Office dosyalarinin taşidiği fidye zararlisi riskleri Yayın: 03. 10. 2016 İÇİndekiler

Yüklə 41,71 Kb.

tarix	14.04.2018
ölçüsü	41,71 Kb.
	#38331
növü	Yazı

OFFICE DOSYALARININ TAŞIDIĞI FİDYE

ZARARLISI RİSKLERİ

Yayın: 03.10.2016

İÇİNDEKİLER

Fidye Zararlıları
Neden Makrolar?
Siber Güvenlik Teknolojilerinin Yetersizliği
Örnek Bir Zararlı Yazılım Analizi
Çözüm Önerileri
- Bireysel Çözüm Önerileri
- Kurumsal Çözüm Önerileri

Fidye Zararlıları

Son iki yılda kurumların ve kişilerin kabusu haline gelen CryptoLocker zararlısı ilk olarak 2013 yılının Eylül ayında karşımıza çıktı. CryptoLocker, fidye kategorisinde yer alan tehlikeli bir (ransomware) truva atı türüdür. İlk başlarda Microsoft Windows işletim sistemlerini hedef alan bu zararlının zamanla Android cihazlar ve Mac bilgisayarlar için versiyonları da üretilmiştir.

CryptoLocker zararlısı genellikle e-posta eklerinden bilgisayara bulaşarak, bilgisayarınızdaki ve bağlı ağlarda bulunan disklerin içerisindeki bazı dosya türlerini şifrelemektedir. Ardından da kullanıcıya şifreli dosyaların fidye ödemeden çözülemeyeceğini belirten bir mesaj görüntüler. Bazı türlerinde verilen süre içerisinde fidye ödenmediği takdirde şifreli dosyaların geri getirilemeyeceği tehdidinde bulunmaktadır.

Ülkemizde en yaygın haliyle bu zararlılar sahte e-fatura içeren e-postalar yolu ile yayılmaktadır. Ancak saldırganların virüsü yayacak yeni yöntemler geliştirmeye devam ettiklerini de unutmamamız gerekiyor. Son haftalarda sıkça görülen yeni bir yayılma yöntemi olarak Office belgelerindeki makroları görüyoruz.

Not: Daha önce Türkiye’ye özgü yapılmış Cryptolocker anketinin sonuçlarına buradan ulaşabilirsiniz.

Neden Makro?

Ofis formatındaki dosyalarda iş dünyasından hesap uzmanları ve bilgi işlem çalışanlarının sıklıkla kullandığı işleri bir formüle bağlamak veya otomatize etmek için kullanılır.

Macrolar sayesinde bilgisayarda kod veya komut çalıştırmak mümkün olduğu için, saldırganlar bu yöntemi sıklıkla kullanmaktadırlar.
Excel, word ve benzeri ofis dosyalarına ustaca saklanmış zararlı kodlar (zararlı makrolar) bilgisayarınıza casus yazılım bulaştırmak ve verilerinizi şifreleyip karşılığında fidye istemek için kullanılabilir.

Siber Güvenlik Teknolojilerinin Yetersizliği

Pratikte bilinen antivirus yazılımları ve sandbox çözümleri yeni nesil zararlılara karşı büyük oranda başarısız olmaktadır. Bu durumun en büyük nedeni ise dijital imzalarını sürekli değiştirme yeteneğine sahip yeni nesil zararlıların artık imza tabanlı ve statik analizler ile tanınamamasıdır.

Zararlı yazılım geliştiricisi kötü niyetli saldırganlar geliştirdikleri yöntemler ile sezgisel ve davranış tabanlı otomatik analiz mekanizmalarını atlatabilmektedir. Bazı durumlarda ise bu teknolojilerin yeni zararlıları keşfetmede geç kalabildiklerini görmekteyiz.

Örnek Bir Fidye Zararlısı

Aşağıdaki örnekte e-posta kutumuza düşen bir postanın analizini sizlerle paylaşıyoruz.

Hiç beklemediğiniz bir başlıkta veya hiç beklemediğiniz bir kişiden sizi ilgilendirdiğini düşündüğünüz bir e-posta alabilirsiniz. Bu zararlı e-postalar bir tanıdığınızdan ya da beklediğiniz bir kaynaktan geliyormuş gibi (taklit edilebilir) görünebilir! Eposta kandırısı ile bir başkası adına eposta göndermenin mümkün olduğunu bir kez daha hatırlatarak analizimize başlıyoruz.

https://lh5.googleusercontent.com/n9bi6x0i6jbfjnastmzbltdybgj2d7q8tf4g9rphhvkf0xylntq0wyzucfgwewdcg-xr8sj0nft2mvsydjzwcvkwvzxmsbokacosdpazfta730h1xpuwfitxipuyzw7bod2biuu-

Resim - 0 “Excel dosyası eklenmiş zararlı bir e-posta örneği”

Örnek Bir Zararlı Yazılım Analizi

Genel olarak “Locky Ransomware” olarak isimlendirilen zararlı, Resim - 0’da görülebildiği gibi bir e-posta ile kurbana gönderiliyor. Kurban e-postasına gelen Excel dosyasını indirip, çalıştırdığı zaman Excel içerisindeki makrolar aktif oluyor ve zararlı yazılım makrolar sayesinde çalışmaya başlıyor.

Bu örnekte, inandırıcı olması için dosya ismi seçilirken kurumsal bir isimlendirme yapıldığı dikkatimizi çekiyor. Daha önceki benzer Cryptolocker fatura virüsü örneklerinde de inandırıcılığın artırılması için fatura isimlerinin özenle seçildiğini görmüştük.

https://lh4.googleusercontent.com/artdb2crrhoy78mljmlqcly1ke2z7god99kongool5v8opyfzgqn8xbk89opjrzdcpdsuz-dhrype93bdm3scwcyruoygy_omsmtpu_hdvgmi27hrwpncq5wuxn0t-cezrksyklr

Resim - 1 “Dosya ismi inandırıcılığı artırmak için kurumsal ortamlarda kullanılan şablona sahiptir.”

Dosyamızın analizine başladığımızda ilk olarak Excel içerisine yerleştirilmiş olan makrolar dikkatimizi çekiyor. Makrolar, Excell ile birlikte çalışarak kurbanın bilgisayarına arka planda Excel’in makro özelliği istismar edilerek paylodı indirme üzerine inşaa edildiği dikkatimizi çekiyor.

Resim -2‘de makro kodlarını analiz ettiğimiz zaman öncelikle encrypt edilmiş (şifrelenmiş) payloadı bir internet sunucusu üzerinden bilgisayara indirerek işleme başlıyor.

https://lh5.googleusercontent.com/28pvutlcaxumveuoqhoiwzuv-rurnfpdy1f7otgfct0fvggztfbme1zvohgtpnbd6y3v0paiy9mwvouxcg3qx0mthtkbmip4nwjrexvwfsadmnnowwvpbysjzb88sv26iodvnxer

Resim - 2 “Zararlı kod parçalarının indirme adresi”

Excel veya Word formatındaki Office dosyaları, makroların işlevselliği sebebiyle siber saldırılarda kullanılan en etkin suistimal kaynaklarına dönüşmüş durumdadır. Zararlı Excel dosyasındaki makroları incelediğimizde şifrelenmiş içeriğin internetten indirilerek çözüldüğü ve çalıştırıldığı dikkatimizi çekiyor.

Zararlı yazılım geliştiricisi, kodu karmaşıklaştırarak analizini ciddi anlamda zorlaştırıcı süreçlere pek başvurmamış.
Resim - 2’de görebileceğiniz gibi Nutrahacks.com alan adı üzerinden suistimal sonrası sistemde çalışacak ve yetkisiz işlevleri gerçekleştirecek olan içeriği indirme ve çalıştırma işlemi görülüyor. Zararlı makro kodlarını yazan kişi kurbanın bilgisayarındaki dosyaları şifrelemek için gerekli olan işlevi görecek kod parçasını indiriyor ve ardından kodu çözümleyerek çalıştırıyor.

https://lh6.googleusercontent.com/keuz19fbsycbfr1nbktmjq34wdoxzbahrasnthcxl8ghuppckbymipboucqbv8i49huyq3hjrgf7k3px6421gcjxcj-wmyll8_t27hh1c8yzgz_vmm9uinnrpotacjjtlypdyz4n

Resim - 3 “Locky macrosu ilk olarak şifreli halde ki kod parçasını indiriyor.”

İndirilen zararlı içerik, çözümlendikten sonra DLL dosyası formatında %USERPROFILE%\temp dizinine siluans.dll adı ile dosya yazılıyor. Standart Ransomware zararlılarının kullanıldığı bir yöntem olduğunu ve bu enjeksiyon metodu ile şifreleme işleminin resim 4 ve 5’de başlatıldığını görmekteyiz.

https://lh4.googleusercontent.com/dsatbeuefxs3oggmfxjwnt5eifhkzqoar3nr2dybd7a8axoysmasdlpkyhsxwmgeugx5k8apnaryp_kubcq7mnbkoo2kcsdp99athzjsmdb0jn3dxtmh0kneij2e4furjlkwctnq

Resim -4 “Enjekte yöntemi”

https://lh4.googleusercontent.com/s_d6ihekyka5lqqw2qtgr5myyaxevrwn_wzvilnezimjr6g9vi7nhib5rg0oin52t3gmp6koysigkiqa9lzuj_-sgtqopvmg8_-cy6glny4ufg8q07wmkwvihpgpyinoq-gopkny

Resim - 5 “DLL enjekte yöntemi”
Excel dosyası içerisinde yer alan zararlı makro kodlarının bir diğer aşamaya Resim - 6’da geçtiğini görüyoruz. Locky Ransomware için gerekli olan DLL dosyasının makro yardımı ile Rundll32.exe dosyasını kullanılarak qwerty fonksiyonu çağrılıyor.

Resim - 6 “Rundll32.exe qwerty fonksiyonu”

Siluans.dll dosyasını analiz ettiğimiz zaman şifreleme anahtarı için eriştiği komuta kontrol sunucusu ve şifreme işlemi esnasında gerçekleştirdiği File I/O aktiviteleri aşağıdaki gibi resim - 7, 8 ve 9’da görebilirsiniz.
Resim - 6 “Rundll32.exe qwerty fonksiyonu”

https://lh5.googleusercontent.com/jgep0l4isjgqp3jwhx0acddzotcl_adlliwu9vdb-ntrg9uho6c8agixc3xngzq5xq7ybxocv0jgd_lamdi0_1bygozrfahbgyxsjuust3wn0mnajtttzrirt-2lj76s3vztpvtk

Resim - 7 “Anahtar erişimi”

https://lh5.googleusercontent.com/8kus-8uhvy3zmz72xnuooj3s_jyzrt9gyrxck7kbqaq82zfhn-klm_xpqe2ljd0tpbglik8gw2zhzxx7m6adyh4eyvceu3noiixrtqhxpuwdwcvt_2b7vixhkzkr6yrbx7ktbaxx

Resim - 8 “Şifrelenen dosyalar tekil bir sıra numarası ve odin eklentisi ile diske tekrar yazılıyor.”

Zararlı yazılımı oluşturan kişinin tekil sıra numaraları kullanarak tek tek yani dosya başına ücretlendirme alternatifi ile geri kazandırma fonksiyonu geliştirdiğini görüyoruz.

https://lh4.googleusercontent.com/nltdphc1ruonmdksedfltz7zb_qatoykzqvfjn1_ffcva3tfm7tpqlxhuci1om9vqncjzfs7oi6jlelo5t7duhuehkn2js9xevydqldq47cxfp40x1hfsspthxgng5akepovibad

Resim - 9 “Encryption key için plain-text bir kanal tercih ediliyor..”
Resim - 9’da şifreleme anahtarı için Plain-Text bir kanal tercih ettiğini görüyoruz. Kısacası şifreleme anahtarı için ek bir güvenlik katmanına ihtiyaç duymadığını söyleyebiliriz.

https://lh6.googleusercontent.com/gyh7dn4klcqzty5qm7eoiwfazuqtaanziltvprcdlhykpc1_2anec17fzkbklq_2un8onmkhcowcad2b9cxw7ndrmmkh77_dwhyjfbbsi0vxdsflkgn8nmwsx6gjg80c93i6men4

Resim - 10 “Şifreleme işlemi sonrasında standart Ransomware karşılama ekranımız ortaya çıkıyor.”

Resim 10’da şifreleme işlemi tamamlandıktan sonraki karşılama ekranı görülüyor. Bu aşamaya kadar Ransomeware zararlısının Excel dosyası içerisindeki makro ile nasıl harekete geçtiğini, şifreleme için gerekli olan kod parçasını internet üzerindeki bir sunucudan nasıl aldığını ve şifreleme tamamlandıktan sonra Master Key’in sunuculara gönderilerek, kurbanın her zaman olduğu gibi karşısına bir mesaj çıkartarak fidye istediğini tespit ettik.

https://lh5.googleusercontent.com/_coaufazaknrirxvuikqh2ntyklu0irwkmhvzdibtp3cuwqthlpmdl7kwuuhqjdgredng_951d0hugsxxcerctq2kh_uvcst4ijqusnbl14ipqsp6yxz7os7b_1f3uestsmv5ig2

Resim - 11 “Şifrelenmiş dosyalarımızı sadece tor browseri yolu ile kurulan bir kanal üzerinden çözebiliyoruz.”
Mesaj içeriğinde görüldüğü gibi şifrenin çözülmesi için saldırganın TOR ağı altında fidye ödeme yöntemlerini listelediğini görüyoruz. TOR altyapısı ile bağlanılan site üzerinde ödeme işlemi ve şifrenin çözülmesi için gerekli olan açıklamalar yapılmış durumda.

Çözüm Önerileri

Kısaca özetlemeye çalıştığımız Ransomeware analizi sonucunda aşağıdaki gibi bireysel ve kurumsal çözüm önerilerini dikkatinize sunuyoruz.

Bireysel Çözüm Önerileri

Bu veya benzeri saldırıların ağırlıklı olarak e-posta üzerinden gerçekleştiğini göz önüne alarak antispam veya antivirus korumanızı sıkılaştırmanızı önermekteyiz.
Kişisel bilgisayarlarınızda sezgisel antiloggerlar kullanın.
Kaynağına güvenmediğiniz Office dosyaları için makroları etkisiz hale getirin.
Tanımadığınız kişilerden gelen ekli dosyaları açmayın!
Fatura, Kargo başlıklı epostalara karşı da benzer şüpheyle yaklaşın.

Kurumsal Çözüm Önerileri

Antispam Gateway çözümünüzü sıkılaştırın ve bilinen randsomeware tehlikelerine karşı tatbik edin.
Çalışanlarınızı bu ve benzeri saldırılara karşı oltalama testleri ile ölçümleyip, birey ve grup özelinde eğitimler gerçekleştirin.
Randsomeware alan adı istihbaratı riski önlemede sağlıklı bir çözümdür. Mutlaka benzer servislerden faydalanın.

Sinara Labs Hakkında

Sinara Labs, yeni nesil oltalama saldırılarına karşı kendini geliştiren, güvenlik ürünlerini test eden ve kurum çalışanlarının bilgi güvenliği farkındalığını artıran bir güvenlik çözümüdür.

Sinara Labs ile çalışanlarınızın bilgi düzeyini ölçmek için yüzden fazla senaryo barındırmaktadır. Kurumların hassas verilerini ve kullanıcı yetkilerini ele geçirmek isteyen siber suçlulara karşı, IT yöneticileri için özel raporlar oluşturarak savunma sistemlerinin test edilmesini sağlayan Sinara Labs, hedef odaklı saldırılara karşı ciddi oranda başarı sağlar.

Sinara Labs ile birbirinden farklı onlarca senaryo kullanarak kurum çalışanlarınız için oltalama testleri gerçekleştirebilir, her departman için ayrı bir uygulama yapabilirsiniz. Yapılan her oltalama testi sonucu detaylı olarak raporlanarak zafiyetleriniz için aksiyon almanıza olanak sağlanır.

Sinara Labs sayesinde kimlik hırsızlığı, kişisel veri güvenliği ve hassas verilerin bulunduğu kritik sistemlere erişim gibi yüksek risk taşıyan noktalara gerçek senaryolar ile simülasyon testlerini yapabilir ve saldırılara karşı bilinç oluşturabilirsiniz.

Sinara Labs, 2014 yılında milli bir yazılım olarak üretilmiş ve bugüne kadar bankacılık, finans, enerji, telekom gibi kritik sektörlerde ve ülkemizin en önemli kurumlarında kullanılmaya başlanmıştır.

Daha fazla bilgi almak için contact@sinaralabs.com e-posta adresimiz ile iletişime geçebilirsiniz.

Yüklə 41,71 Kb.

Dostları ilə paylaş: