yakın gözüküyor. Yine de bu durumu garanti altına almak için sizden 72 saat içerisinde verilerinize ulaşmak için parayı yatırmanızı bekliyor.

Cryptolocker’dan korunmak için e-posta ile gelen eklentilere dikkat etmek, webden indirilen dosyaları kontrol etmek gerekiyor. Yine de bu tam olarak bir koruma sağlamıyor çünkü USB, P2P ağlar, E-posta, Web vb. her türlü platformdan zararlı yazılımın bulaşma ihtimali var. Cryptolocker bulaştıktan sonra yapılacak ilk şey ise sistemi tamamen ağdan izole ederek tüm ağ bağlantılarını iptal etmek. Güncel bir antivirus programı zararlı yazılımı temizlemeye yarıyor fakat yine de işletim sistemini yeniden kurmakta fayda var. Diğer yandan yedekleme prosedürlerini sıkı tutup gözden geçirmek gerekiyor.

cryptolocker-malware-zararli-yazilim Cryptolocker verilerinizi çözülemeyecek şekilde şifreleyip para istiyor
“Cryptolocker bulaşarak veri şifreleme işini hallettikten sonra geri sayıma başlıyor”

cryptolocker-malware-zararli-yazilim2 Cryptolocker verilerinizi çözülemeyecek şekilde şifreleyip para istiyor
“Bazı Cryptolocker varyantları masaüstüne ait duvar kağıdını da değiştirerek kullanıcıyı uyarıyor. Antivirusun Cryptolocker’ı verileri şifreledikten sonra yakalaması durumunda verilere ulaşmak için zararlı yazılımın tekrar indirilerek kurulması gerektiğini belirtiyorlar”

Yeni zararlı yazılım ATM’lere yükleniyor

malware-zararli-yazilim-atm-ploutus Yeni zararlı yazılım ATM'lere yükleniyorSiber suçluların değişmez hedeflerinden biri de para çekme cihazları olan ATM’ler. Şu sıra daha yenilikçi yollarla ATM’lere saldırmaya devam ediyorlar. Bunlardan en yenisi, geçen hafta keşfedilen “Ploutus” adlı zararlı yazılım.

Geçen hafta keşfedilen bu zararlı yazılım siber suçlunun doğrudan ATM’i kontrol edebilmesine imkan tanıyor. Saldırgan ATM’in tuş takımında veya interaktif ekranındaki belli menülere, tuşlara tıklayarak cihazdan doğrudan para çekebiliyorlar.

Saldırganlar kendileri için hazırladıkları zararlı yazılıma ait özel menüye belirli tuş kombinasyonlarını gerçekleştirdikten sonra ulaşıyorlar. Sonraki aşamada ise Ploutus zararlı yazılımı doğrudan ATM yazılımını kontrol edebiliyor. Şu an için Meksika’da siber suçlular cihazların bulunduğu kapalı kısımların kilitlerini açıp, cihazların görünebilir yerdeki cdrom sürücülerine ulaşarak Ploutus zararlı yazılımını doğrudan sisteme yüklüyorlar.

Siber mafyanın Ploutus’un farklı şekilde bulaşan ve yayılabilen versiyonları ile ilgili çalışmalarını sürdürdüğü biliniyor. Zararlı yazılımın avantajı kimseye ait kişisel bilgi, finansal bilgi ele geçirmeye gerek kalmadan doğrudan ATM cihazlarından para çekebilmeyi sağlaması.

Hackerlar 22 saat içinde harekete geçiyor

hackerlar-22-saat-icinde-exploit-ediyor Hackerlar 22 saat içinde harekete geçiyorHer hafta yazılarımızla siber tehditler ile ilgili en güncel bilgileri aktarmaya çalışıyoruz. Bu gelişmeler TerraMedusa Siber İstihbarat altyapısına detaylı analizleri ile birlikte anlık olarak düşse de, ayrıcalıklı müşterilerimiz hariç sizlere haftalık olarak özet bilgileri aktarabiliyoruz.

En çok rastladığımız anlık düşen bilgilerin bazen bir hafta, bazen iki haftayı bulacak bir süre sonra herkesçe erişilebilir kaynaklara ulaşıyor olması.

Bilginin önem kazandığı, önce öğrenenin kazandığı çağda bu bilgileri siber saldırganlar da hızlıca değerlendiriyor.

Artık siber suçlular ışık hızıyla siber güvenlik ile ilgili gelişmeleri exploit ederek kullanma yarışına girmiş durumda. Bu bazen haberlerde “son dakika gelişmesi” olarak duyurulan bir uluslararası haberin zararlı yazılım olarak dağıtılması için fırsat oluyor, bazen ise firmaların yaptığı yazılım, hizmetlerin exploit edilerek farklı şekillerde kullanılması olarak gelişiyor.

Bir güvenlik açığının bulunması, bir haberin zararlı kod olarak dağıtılabilmesi o konunun afişe olmasından sonra yaklaşık 22 saat içinde gerçekleştiği görülüyor. Reel örneklere gelecek olursak 6 Ekim’de zararlı yazılım dağıtıcılarının tasarladığı haberde ABD’nin Suriye’ye hava saldırısı başlattığı duyurularak “The United States Began Bombing” konulu e-postalar yayılmaya başlamıştı. Elbette çok sayıda kişi bu e-postalar yardımıyla zararlı yazılıma maruz kaldı.

Benzer saldırıları bir yazılımın yeni açığı bulunduğunda da hızlıca uygulandığını görererek sıkça yaşıyoruz. Diğer örneklerde ise Mart 2013’de yeni Papa’nın seçilmesi, Nisan 2013’de yapılan Boston maratonu bombalı saldırısı gibi exploit edilebilecek gelişmelere sıkça şahit oluyoruz.

njRAT tüm bölgeyi tehdit ediyor

njrat-remote-access-trojan njRAT tüm bölgeyi tehdit ediyorYeni bir RAT (Remote Access Trojan) zararlı yazılımı browserda saklanan verileri çalıyor, tuş vuruşlarını kaydediyor ve webcamleri uzaktan aktive edebiliyor. Hedef ise Türkiye’nin de aralarında bulunduğu orta doğu ülkeleri.

Adına “njRAT” denilen zararlı yazılım özellikle devlet, telekominikasyon ve enerji sektöründe bulunan orta doğu ülkelerindeki hedefleri seçiyor. Analizlere göre saldırganlar “authorization.exe” adlı bir dosyayı Microsoft Word veya PDF formatında dosyalar içerisine gömerek ulaştırıyorlar. Dosyalar mail yolu ile geliyor. Fakat kurban dosyayı çalıştırdıktan sonra zararlı yazılım kendisini USB yoluyla dağıtabiliyor. Ayrıca bulaştığı ağa uzaktan erişim de sağlıyor.

Buna ek olarak tuş vuruşlarını kaydetmek, bulaştığı sistemlerin kameralarını kontrol etmek, şifrelerini çalmak, istenilen dosyaları göndermek/almak, registry üzerinde değişiklik gibi pek çok özellik zararlı yazılım ile birlikte aktive oluyor. Zararlı yazılım ağdaki bir sisteme bulaştıktan sonra saldırgan o sistem njrat-control-anel njRAT tüm bölgeyi tehdit ediyorüzerinden tüm ağı tarıyarak diğer hedefleri tanımlayarak daha özellleştirilmiş saldırılar yapabiliyor.

 

njRAT uzaktaki bir yönetim merkezine (C&C sunucusu) bağlanarak şifreli olarak haberleşiyor, bilgi gönderiyor, komut alıyor. Her bulaştığı sistemi, ağı tanımlarken kullanılan farklı üretilmiş bir kod oluyor. Yönetim merkezi bulaştığı sistemlerin seri numaraları, sistem isimleri, sistem lokasyonlarını, işletim sistemi ismini ve versiyonlarını çekmeyi ihmal etmiyor.

njRAT zararlı yazılımını barındıran sunuculardan ikisi Vietnam ve İngiltere olarak belirlendi. Fakat bu gerçek orjin hakkında pek net bilgi vermiyor. Kaynak herhangi bir ülke olabilir.

Tehlikeli trojan Carberp yenileniyor

carberp-internet-bankaciligi-zararli-yazilimi Tehlikeli trojan Carberp yenileniyorBilinen en gelişmiş internet bankacılığı zararlı yazılımlarından olan Carberp ile ilgili sıcak gelişmeler oluyor. Aralık 2012’de yayınlanan son versiyonu yeni bir bootkit modülüne sahip olan zararlı yazılım siber mafya tarafından 10.000 dolar ile 40.000 dolar arasında rakamlarla “aylık” kiralama yöntemiyle satılıyordu.

Carberp ilk olarak 3 yıl önce tespit edilmişti. O zamandan beridir diğer ünlü internet bankacılığı zararlı yazılımları Zeus ve SpyEye için tam bir alternatif oluşturuyor. Boot sektörüne bulaşmaya izin veren modülü sayesinde siber suçlular epeyi bir süre antivirus yazılımlarını atlatarak kurbanlarının sistemini yönetebildiler.

İlk kez Haziran 2012’de zararlı yazılım ABD İçişleri Bakanlığının izni ve sağladığı imkanlar ile yakalanan 6 kişilik bir dolandırıcılık şebekesinin sistemlerinde incelenebildi. Bu olaydan gizemi çözülen Carberp’i programlayanlar yeni bir yöntem tercih etmeye başladı. Artık yazılımı sınırsız yönetim ve dağıtım imkanlarıyla satmak yerine kiralama şeklinde sunmaya başladılar. Bunun yarattığı en büyük tehdit çok az teknik bilgiye sahip kişilerin bile zararlı kod içeren bir dosya ile rahatlıkla insanların paralarını internetten çalabilmesine olanak tanımasıydı.

Satıcılar sıkı çalışarak aralarında WellsFargo, Citi, JP Morgan Chase, Bank of America, TD Bank ve TerraMedusa Siber İstihbarat Altyapısının tespit ettiği “2 Türk bankasını” içeren web-injection modüllerini piyasaya sundular.

Son gelişmeyle ise işler iyice karıştı. Bir süredir siber suçlular 5.000 dolar gibi bir rakama Carberp internet bankacılığı zararlı yazılımının kaynak kodunu satmaya başladılar. Satılan kaynak kodu Carberp’in full kaynak kodu. Kod içerisinde yazanın notlarını bile görmek mümkün. Paket içerisinde kaynak kodu, web-injection modülleri, solucan modülü Gavazar, bootkit modülü, köle sistemleri yönetmek için admin paneli, yaması yayınlanmış Windows açıkları için exploitler bulunuyor.

Aslında Carberp’in kaynak kodunun böyle düşük bir fiyata satılması bir sondan çok başlangıcı temsil ediyor. Son 2 yılda Carberp’in 10 milyondan fazla sisteme kurulduğu düşünülüyor. Bu sayının içerisine zararlı bulaşan sistemler, tespit edilebilen varyantlar, banka sistemleri dahil. Daha önceki zararlı yazılım frameworklerinde olduğu gibi eğer çok güçlü bir projenin kaynak kodları sızıyorsa, yolda yayınlanmayı bekleyen çok daha güçlü bir zararlı yazılım geliyor demektir.

Yine Android, yine risk

android-malware-zararli-yazilim Yine Android, yine riskBugünlerde iki aşamalı kimlik doğrulama sistemi eğer Android kullanıyorsanız yeterince güvenli olmayabilir. Yeni Android zararlı yazılımı “Android.Pincer.2.origin” bulaştığı telefonlardaki mesaj trafiğini takip ederek siber suçlulara iletiyor. Zararlı yazılım “Android.Pincer” zararlı yazılımının yeni bir türevi.zararli-yazilim-android-internet-bankaciligi Yine Android, yine risk

Bir Rus antivirüs firması tarafından tespit edilen zararlı yazılım kendini bir güvenlik sertifikası olarak gizleyerek cihaza yükleniyor. Fakat arka planda zararlı yazılım telefona dair tüm verileri topluyor. Bunlar arasında cihazın seri numarası, IMEI numarası, modeli, kullanılan şebeke, telefon numarası, işletim sistemi versiyonu gibi bilgiler bulunuyor.

Bu ele geçirilen veriler siber suçlular tarafından yönetilen sunuculara iletiliyor. Tüm bu bilgiler iletildikten sonra zararlı yazılım, onu yöneten kişilerden komut bekliyor. Bu aşamada zararlı yazılımı yöneten kişiler gelen smsleri kendilerine yönlendirebiliyor, istedikleri başka numaralara yönlendirebiliyor, silebiliyor, USSD mesajları gönderebiliyor.

Zararlı yazılım iki aşamalı kimlik doğrulamayı güvensiz hale getirmek için telefona gelen mesajları tanıyıp istediği gibi yok sayabiliyor veya siber suçlulara iletebiliyor. Internet bankacılığı gibi finansal işlemler için kullanılan mTAN kodları da bunlara dahil.

Red October: 5 senelik gizemli tehdit

red-october-kizil-ekim-rocta Red October: 5 senelik gizemli tehditSon keşfedilen Çin kaynaklı Kızıl Ekim (Red October) operasyonunun daha çok etkileri üzerine odaklanılırken,  antivirüs ve ağ saldırı tespit sistemlerinden en az 5 yıl süreyle kaçınmayı başaran amacına gösterilen ilgi ise oldukça yetersizdi.

Bu operasyonda kullanılan zararlı yazılım keylogger gibi birçok geleneksel işlev içeriyordu. Fakat bu geleneksel yeterlilikler üzerine odaklanmak çok önemli bir kilit noktasının gözden kaçırılmasına neden oldu: Kimlik bilgileri ve kişisel dosyalar gibi yerel verilerin çalınması.

Kızıl Ekim iki ilginç durum içeriyordu:

– Saldırganların, yeni kurbanlarına gönderdikleri maillere aynı sektörde yer alan önceki kurbanlarının bilgilerinden elde ettikleri ilgi çekecek verileri ekleyerek daha az şüphe uyandırmaları.

– Önemli veri merkezlerini belirleme ve ulaşım yeteneği.

Bu siber-casusluk operasyonun kurbanları ise en çok koruma altında olan ve tehditlerin farkında olan sektörler; hükümet, enerji, havacılık ve askeri üsler vs. gibi. Bu kurbanlardan ele geçirilecek potansiyel bilgiler içeriğine ve çeşidine göre farklılık göstermekte: Toplantılara, stratejik planlara ait sunum ve dosyalar, finansal kayıtlara sahip veri tabanları, CRM kayıtları, silah ve altyapıya ait teknik çizimler, önemli email yazışmaları ve daha fazlası.

Kızıl Ekim operasyonunda kullanılan zararlı yazılımın adı Rocra. Rocra APT saldırısı için gerekli her bir element için spesifik modüller içeriyor:  Keşif toplama, yayma, devamlılık, veri çekme ve dışarı veri aktarma. Bu malware özellikle hem yapılandırılmamış veri (dosya) hem de yapısal veri (veritabanı kayıtlarına) erişim yeteneğine sahip dahası yüklenmiş yazılımlardan en çokta Oracle tabanlı veritabanlarından bilgi toplayabilir özellikte. 

Peki bu modüller ne yapar, bazılarını açıklayalım:

– “Recon – Keşif toplama” modülünün amacı saldırganın doğru veriyi bulmasına yardımcı olmak.red-october-kizil-ekim-saldiri-moduller Red October: 5 senelik gizemli tehdit

– “Exfiltration – Veri dışarı aktarma” modülünün amacı veriyi saldırgana ulaştırmak.

Genel olarak Rocra modülleri, FTP sunucularına erişim, ağ paylaşımlarının, yerel disk sürücülerinin kontrolü ve bu kaynaklardan dosya kopyalama yeteneğine sahip. Saldırganın isteğine bağlı olarak devre dışı bırakılabilen “Recon” modülünün aksine “Exfiltration” modülü sürekli olarak çalışıp sadece yeni değerli veri getirmek için tasarlanmıştır.

Kurbanların ağlarına ve uç noktalarına sızma, özenle hazırlanmış email mesajlarına eklenen Excel ve Word dosyaları üzerinden gerçekleştiriliyor. Ekli dosyalarda kurbanla aynı sektörden eski kurbanlara ait veriler bulundurularak şüpheli olabilecek bir e-mail böylelikle meşru bir e-mail olarak yansıtılıyor. Rocra, C&C ile dosya içeriği aynı zamanda dosya boyutunu değiştiren bir veri aktarımı protokolü uyguladığından bu saldırıda muhtemelen DLP çözümleri de yenilgiye uğramış durumda.

Bu veri hırsızlığı tespit etmek ve önlemek mümkün müydü? Evet. Sadece ağ çevresini ve uç noktalarını izlemek yerine kurbanların kendi verilerini daha yakından izlemesi, zayıflıklarının denetlenmesi sağlanabilirdi.