INFORMATION & SECURITY TECHNOLOGIES

Slide 1

INFORMATION & SECURITY TECHNOLOGIES

BOA -Trend Micro

Zararl Yazlm Analizi ve APTYasinSRERtwitter@yasinsurer

BOA INFORMATION AND SECURITY TECHNOLOGIESZararl YazlmlarVirslerSolucanlarRansomwareBotArka KaplarFork BombRAT

2

BOA INFORMATION AND SECURITY TECHNOLOGIESZararl Yazlm TarihiJohn Von NeumanKendini Kopyalayabilen OtomatlarFrederic B. CohenYaplan lk virs tanm80li yllar ve virsler90l yllar ve virsler2000 ve 20063

BOA INFORMATION AND SECURITY TECHNOLOGIESMotivasyonrenmek, Daha Fazla renmekNeler Yapabileceklerini Kefetmekizilen Snrlarn tesine GeebilmekKendini fade EdebilmekMesaj Kaygs4

BOA INFORMATION AND SECURITY TECHNOLOGIESEskiden Virs YazarlarYeni Teknikler GelitirmePolimorfik Mutasyon MotoruDark Avenger (MtE)Metamorfik VirslerZmistSimile5

BOA INFORMATION AND SECURITY TECHNOLOGIESGnmzde MotivasyonParaPolitik Grler ve MilliyetilikVb.6

BOA INFORMATION AND SECURITY TECHNOLOGIESZararl Yazlm TrleriHardware/Firmwareekirdek Seviyesinde (Kernel-Land)BootkitRootkitKullanc Seviyesinde (User-Land)7

BOA INFORMATION AND SECURITY TECHNOLOGIESZararl Yazlm Teknik zellikleriSanal Ortamlarn TespitiVirtualBoxVmwareHyper-VSktrlm Kod (Obfuscation)ifreleme (Encryption)8

BOA INFORMATION AND SECURITY TECHNOLOGIESGelimi Zararl YazlmlarStuxnetHIKITDuQuZeuSStuxnet SCADA9

BOA INFORMATION AND SECURITY TECHNOLOGIESZararl Yazlmlar ve KapasiteleriGrnt KaydetmeOrtam Dinlemesi A Trafiini DinlemeKlavye KaydetmeUzaktan KontrolVb.10

BOA INFORMATION AND SECURITY TECHNOLOGIESZararl Yazlmlar ve Teknik KapasiteleriAnti-Virsleri AtlatabilirlerFirewall Cihazlar/Yazlmlarn AtlatabilirlerSreleri GizleyebilirlerDizinleri/Dosyalar GizleyebilirlerNetwork Trafiini Gizleyebilirler11

BOA INFORMATION AND SECURITY TECHNOLOGIESZararl Yazlmlar ve Teknik KapasiteleriAnti-Virsleri AtlatabilirlerFirewall Cihazlar/Yazlmlarn AtlatabilirlerSreleri GizleyebilirlerDizinleri/Dosyalar GizleyebilirlerNetwork Trafiini Gizleyebilirler12

BOA INFORMATION AND SECURITY TECHNOLOGIESGelimi Kalc Tehditler (APT)BulamaKontrolKeifVeri Szdrma13

BOA INFORMATION AND SECURITY TECHNOLOGIESAPT - BileenleriInternet Yolu ile Gerekleen EnfeksiyonlarFiziksel Unsurlar ile Gerekleen EnfeksiyonlarHarici Ataklar14

BOA INFORMATION AND SECURITY TECHNOLOGIESAPT Internet ve Yazlm EnfeksiyonlarDrive-by DownloadElektronik Posta EkleriDosya Paylam ProtokolleriPhishing.Browser zerinde tespit edilen gvenlik aklarn kullanarak sisteme siz farketmeden indirir.15

BOA INFORMATION AND SECURITY TECHNOLOGIESAPT Fiziksel Zararl Yazlm EnfeksiyonlarEnfekte USB DisklerEnfekte CD ve DVDEnfekte Hafza KartlarEnfekte CihazlarArka Kap Alan (backdoored) IT Ekipmanlar16

BOA INFORMATION AND SECURITY TECHNOLOGIESAPT Harici AtaklarWi-Fi HackingCloud SunucularSunucularn Barndrld NoktalarProfesyonel Ataklarvb...17

BOA INFORMATION AND SECURITY TECHNOLOGIESAPT Hedeflerlk Hedefli Atak rneiU.S. Air Force 2006Askeri KurumlarDevlet KurulularBankaclk ve FinansSavunma SanayiiHerkes!18

BOA INFORMATION AND SECURITY TECHNOLOGIESAPT1 Unit 61398Merkez: in Halk CumhuriyetiPudong, Shanghai937 Komuta Kontrol Sunucusu13 farkl lkeden, 849 farkl IP adresiDnyann bir ok lkesinden, bir ok farkl kurulu hedef halinde.Sadece Amerika ve Kanada zerinde bulunan ve saldrlardan etkilenen kurulu says; 141

19

BOA INFORMATION AND SECURITY TECHNOLOGIESAPT Unit 61398

20

BOA INFORMATION AND SECURITY TECHNOLOGIESAPT1 Unit 61398En ok Hedeflenen Sektrler/KurumlarITHavaclkKamu KurulularTelekomnikasyonEnerjiFinansEitimVb.21

BOA INFORMATION AND SECURITY TECHNOLOGIESAPT1 Unit 61398Tek bir kurulutan alnan veri boyutu (sktrlm olarak) 6.5 terabyte .Saldrganlarn, szdklar sistemde en uzun, 1.764 gn, ortalama ise 356 gn kaldklar tespit edildi.

22

BOA INFORMATION AND SECURITY TECHNOLOGIESAPT1 Unit 61398Tek bir kurulutan alnan veri boyutu (sktrlm olarak) 6.5 terabyte .Saldrganlarn, szdklar sistemde en uzun, 1.764 gn, ortalama ise 356 gn kaldklar tespit edildi.23

BOA INFORMATION AND SECURITY TECHNOLOGIESrnek Bir APT SaldrsHIKITGelimi Bir Zararl Yazlmdr2011 Ylnda KefedilmitirAma: stihbarat ToplamakHedef: ABD Savunma Bakanl ile alan Mteahhit Firmalar.24

BOA INFORMATION AND SECURITY TECHNOLOGIESTeknik AnalizAnti-Virsler Tarafndan Tespit EdilemiyorFirewall Cihazlar tarafndan tespit edilemiyor.Kendisini Sisteme (Driver) Src Olarak Ekliyor.Uzaktan Kontrol Edilebiliyor25

BOA INFORMATION AND SECURITY TECHNOLOGIESBiraz Daha TeknikKk boyutlu bir *.exe ile sisteme bular.altrlabilir Dosya ierisinde oci.dll isimli bir ktphane barndrr.Bu DLL sisteme imzalanm driver modl ekler.Tm Sreler ekirdek modl zerinden iletilir.26

BOA INFORMATION AND SECURITY TECHNOLOGIESKod mzalama (Code Signing)

27

BOA INFORMATION AND SECURITY TECHNOLOGIESKod mzalama (Code Signing)

28

BOA INFORMATION AND SECURITY TECHNOLOGIESHIKIT ve Saldrgan letiimi

29


30


31


rutin32


33

BOA INFORMATION AND SECURITY TECHNOLOGIESRed October2007 ylndan beri zellikle Avrupa, Ortadou ve Asya blgesinde aktif.2012 ylnn Ekim aynda tespit edildi.Hedef: Devlet KurumlarRusyaranAmerikaTrkiyeAma: stihbarat34

BOA INFORMATION AND SECURITY TECHNOLOGIESRed October

35


36


37

BOA INFORMATION AND SECURITY TECHNOLOGIESFinFisherGamma Group Tarafndan Gelitirilmi bir zararl yazlmdrMerkezi ngilterede bulunan bir yazlm firmas.Lisans anlamas, 287,000lk Anlama rnei Hsn Mbarekin ofisinde bulundu.Ama: Siber stihbarat / Dijital GzetimHedef: Herkes!Kapasiteifreli letiimi Monitr EdebilirUzaktan Kontrol Edilebilir.38

BOA INFORMATION AND SECURITY TECHNOLOGIESFinFisher

39

BOA INFORMATION AND SECURITY TECHNOLOGIESFinFisher

40

BOA INFORMATION AND SECURITY TECHNOLOGIESFinFisher C&C

41

BOA INFORMATION AND SECURITY TECHNOLOGIESDexterDexter2012 Aralk Ayndan kefedilmitirWindows iletim Sistemini Hedef AlmaktadrAma: DolandrclkHedef: PoS SistemleriKapasiteUzaktan Kontrol Edilebilirald verilerin tamamn tek bir noktada toplar. 42

BOA INFORMATION AND SECURITY TECHNOLOGIESDexter

43

BOA INFORMATION AND SECURITY TECHNOLOGIESDexter

44

BOA INFORMATION AND SECURITY TECHNOLOGIESShamoonShamoon yada Disttrack2012 ylnda tespit edilmitir.AmaSiber stihbaratSabotajHedef: Enerji SektrSaudi Aramco30.000 adet makineye bulatBSOD!RasGas

45

BOA INFORMATION AND SECURITY TECHNOLOGIESShamoon

46

BOA INFORMATION AND SECURITY TECHNOLOGIESShamoon

47

BOA INFORMATION AND SECURITY TECHNOLOGIESFatMalFatmal19 Aralk 2012 ylnn sonlarnda kefedildiTrkiyede bir ok firma etkilendi TurkcellTHYOltalama (Phising) yntemi ile bulayordu.Tr: BotnetAma: Dolandrclk ?Hedef: Trkiye48

BOA INFORMATION AND SECURITY TECHNOLOGIESFatMal

49

BOA INFORMATION AND SECURITY TECHNOLOGIESFatMal Atak Gelen lkeler

50


51


52

BOA INFORMATION AND SECURITY TECHNOLOGIESGeorbotGeorbot2012 ylnn sonlarna doru kefedildi.lk versiyon 2010 ylna ait.Ama: Askeri stihbaratHedef: GrcistanZaman dilimine (Timezone) gre almaktadr.KapasiteleriEkran Grnts Ses KaytTm network tarayabilmeVb..53

BOA INFORMATION AND SECURITY TECHNOLOGIESGeorbot

54

BOA INFORMATION AND SECURITY TECHNOLOGIESGeorbotGrcistan zerinde yayn yapan web siteleri ele geirildi ve zararl yazlm yklendi. (Sadece spesifik bilgiler ieren sayfalara.)Bu haber sitelerini ziyaret edenlere zararl yazlm bulatrld.Zararl yazlm altrldnda sistem zerinde tam kontrol salyordu.Zararl sadece, belirli kelimeleri ieren dkman dosyalarn aryordu.Video ve Audio kayt zellikleri ile ortam dinlemesi ve grntleme yapabilmek mmkndr.55


56


57

BOA INFORMATION AND SECURITY TECHNOLOGIESFatMalFatmal19 Aralk 2012 ylnn sonlarnda kefedildiTrkiyede bir ok firma etkilendi TurkcellTHYOltalama (Phising) yntemi ile bulayordu.Tr: BotnetAma: Dolandrclk ?Hedef: Trkiye58

BOA INFORMATION AND SECURITY TECHNOLOGIESFatMalC&C CommRusya PolonyaXtreme RATHedefAmerikaIsrailngiltereTurkiye (D leri Bakanl)

59

BOA INFORMATION AND SECURITY TECHNOLOGIESDEMO

60

INFORMATION & SECURITY TECHNOLOGIESQ&AEOF61

Documents

INFORMATION & SECURITY TECHNOLOGIES