Embed Size (px)
Citation preview
OFFICE DOSYALARININ TAŞIDIĞI FİDYE
ZARARLISI RİSKLERİ
Yayın: 03.10.2016
İÇİNDEKİLER
Fidye Zararlıları Neden Makrolar? Siber Güvenlik Teknolojilerinin Yetersizliği Örnek Bir Zararlı Yazılım Analizi Çözüm Önerileri
o Bireysel Çözüm Önerilerio Kurumsal Çözüm Önerileri
Sinara Labs | www.sinaralabs.com | @Sinaralabs
2
Fidye ZararlılarıSon iki yılda kurumların ve kişilerin kabusu haline gelen CryptoLocker zararlısı ilk olarak 2013 yılının Eylül ayında karşımıza çıktı. CryptoLocker, fidye kategorisinde yer alan tehlikeli bir (ransomware) truva atı türüdür. İlk başlarda Microsoft Windows işletim sistemlerini hedef alan bu zararlının zamanla Android cihazlar ve Mac bilgisayarlar için versiyonları da üretilmiştir.
CryptoLocker zararlısı genellikle e-posta eklerinden bilgisayara bulaşarak, bilgisayarınızdaki ve bağlı ağlarda bulunan disklerin içerisindeki bazı dosya türlerini şifrelemektedir. Ardından da kullanıcıya şifreli dosyaların fidye ödemeden çözülemeyeceğini belirten bir mesaj görüntüler. Bazı türlerinde verilen süre içerisinde fidye ödenmediği takdirde şifreli dosyaların geri getirilemeyeceği tehdidinde bulunmaktadır.
Ülkemizde en yaygın haliyle bu zararlılar sahte e-fatura içeren e-postalar yolu ile yayılmaktadır. Ancak saldırganların virüsü yayacak yeni yöntemler geliştirmeye devam ettiklerini de unutmamamız gerekiyor. Son haftalarda sıkça görülen yeni bir yayılma yöntemi olarak Office belgelerindeki makroları görüyoruz.
Not: Daha önce Türkiye’ye özgü yapılmış Cryptolocker anketinin sonuçlarına buradan ulaşabilirsiniz.
Neden Makro?Ofis formatındaki dosyalarda iş dünyasından hesap uzmanları ve bilgi işlem çalışanlarının sıklıkla kullandığı işleri bir formüle bağlamak veya otomatize etmek için kullanılır.
Macrolar sayesinde bilgisayarda kod veya komut çalıştırmak mümkün olduğu için, saldırganlar bu yöntemi sıklıkla kullanmaktadırlar.
Excel, word ve benzeri ofis dosyalarına ustaca saklanmış zararlı kodlar (zararlı makrolar) bilgisayarınıza casus yazılım bulaştırmak ve verilerinizi şifreleyip karşılığında fidye istemek için kullanılabilir.
Siber Güvenlik Teknolojilerinin YetersizliğiPratikte bilinen antivirus yazılımları ve sandbox çözümleri yeni nesil zararlılara karşı büyük oranda başarısız olmaktadır. Bu durumun en büyük nedeni ise dijital imzalarını sürekli değiştirme yeteneğine sahip yeni nesil zararlıların artık imza tabanlı ve statik analizler ile tanınamamasıdır.
Zararlı yazılım geliştiricisi kötü niyetli saldırganlar geliştirdikleri yöntemler ile sezgisel ve davranış tabanlı otomatik analiz mekanizmalarını atlatabilmektedir. Bazı durumlarda ise bu teknolojilerin yeni zararlıları keşfetmede geç kalabildiklerini görmekteyiz.
Sinara Labs | www.sinaralabs.com | @Sinaralabs
3
Örnek Bir Fidye ZararlısıAşağıdaki örnekte e-posta kutumuza düşen bir postanın analizini sizlerle paylaşıyoruz.
Hiç beklemediğiniz bir başlıkta veya hiç beklemediğiniz bir kişiden sizi ilgilendirdiğini düşündüğünüz bir e-posta alabilirsiniz. Bu zararlı e-postalar bir tanıdığınızdan ya da beklediğiniz bir kaynaktan geliyormuş gibi (taklit edilebilir) görünebilir! Eposta kandırısı ile bir başkası adına eposta göndermenin mümkün olduğunu bir kez daha hatırlatarak analizimize başlıyoruz.
Resim - 0 “Excel dosyası eklenmiş zararlı bir e-posta örneği”
Örnek Bir Zararlı Yazılım AnaliziGenel olarak “Locky Ransomware” olarak isimlendirilen zararlı, Resim - 0’da görülebildiği gibi bir e-posta ile kurbana gönderiliyor. Kurban e-postasına gelen Excel dosyasını indirip, çalıştırdığı zaman Excel içerisindeki makrolar aktif oluyor ve zararlı yazılım makrolar sayesinde çalışmaya başlıyor.
Bu örnekte, inandırıcı olması için dosya ismi seçilirken kurumsal bir isimlendirme yapıldığı dikkatimizi çekiyor. Daha önceki benzer Cryptolocker fatura virüsü örneklerinde de inandırıcılığın artırılması için fatura isimlerinin özenle seçildiğini görmüştük.
Sinara Labs | www.sinaralabs.com | @Sinaralabs
4
Resim - 1 “Dosya ismi inandırıcılığı artırmak için kurumsal ortamlarda kullanılan şablona sahiptir.”
Dosyamızın analizine başladığımızda ilk olarak Excel içerisine yerleştirilmiş olan makrolar dikkatimizi çekiyor. Makrolar, Excell ile birlikte çalışarak kurbanın bilgisayarına arka planda Excel’in makro özelliği istismar edilerek paylodı indirme üzerine inşaa edildiği dikkatimizi çekiyor.
Resim -2‘de makro kodlarını analiz ettiğimiz zaman öncelikle encrypt edilmiş (şifrelenmiş) payloadı bir internet sunucusu üzerinden bilgisayara indirerek işleme başlıyor.
Resim - 2 “Zararlı kod parçalarının indirme adresi”
Sinara Labs | www.sinaralabs.com | @Sinaralabs
5
Excel veya Word formatındaki Office dosyaları, makroların işlevselliği sebebiyle siber saldırılarda kullanılan en etkin suistimal kaynaklarına dönüşmüş durumdadır. Zararlı Excel dosyasındaki makroları incelediğimizde şifrelenmiş içeriğin internetten indirilerek çözüldüğü ve çalıştırıldığı dikkatimizi çekiyor.
Zararlı yazılım geliştiricisi, kodu karmaşıklaştırarak analizini ciddi anlamda zorlaştırıcı süreçlere pek başvurmamış.
Resim - 2’de görebileceğiniz gibi Nutrahacks.com alan adı üzerinden suistimal sonrası sistemde çalışacak ve yetkisiz işlevleri gerçekleştirecek olan içeriği indirme ve çalıştırma işlemi görülüyor. Zararlı makro kodlarını yazan kişi kurbanın bilgisayarındaki dosyaları şifrelemek için gerekli olan işlevi görecek kod parçasını indiriyor ve ardından kodu çözümleyerek çalıştırıyor.
Resim - 3 “Locky macrosu ilk olarak şifreli halde ki kod parçasını indiriyor.”
İndirilen zararlı içerik, çözümlendikten sonra DLL dosyası formatında %USERPROFILE%\temp dizinine siluans.dll adı ile dosya yazılıyor. Standart Ransomware zararlılarının kullanıldığı bir yöntem olduğunu ve bu enjeksiyon metodu ile şifreleme işleminin resim 4 ve 5’de başlatıldığını görmekteyiz.
Sinara Labs | www.sinaralabs.com | @Sinaralabs
6
Resim -4 “Enjekte yöntemi”
Resim - 5 “DLL enjekte yöntemi”
Excel dosyası içerisinde yer alan zararlı makro kodlarının bir diğer aşamaya Resim - 6’da geçtiğini görüyoruz. Locky Ransomware için gerekli olan DLL dosyasının makro yardımı ile Rundll32.exe dosyasını kullanılarak qwerty fonksiyonu çağrılıyor.
Resim - 6 “Rundll32.exe qwerty fonksiyonu”
Siluans.dll dosyasını analiz ettiğimiz zaman şifreleme anahtarı için eriştiği komuta kontrol sunucusu ve şifreme işlemi esnasında gerçekleştirdiği File I/O aktiviteleri aşağıdaki gibi resim - 7, 8 ve 9’da görebilirsiniz.
Resim - 6 “Rundll32.exe qwerty fonksiyonu”
Sinara Labs | www.sinaralabs.com | @Sinaralabs
7
Resim - 7 “Anahtar erişimi”
Resim - 8 “Şifrelenen dosyalar tekil bir sıra numarası ve odin eklentisi ile diske tekrar yazılıyor.”
Zararlı yazılımı oluşturan kişinin tekil sıra numaraları kullanarak tek tek yani dosya başına ücretlendirme alternatifi ile geri kazandırma fonksiyonu geliştirdiğini görüyoruz.
Sinara Labs | www.sinaralabs.com | @Sinaralabs
8
Resim - 9 “Encryption key için plain-text bir kanal tercih ediliyor..”
Resim - 9’da şifreleme anahtarı için Plain-Text bir kanal tercih ettiğini görüyoruz. Kısacası şifreleme anahtarı için ek bir güvenlik katmanına ihtiyaç duymadığını söyleyebiliriz.
Resim - 10 “Şifreleme işlemi sonrasında standart Ransomware karşılama ekranımız ortaya çıkıyor.”
Sinara Labs | www.sinaralabs.com | @Sinaralabs
9
Resim 10’da şifreleme işlemi tamamlandıktan sonraki karşılama ekranı görülüyor. Bu aşamaya kadar Ransomeware zararlısının Excel dosyası içerisindeki makro ile nasıl harekete geçtiğini, şifreleme için gerekli olan kod parçasını internet üzerindeki bir sunucudan nasıl aldığını ve şifreleme tamamlandıktan sonra Master Key’in sunuculara gönderilerek, kurbanın her zaman olduğu gibi karşısına bir mesaj çıkartarak fidye istediğini tespit ettik.
Resim - 11 “Şifrelenmiş dosyalarımızı sadece tor browseri yolu ile kurulan bir kanal üzerinden çözebiliyoruz.”
Mesaj içeriğinde görüldüğü gibi şifrenin çözülmesi için saldırganın TOR ağı altında fidye ödeme yöntemlerini listelediğini görüyoruz. TOR altyapısı ile bağlanılan site üzerinde ödeme işlemi ve şifrenin çözülmesi için gerekli olan açıklamalar yapılmış durumda.
Sinara Labs | www.sinaralabs.com | @Sinaralabs
10
Çözüm ÖnerileriKısaca özetlemeye çalıştığımız Ransomeware analizi sonucunda aşağıdaki gibi bireysel ve kurumsal çözüm önerilerini dikkatinize sunuyoruz.
Bireysel Çözüm Önerileri
Bu veya benzeri saldırıların ağırlıklı olarak e-posta üzerinden gerçekleştiğini göz önüne alarak antispam veya antivirus korumanızı sıkılaştırmanızı önermekteyiz.
Kişisel bilgisayarlarınızda sezgisel antiloggerlar kullanın. Kaynağına güvenmediğiniz Office dosyaları için makroları etkisiz hale getirin. Tanımadığınız kişilerden gelen ekli dosyaları açmayın! Fatura, Kargo başlıklı epostalara karşı da benzer şüpheyle yaklaşın.
Kurumsal Çözüm Önerileri
Antispam Gateway çözümünüzü sıkılaştırın ve bilinen randsomeware tehlikelerine karşı tatbik edin.
Çalışanlarınızı bu ve benzeri saldırılara karşı oltalama testleri ile ölçümleyip, birey ve grup özelinde eğitimler gerçekleştirin.
Randsomeware alan adı istihbaratı riski önlemede sağlıklı bir çözümdür. Mutlaka benzer servislerden faydalanın.
Sinara Labs | www.sinaralabs.com | @Sinaralabs
11
Sinara Labs HakkındaSinara Labs, yeni nesil oltalama saldırılarına karşı kendini geliştiren, güvenlik ürünlerini test eden ve kurum çalışanlarının bilgi güvenliği farkındalığını artıran bir güvenlik çözümüdür.
Sinara Labs ile çalışanlarınızın bilgi düzeyini ölçmek için yüzden fazla senaryo barındırmaktadır. Kurumların hassas verilerini ve kullanıcı yetkilerini ele geçirmek isteyen siber suçlulara karşı, IT yöneticileri için özel raporlar oluşturarak savunma sistemlerinin test edilmesini sağlayan Sinara Labs, hedef odaklı saldırılara karşı ciddi oranda başarı sağlar.
Sinara Labs ile birbirinden farklı onlarca senaryo kullanarak kurum çalışanlarınız için oltalama testleri gerçekleştirebilir, her departman için ayrı bir uygulama yapabilirsiniz. Yapılan her oltalama testi sonucu detaylı olarak raporlanarak zafiyetleriniz için aksiyon almanıza olanak sağlanır.
Sinara Labs sayesinde kimlik hırsızlığı, kişisel veri güvenliği ve hassas verilerin bulunduğu kritik sistemlere erişim gibi yüksek risk taşıyan noktalara gerçek senaryolar ile simülasyon testlerini yapabilir ve saldırılara karşı bilinç oluşturabilirsiniz.
Sinara Labs, 2014 yılında milli bir yazılım olarak üretilmiş ve bugüne kadar bankacılık, finans, enerji, telekom gibi kritik sektörlerde ve ülkemizin en önemli kurumlarında kullanılmaya başlanmıştır.
Daha fazla bilgi almak için [email protected] e-posta adresimiz ile iletişime geçebilirsiniz.
Sinara Labs | www.sinaralabs.com | @Sinaralabs
12
![dfek`Rp i]gfik fe ZYec g]i^fidYe[] · fe ZYec g]i^fidYe[] nak` [fdd]ekYip-81( I COMMENTARY IN BRIEF The Slovenian banking system is facing a sharp decline in economic indicators caused](https://img.pdfslide.net/doc/110x75/5fadabc1e65f862a816f9c08/dfekrp-igfik-fe-zyec-gifidye-fe-zyec-gifidye-nak-fddekyip-81-i-commentary.jpg)
![dfek`Rp i]gfik fe ZYec g]i^fidYe[] · Investments in subsidiaries, joint ventures and associates 627 1.3 509 1.2 953 2.3 0.0 444.2 0.0 85.0 Other assets 928 1.9 823 2.0 839 2.0 0.3](https://img.pdfslide.net/doc/110x75/5f757e7c12e9cd65f6220e34/dfekrp-igfik-fe-zyec-gifidye-investments-in-subsidiaries-joint-ventures-and.jpg)
![dfek`Rp i]gfik fe ZYec g]i^fidYe[] · Net income 400.5 37.3 483.8 42.0 446.0 42.8 524.9 45.4 17.7 Net impairments and provisions 42.7 4.0 47.1 4.1 55.4 5.3 59.0 5.1 6.4 Pre-tax profit](https://img.pdfslide.net/doc/110x75/5f757e2635e8fb23a2549848/dfekrp-igfik-fe-zyec-gifidye-net-income-4005-373-4838-420-4460-428-5249.jpg)
