Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor

Transkript

1 Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TrendLabs SM 1Ç 2015 Güvenlik Özeti

2 TREND MICRO YASAL UYARI Burada yer alan bilgiler genel bilgilerdir ve sadece eğitim amaçlı olarak verilmektedir. Yasal öneri teşkil etmesi amaçlanmamış olup bu şekilde değerlendirilmemelidir. Burada yer alan bilgiler her durum için geçerli olmayabilir ve en güncel durumu yansıtmıyor olabilir. Burada yer alan hiçbir şeye, sunulan belirli gerçekler ve şartlar esasında yasal tavsiyelerden yararlanmadan güvenilmemeli veya bunlara dayanılarak harekete geçilmemeli ve burada yer alan hiçbir şey aksi yönde anlaşılmamalıdır. Trend Micro önceden haber vermeksizin, istediği zaman bu belgenin içeriğini değiştirme hakkını saklı tutar. Materyalin diğer dillere çevrilmesi sadece kolaylık sağlama amacı taşır. Çevirinin doğruluğu garanti edilmez ya da zımnen ifade edilmez. Çevirilerin doğruluğuyla ilgili sorularınız için lütfen belgenin orijinal dildeki resmi sürümüne bakın. Çevirideki tutarsızlıklar ya da farklar bağlayıcı olmayıp uyum ya da uygulama amaçları üzerinde herhangi bir yasal etkisi yoktur. Trend Micro bu belgeye doğru ve güncel bilgileri dahil etmek için elinden geleni yapsa da, Trend Micro belgenin doğruluğu, kesinliği ya da eksiksizliği konusunda herhangi bir garanti vermez ya da beyanatta bulunmaz. Bu belge ve içeriğinin erişim, kullanım ve güvenilirliğinin oluşturduğu risklerin size ait olduğunu kabul ediyorsunuz. Trend Micro açık ya da zımni, her türlü garantiyi reddeder. Trend Micro ya da bu belgenin hazırlanması, üretilmesi ya da sunulması süreçlerine dahil olan taraflar bu belgeye erişim, belgenin kullanılması ya da kullanılamaması ya da kullanılması ile bağlantılı olarak ya da içerikteki hata ya da ihmallerden doğan doğrudan, dolaylı, özel, risk sebebiyle oluşan, kar kaybı ya da özel hasarlar da dahil olmak üzere, herhangi bir sonuç, kayıp ya da zarardan sorumlu olmayacaktır. Bu bilgilerin kullanılması bilgilerin olduğu gibi kullanılmasının kabul edildiğini gösterir. İçindekiler 4 Web Reklamcılığı İş Modelindeki Hatalar, Kullanıcı Güvenliğini Risk Altında Bırakıyor 11 Şifreli Fidye Yazılımı Bulaşma Sayısında Patlama, Tehdit Altındaki Kurumlar 17 Kötü Amaçlı Makro Yazılımlar, Eski ama Hala Etkili 21 On Yıllık FREAK Güvenlik Hatası Yama Yönetiminde Sorunlara Neden Oldu 26 Sağlık Hizmetleri Endüstrisi Önemli İhlallerden Etkilendi, Diğer Endüstriler Kötü Amaçlı PoS Saldırılarıyla Sarsıldı 30 Eski Tehdit Aktörleri Yeni Saldırı Kampanyası Araçları, Taktikleri ve Prosedürleriyle Yeniden Ortaya Çıktı 32 Saldırı Kitleri Karmaşıklaşmaya Devam Etti 36 Tehdit Manzarasına Genel Bakış

3 Söz konusu olan geçtiğimiz çeyrekte görülen tehditler olduğunda, ne kadar özen gösterilirse gösterilsin, kullanıcıları korumak pek mümkün değil gibi görünmektedir. Siber suçluların ve tehdit aktörlerinin kurbanlarına ve hedeflerine ulaşmak için yeni kanallar oluşturmalarına gerek yoktur. Gerekli temelin büyük bir bölümü zaten hazır olduğu için, yapmaları gereken tek şey, bu yolu takip etmektir. En büyük güvenlik açıkları, genellikle en çok gözden kaçırılan açıklardır. Örneğin kötü amaçlı reklamlar yeni değildir. Birçok kullanıcı bunlara alışmıştır. Kullanıcılar kendilerini en yeni güvenlik çözümleri ve teknik bilgilerle silahlandırsalar da, hiçbir şey onları sıfırıncı gün saldırılarıyla bütünleşmiş kötü amaçlı reklamlara karşı hazır hale getiremez. Bu Şubat ayında yaşanan Adobe Flash olayı, böyle bir saldırının ne kadar etkili olabileceğini göstermiştir. Mobil kullanıcılar da bundan etkilenmiştir. Aynı ay Google Play 'deki uygulama kaldırmalarından da anlaşılacağı gibi, kötü amaçlı reklam yazılımları tehdit olmaya devam etmektedir. Güvenli gibi görünen yüksek riskli uygulamaları yükleyen milyonlarca kullanıcının cihazları, uygulamalar kaldırılmadan önce bu uygulamalardan olumsuz etkilenmiştir. Reklam ağlarının kesinlikle kendi güvenliklerini güçlendirmeleri gerekmektedir. Birçok kullanıcı da, eski teknolojiyi ciddi bir sorun olarak görmemektedir. Bulaşan kötü amaçlı makro yazılımların (Microsoft Word dosyalarında tümleşik) sayısındaki inanılmaz artış ve OpenSSL saldırılarının devam edişi, siber suçluların eski ve bilinen zayıflıklardan faydalanarak kendilerine nasıl sağlam bir yer edinebildiklerini göstermiştir. Ama belki de, geçtiğimiz aylarda bunlara hazırlıksız yakalanan en büyük sektör perakendecilik sektörüydü ve kötü amaçlı satış noktası (PoS) saldırılarının hala devam ettiği düşünüldüğünde, bu ilginç bir durum. Fidye yazılımlarında olduğu gibi, şirketlerin ve müşterilerinin verilerini risk altında bırakan kötü amaçlı PoS yazılımları da görünüşe göre dayanacak. Kendimizi güvenlik tehditlerinden korumak için gerçekten yeterince uğraşıyor muyuz? 2015 yılının ilk üç ayındaki en büyük olayların da gösterdiği gibi, güvenlik konusunda en deneyimli kullanıcılar ve organizasyonlar bile, bu tehlikelere karşı bağışık değildir. Tehdit aktörleri, sonuç olarak istedikleri şeyi elde etmek için, en küçük güvenlik boşluğundan faydalanmaktan çekinmeyecektir. Bugünün bilgi işlem eko sisteminde, hataya yer yoktur. NOT: Metin içinde geçen tüm algılama ifadeleriyle, kullanıcıların cihazlarında tehditlerin bulunduğu ve sonuçta herhangi bir Trend Micro güvenlik yazılımı tarafından engellendiği durumlar kastedilmektedir. Aksi belirtilmedikçe, bu raporda yer alan rakamlar, tesis içi ürünleri ve barındırılan hizmetleri desteklemek için bulut içi teknolojiler ile istemci tabanlı teknolojilerin birleşimini kullanan Trend Micro Smart Protection Network bulut güvenlik altyapısı tarafından toplanan verilerden alınmıştır.

4 Web Reklamcılığı İş Modelindeki Hatalar, Kullanıcı Güvenliğini Risk Altında Bırakıyor Kullanıcılar hangi reklamları göreceklerini kontrol edemeyecekleri için, çevrimiçi reklamlar tercih edilen bir saldırı taşıyıcısı haline gelmiştir. Sitelerinde aslında hangi reklamların gösterildiğini herhangi bir şekilde kontrol edemedikleri için, site ziyaretçileri gibi site sahipleri de bu durumdan olumsuz etkilenmektedir. Kötü amaçlı reklam saldırılarında kullanıldıkları için, Adobe yazılımını hedef alan sıfırıncı gün saldırıları kısa bir süre önce yükseltilmiştir. Angler Saldırı Kitinin parçası haline gelen saldırının (CVE ) örneği, bu Şubat ayının başlarında keşfedilmiştir. Bu saldırıda kötü amaçlı reklamlar kullanıldığından, kurbanların bilgisayarlarına virüs bulaşması için kurbanların kötü amaçlı sayfaları ziyaret etmelerine ya da tesadüfen bu sayfalara gitmelerine artık gerek yoktur. Son dönemdeki kötü amaçlı reklam saldırıları, sıfırıncı gün saldırılarının kullanımıyla beraber, daha da ciddi bir tehdit halini almıştır. Kötü amaçlı reklamlar ve sıfırıncı gün saldırıları birleşimi, bugün genel kabul gören en iyi uygulamalardan iki tanesini baltalamıştır: sadece güvenilir siteleri ziyaret etmek ve uygulamaları en son yamalarla güncel tutmak. İç Güvenlik ve Devlet Meseleleri konulu bir ABD Senatosu Komitesinde, çevrimiçi reklam endüstrisini yönlendirmenin zor olduğu söylenmiştir. Çevrimiçi reklamcılık endüstrisinin karmaşıklığı, kötü amaçlı reklam saldırıları sonucu oluşan hasarlardan sorumlu varlıkların saptanmasını ve bunların sorumlu tutulmasını zorlaştırmaktadır. 1, 2 Kötü amaçlı reklamlar sadece son kullanıcılar açısından değil, site sahipleri açısından da bir sorundur. Web siteleri de, sahiplerinin izni ya da bilgisi dahilinde olmadan, kötü amaçlı reklamlarla dolabilir. 4 Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor

5 2015 Yılı 1. Çeyreğindeki Önemli Zayıflıklar CVE sürümüne kadar tüm Adobe Flash sürümleri SWF_ANGZIA.A aracılığıyla yapılan saldırılar (başlangıcı açıklanmamıştır) OCA 22 OCA 22 OCA 24 OCA 27 CVE sürümüne kadar tüm Adobe Flash sürümleri Kötü amaçlı reklamlar vasıtasıyla SWF_ANGZIA.B, SWF_ANGZIA.C ya da SWF_ANGZIA.F aracılığıyla yapılan saldırılar OCA 22 OCA 22 OCA 24 ŞUB 2 CVE sürümüne kadar tüm Adobe Flash sürümleri Kötü amaçlı reklamlar vasıtasıyla BEDEP arka kapıları aracılığıyla yapılan saldırılar CVE Microsoft Internet Explorer sürümleri 9-11 Kötü amaçlı bağlantılarla desteklenen web enjeksiyonu aracılığıyla yapılan saldırılar ŞUB 2 ŞUB 2 ŞUB 4 ŞUB 10 ŞUB 5 ŞUB 5 MAR 10 ŞUB 3 Yaygın Zayıflıklar ve Riskler (CVE) Kimliği Zayıflığın Ortaya Çıkması Saldırının Keşfi Zayıflığın Yamanması Trend Micro Deep Security Kuralının Yayınlanması Geçtiğimiz çeyrekte ortaya çıkarılan dört sıfırıncı gün saldırısından iki tanesinde, bulaşma vektörü olarak kötü amaçlı reklamlar kullanılmıştır. 5 Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor

6 Kötü Amaçlı Reklamlar Nasıl Çalışıyor? Çevrimiçi Reklamlar Nasıl Çalışıyor? Reklamcılar ürünleri ya da hizmetleri tanıtmak ister. Çevrimiçi Kötü Amaçlı Reklamlar Nasıl Çalışıyor? Siber suçlular reklam veren kurumlar gibi davranır ve kötü amaçlı reklamları yayınlatır. Reklam ağları reklamcılar ile çevrimiçi reklamları barındırmak isteyen siteleri bir araya getirir; farklı sitelere teslim etmek üzere birden fazla reklamı derleyip düzenler. Reklam yayıncıları (site sahipleri) reklamları sitelerinin çevrimiçi içeriğine entegre eder. Farklı formatlarda birden fazla reklam görüntüleyebilir. Büyük olasılıkla, reklam ağları tarafından gerektiği gibi incelenmediği için, kötü amaçlı reklamlar ile yasal reklamlar birbirlerine karışır. Kötü amaçlı reklamlar, reklam barındıran sitelerde görüntülenir. Kullanıcılar reklam barındıran siteleri ziyaret ettiklerinde, reklamları görür. Kötü amaçlı reklamlar, kötü amaçlı yazılımı bırakmak için site ziyaretçilerinin bilgisayarındaki zayıflıkları suistimal eder. 6 Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor

7 2014 yılı 4Ç ile 2015 yılı 1Ç arasında Kötü Amaçlı Reklamlarla Dağıtılan BEDEP ve ROZENA Yazılımlarının Sayısı 4 BİN Ç TOPLAM: Ç TOPLAM: BİN EKİ KAS ARA OCA ŞUB MAR BEDEP TOPLAM: 7719 ROZENA TOPLAM: 4815 Kötü amaçlı reklamlar, kurbanları otomatik olarak bilgisayarlarına çeşitli kötü amaçlı yazılımlar bulaştıran sitelere yönlendirmektedir. Bir sıfırıncı gün Adobe Flash saldırısı, kötü amaçlı reklamlar aracılığıyla kötü amaçlı BEDEP yazılımını yaymıştır. 3 Kötü amaçlı BEDEP yazılımını yüklediğinin farkında olmayan kullanıcılar, sahtecilik kurbanı olmanın ve diğer kötü amaçlı yazılımları yüklemenin yanı sıra, saldırganların botnet faaliyetlerinin habersiz katılımcıları olma riskiyle karşı karşıya kalmıştır. 4 Bu çeyrekte görülen reklamlarla ilgili tehditler arasında, Eylül ve Aralık 2014 tarihleri arasında sevkiyatı yapılan en az 52 tüketici sınıfı Lenovo dizüstü bilgisayar modelinde önceden yüklenmiş bir tarayıcı eklentisi olan Superfish de yer almaktadır. 5, 6 Çok fazla disk alanı tüketen gereksiz bir yazılım olarak sınıflandırılan ve önceden yüklenmiş olarak gelen Superfish, kullanıcıların tarayıcı geçmişlerine dayalı olarak, arama sonuçlarını (resimler olarak görüntülenen) değiştirme kapasitesine sahiptir. 7 Sadece reklam yazılımı olarak davranmamış, aynı zamanda siber suçluların sözde güvenli iletişimleri gözetlemelerini de sağlamıştır. 7 Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor

8 Superfish Nasıl Çalışır? Superfish belirli Lenovo dizüstü modellerinde önceden yüklenmiş olarak gelir ve bu nedenle, kullanıcıların ne olduğu ve ne yaptığı konusunda kapsamlı bilgileri olmayabilir. Superfish Görsel Arama, arama sonuçlarıyla ilgili olarak reklam bağlantılı resimler görüntüleyen bir tarayıcı eklentisidir. Superfish HTTPS'de bile çalışmasını sağlamak için, kendi kök sertifikasını yükler ve bu da, uyarılara neden olmadan güvenli iletişimleri engellemesini sağlar. Superfish sertifikaları tüm dizüstü bilgisayarlardan sızan aynı özel anahtarı kullanır ve bu da olası bir suistimale karşı zayıf şifreleme ve güvenlik demektir. Superfish, bilgisayarlara önceden yüklenmesi ve reklam yazılımı gibi davranmasının yanı sıra ciddi bir tehdit teşkil etmektedir. Zayıf sertifikası güvenli iletişimleri bile büyük bir risk altında bırakmaktadır. Reklam yazılımı sadece kullanıcıların peşine düşmekle kalmamış, MDash yazılım geliştirme kitini (SDK) kullanan çok sayıda Google Play uygulaması da etkilenen mobil cihazlarda zararlı reklamlar görüntülemiştir. 8 Bu kit kullanılarak oluşturulan uygulamalar Google Play'den kaldırılmadan önce, MDash (ANDROIDOS_ ADMDASH.HRX) kitinin milyonlarca cihazı etkilediği söylenmiştir. Mağazada benzeri davranışlar sergileyen 2000'den fazla uygulama da bulunmuştur. 8 Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor

9 Uygulamalar Kaldırıldıktan Sonra Google Play'de Bulunan, MDash Bağlantılı Uygulama Sayısı 3 ŞUBAT Google, reklam yazılımı oldukları anlaşılan üç uygulamayı resmi olarak mağazasından kaldırdı ŞUB MAR 11 MART Analizin yapıldığı tarihte, araştırmacılarımız tarafından Google Play'de 2377 adet uygulama SHA-256 karma saptandı 26 MART Google sorun hakkında bilgilendirildi ve ayrıntılı inceleme yapacağını duyurdu NİS 31 MART Araştırmacılarımız kontrol ettiklerinde, mağazada 682 uygulama kalmıştı 2 NİSAN MDash blog girişi yayınlandı MAY 15 NİSAN Araştırmacılarımız yine kontrol ettiklerinde, Google Play'de 85 uygulama kalmıştı Bu Mart ayının başında, Google Play'de yaklaşık 2000 MDash bağlantılı uygulama bulunmuş ve bunların çoğu bildirimden sonra bir ay içinde mağazadan kaldırılmıştır. Geçtiğimiz bu çeyrekte görülen tehditler, kullanıcıların ve site sahiplerinin veri güvenliğini tehdit etmek için çevrimiçi reklamcılık platformunu suistimal etmiştir. En son yaşanan Adobe sıfırıncı gün saldırılarında da görüldüğü gibi, kötü amaçlı reklamların, sıfırıncı gün saldırıları için etkili araçlar olduğu kanıtlanmıştır. Superfish sözde güvenli iletişimleri, saldırganların ellerine düşme tehlikesiyle bile karşı karşıya bırakmaktadır. Saldırganlar hiçbir cihazın tehditlerden uzak olmadığını kanıtlayacak şekilde kurbanlardan değerli bilgiler çalmak için MDash ve benzeri uygulamaları kullanmaktadır. 9 Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor

10 Sıradan insanlar için, kötü amaçlı reklamlar en kötü tehditlerden biridir. Diğer tehditlerden farklı olarak kötü amaçlı reklamlar, doğru şeyleri yapsalar da insanlara zarar verebilir. Kötü amaçlı reklamlar bağlantıları tıklamayan, tam güncellenmiş güvenlik çözümlerine sahip olan ve sadece güvenilir siteleri ziyaret eden insanları etkileyebilir. Kısacası, sizi kötü amaçlı reklamlara karşı koruyabilecek düzeyde bir önlem yoktur; sadece şans. Christopher Budd, Tehdit İletişimleri Yöneticisi Kullanıcılar hem çevrimiçi, hem de geleneksel medyadaki risk teşkil eden reklam materyallerinden uzaklaşıyor. Reklamcılık suistimali eğilimi devam ederse, tarayıcı üreticilerinin bugün için sadece üçüncü şahıs eklentileri olarak sunulan reklam engelleme işlevini doğrudan ürünlerine dahil etmelerini bekleyebiliriz. Bu büyük değişimi engellemenin olası tek yolu, söz konusu olan ön sürüm halindeki kum havuzu analizini kullanarak ve siteleri etkili bir şekilde yetkilendirerek sundukları içeriği doğrulamak olduğunda, reklam ağlarının oyuna girmeleridir. Rik Ferguson, Güvenlik Araştırmaları Başkan Yardımcısı 10 Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor

11 Şifreli Fidye Yazılımı Bulaşma Sayısında Patlama, Tehdit Altındaki Kurumlar Hedef tabanlarını genişleten şifreli fidye yazılımları, artık sadece tüketicilerin değil, kurumların ve niş kullanıcı türlerinin de peşine düşmüştür yılının ilk çeyreğinde fidye yazılımı bulaştıran saldırganların neredeyse yarısı, daha ölümcül bir tür olan şifreli fidye yazılımı olarak sınıflandırılmaktadır. Bugünün daha güçlü fidye yazılımları, Police Truva atı öncülleri gibi, sadece kurbanların bilgisayarlarını kilitlememektedir. Daha ölümcül ardılları olan şifreli fidye yazılımları, ödeme yapılacağından emin olmak için fidye için tutulan dosyaları şifreler ve kullanıcıları daha da büyük bir risk altında bırakır. Bilinen Şifreli Fidye Yazılımı Türevlerinin Karşılaştırması GulCrypt 1 (Bandarchor) CryptoFortress 2 3 TROJ_GULCRYPT.A TROJ_CRYPFORT.A TROJ_CRYPAURA.F Arşivlenen dosyaları parolayla korumak için.rar uzantılı dosyaları kullanır; parola PGP şifrelidir Diğer bileşenlerle birlikte, TROJ_CRYPTOP.KLS tarafından indirilir Eski teknikleri kullanır ama yeni türevler sık sık yayınlanır (daha çok sayıda dosya türünü hedef alır; artık fidye notları Rusça değil, İngilizcedir) İstenmeyen e-posta ve zayıflık suistimali ile dağıtılmaktadır TorrentLocker ın kullanıcı arayüzünü (UI) taklit eder; dosya adı uzantılarını aramak için jokerler kullanır; ağ paylaşımlarında dosyaları şifreler Nuclear Saldırı Kitinde yer alır TeslaCrypt VaultCrypt 4 TROJ_CRYPAURA.F BAT_CRYPVAULT.A 5 Troidesh 6 TROJ_CRYPSHED.A CryptoLocker'ınkine benzer bir kullanıcı arayüzü kullanır; belgelerin yanı sıra, oyunla ilgili dosyaları şifreler Angler Saldırı Kitinde yer alır Dosyaları şifrelemek için GnuPG'yi kullanır; tarayıcının ön belleğinde yer alan oturum açma bilgilerini çalmak için korsan araçlarını indirir; kurbanların yedeklemedeki dosyalarını kurtarmalarını önlemek için 16 kezs sdelete'i kullanır; genellikle Rusları hedef alır İçinde bir JavaScript yükleyicinin bulunduğu istenmeyen e-posta aracılığıyla dağıtılır Dosyaları {şifrelenmiş dosya adı}.xtbl olarak yeniden adlandırır; IP adreslerini çalar Nuclear Saldırı Kitinde yer alır 11 Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor

12 ÖZELLİKLER Yeni bir aile mi? Evet Hayır Evet Evet Evet Evet Çalınan veriler Geçerli değil Bilgisayar adı ve makinenin genel benzersiz tanımlayıcısı (GUID) Geçerli değil IP adresi Browser Password Dump by Security Xploded (HKTL_ BROWPASS) adıyla bilinen bir bilgisayar aracı kullanarak tarayıcının ön belleğinde yer alan oturum açma bilgilerini çalma IP adresi C&C iletişim Hayır Evet (sabit kodlanmış komuta ve kontrol [C&C] sunucusuna) Hayır Evet (Tor2web aracılığıyla) Evet (Onion City - Tor2web aracılığıyla) Evet (Tor aracılığıyla) Fidye notu dosya adı {kullanıcı adı}_ dosyalar fud.bmp (duvar kağıdı olarak) DOSYALARINIZI İSTİYORSANIZ OKUYUN.html DOSYALARINIZI_ KURTARMAK_ İÇİN_YARDIM.txt; DOSYALARINIZI_ KURTARMAK_ İÇİN_YARDIM. bmp (duvar kağıdı olarak) KASA.txt BENİOKU{1-10}. txt Şifrelenen dosyalarda uzantı adı değiştirilir.rar.id-{id#}_fud@ india.com*.frtrss.ecc.vault Dosyaları {şifrelenmiş dosya adı}.xtbl olarak yeniden adlandırır Gölge kopyaları siler mi? Hayır Hayır Evet Evet Evet Hayır Hedef alınan dosya sayısı (eski sürümlerde 39) İstenen fidye $ değerinde Bitcoin (BTC) 1 BTC 1,5 BTC (PayPal ile ödeniyorsa 1000 $) 247 $ değerinde BTC (yedi günden sonra artar) Kurbanların önce tehdit aktörleriyle e-posta aracılığıyla iletişim kurmaları gerektiği için bilinmiyor; fidye ödediği rapor edilen kimse olmamıştır Ödeme siteleri için Deep Web'i kullanır Mail2Tor (Tor e-posta servisi) Hayır (e-posta aracılığıyla) Tor Tor Tor Hayır (e-posta aracılığıyla) Freemium özellikleri var mı? Evet (e-posta aracılığıyla) Hayır Evet Evet Evet Hayır (* kimlik numarası, şifre çözme işlemleri esnasında, kurbanları tanımlayan numaradır.) Farklı talep ciddiyeti ve gelişmişlik düzeylerine sahip, önemli şifreli fidye yazılımlarının büyüyen listesine altı aile daha eklendi. 12 Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor

13 Bulaşan Fidye Yazılımlarının Sayısı 20 BİN 13 BİN 12 BİN 8 BİN 10 BİN 9 BİN Fidye yazılımı 6 BİN 6 BİN Şifreli fidye yazılımı 8 BİN 3 BİN 3 BİN 3 BİN 3 BİN Ç 2 BİN Ç Ç Ç Ç Ç Büyük olasılıkla, Blackhole Saldırı Kitinin yazarı (Paunch) 2013'ün sonlarına doğru tutuklandığı için, 2014 yılının ilk ve üçüncü çeyreği arasında sayıları azaldıktan sonra, fidye yazılımları 2014 sona ermeden önce yine hız kazanmıştır. (Blackhole Saldırı Kitinin fidye yazılımı yaydığı biliniyordu.) Ç'te En Çok Fidye Yazılımının Bulaştığı Ülkeler ABD Avustralya Japonya Türkiye İtalya Fransa Almanya Hindistan Kanada Filipinler Diğerleri %34 %6 %6 %5 %5 %4 %3 %3 %2 %2 %30 Bu yılın başında eklenen ve ABD'de yaşayanları hedef alan CTB-Locker gibi yeni şifreli fidye yazılımlarının eklenmesine bağlı olarak, yaşanan fidye yazılımı bulaşma olaylarının büyük bölümü Amerika Birleşik Devletleri'nde gerçekleşmiştir. 13 Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor

14 Önde Gelen Fidye Yazılımı Aileleri CRYPCTB REVETON KOVTER CRYPWALL RANSOM CRILOCK CRYPTOPHP VIRLOCK MATSNU CRYPTWALL Diğerleri %25 %20 %17 %11 %10 %6 %5 %1 %1 %1 %3 Tüm fidye yazılımı pastasının %25'ine karşılık gelen CRYPCTB, Trend Micro'nun bu yılın ilk iki ayında kullanıcıları canından bezdiren CTB-Locker türevleri için kullandığı algılama adıdır yılında Paunch ın tutuklanması, fidye yazılımı bulaşma olaylarının sayısında azalmalara neden olsa da, bu olay diğer siber suçluların, tehdidin daha ölümcül türevlerini yaymalarını önlememiştir. 9 Aslına bakılırsa, bugün kullanıcılar daha ölümcül fidye yazılımı türevleriyle mücadele etmektedir. Daha da tehlikeli olan şey ise, fidye yazılımlarının artık sadece tüketicileri değil, kurumları da tehdit etmesidir. Bir CryptoLocker taklidi (TROJ_ CRYPFORT.A) olan CryptoFortress, paylaşılan klasörlerdeki dosyaları şifreleyebilir. 10 Bu arada, CRYPWEB Web sunucusu veritabanlarını şifreleyebilir. 11 Kurumların fidye yazılımlarını altyapılarına ve işlerine yönelik, ciddi bir tehdit olarak almaları gerekir. 14 Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor

15 2014 yılı 4Ç ve 2015 yılı 1Ç'de Segmentlere Göre Bulaşan Fidye Yazılımlarının Sayısı Ç Ç %72 %16 %6 s %6 Tüketici Kurum Küçük ve orta ölçekli işletme (KOBİ) Diğerleri %52 %28 %14 s %6 Kurumları etkileyen fidye yazılımı olaylarının sayısı, geçtiğimiz çeyrekte neredeyse iki kat artmıştır. Bu, normal kullanıcılara karşılık, şirketleri hedef alan fidye yazılımlarının sayısındaki artışa bağlanabilir. Kurumların yanı sıra, çevrimiçi oyun tutkunları da, şifreli fidye yazılımının hedefleri listesine katılmıştır. Teslacrypt (TROJ_CRYPTESLA.A) Steam oyununu ve yazılım verilerini olduğu kadar, kullanıcıların ortam ve yedekleme verilerini ve belgelerini şifreleyebilir. 12, 13 Oyun tutkunlarını hedef almanın yanı sıra, Massachusetts'teki polis memurlarını bile, şifrelenen dosyalarına yeniden erişebilmek için, 500 $ ödemek zorunda bırakmıştır. 14 Avustralya ve Yeni Zelanda'daki (ANZ) kullanıcılar da, fidye yazılımı saldırılarından etkilenmiştir. Bu Ocak ayında görülen TorrentLocker saldırıları, pazardan pazara sıçramıştır. Geçtiğimiz çeyrekte görülen diğer şifreli fidye yazılımı türevleri de, önemli gelişmeler göstermiştir. Örneğin, CRYPAURA fidye için toplamda 102 dosya türünü (normalde 39) rehin tutmuştur. Bilgisayarlarına ve dosyalarına yeniden erişmek için birilerini korkutarak para ödemek zorunda bırakması anlamında, fidye yazılımları FAKEAV ile kıyaslanabilir. Fidye yazılımlarının FAKEAV kadar büyük sorunlara yol açıp açmayacağını zaman gösterecektir. Kullanıcı eğitiminin (kullanıcılar can sıkıcı açılır mesajları göz ardı ettikleri sürece, güvende kalıyorlardı) çok etkili olduğu FAKEAV örneğinde anlaşılmıştı ama aynısı fidye yazılımları için söylenemez. Fidye yazılımları kullanıcılara seçenek vermez. Tek umutları, rehin tutulan dosyaları, güvenli yedekleme konumlarından geri yükleyebilmeleridir. 15 Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor

16 Şifreli fidye yazılımları siber suçlulara, saldırılardan para kazanmaları için harika bir araç sunuyor. İlk türevlerin ardındakiler sadece birkaç ay içinde milyonlarca dolar kazandı. Fidye yazılımlarının şifre kitaplıklarının eklenmesiyle kolayca şifreli fidye yazılımlarına dönüştürülebilmesi, bu tehdidin daha da büyümesine katkı sağlayabilir. Şifreli algoritmalar tersine döndürülemez. Yedekleme yapmayan kurbanların, önemli dosyalarını geri almak için, ödeme yapmaktan başka seçenekleri olmaz. Anthony Melgarejo, Tehdit Tepkisi Mühendisi 16 Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor

17 Kötü Amaçlı Makro Yazılımlar, Eski ama Hala Etkili Kötü amaçlı makro yazılımların yeniden canlanmasının nedeni, siber suçluların kullanıcılardaki bilinç eksikliğinden yararlanmaları olabilir. Sadece çok az kullanıcı makroların gerçekten ne olduklarını ve nasıl çalıştıklarını bilmektedir. Kötü amaçlı makroların yüklü olduğu eklere sahip istenmeyen e-postaların sayısındaki artıştan ve yeni türevlerin ortaya çıkışından da anlaşılacağı üzere, 2014'ün sonlarına doğru kötü amaçlı makro yazılımlarının yeniden canlanmasına şahit olduk. Kötü amaçlı makro yazılımları sıkça kendilerini indirmeleri ve çalıştırmaları için hedefleri kandırmak üzere anahtar terimleri ve popüler arama terimlerini kullandılar. 15 Ünlü kötü amaçlı bankacılık yazılımı VAWTRAK bile, bilinen ulaşma yöntemlerinden farklı olarak, bilgisayarlara bulaşmak için kötü amaçlı makroları kullanmıştır. Özel olarak hazırlanmış Word dosya eklerini düzgün şekilde görüntülemek amacıyla alıcıları makroları etkinleştirmeleri için kandıran istenmeyen e-postalar kullanmıştır. Bu yapıldığında, kötü amaçlı makro (W2KM_VLOAD.A) çalışır ve VAWTRAK türevlerini yükler. 16 Daha önce kötü amaçlı makroları kullanan diğer tehditler arasında veri çalma uygulamaları, DRIDEX ve ROVNIX yer 17, 18 almaktadır. Siber suçlular kullanıcıları habersiz yakalamak ve dolayısıyla da, kötü amaçlı makro saldırılarının başarısını artırmak ister. Kullanıcıların makroların ne oldukları ve ne işe yaradıkları hakkında bilgi sahibi olmamalarından yararlanırlar. Bu yüzden, ikna edici bir e-postada eklentileri doğru görüntülemek için makroları etkinleştirmeleri istendiğinde, kullanıcılar bunu yaparlar. Geleneksel kötü amaçlı yazılımları atlatabilmeleri nedeniyle, makrolar her geçen gün daha çok tercih edilen saldırı vektörleri haline gelmektedir. Kötü amaçlı makroları çalıştırmak için manuel müdahale gerektiği için, kum havuzu analizi teknolojileri bu tehdidi etkili bir şekilde durduramayabilir. E-posta tarama çözümlerini kullananlar, kötü amaçlı makro yazılımlarına daha az maruz kalabilir; çünkü bunlar kolayca kafa karıştırabilecek ve kötü amaçlı yazılımlardan koruma çözümleri tarafından fark edilmeden kalabilen gömülü kötü amaçlı makroları taramak yerine, yürütülebilir dosyaları algılar. Kötü Amaçlı Makrolar Nasıl Çalışır? İstenmeyen e-posta, kullanıcıları genellikle boş ya da içinde sadece okunamayan içeriğin yer aldığı ekleri indirmeye ve açmaya zorlar Mesajlarda alıcılardan İçeriği görüntülemek için makroları etkinleştirmeleri istenir ve nasıl yapılacağına dair yönergeler verilir Makro etkinleştirildikten sonra, yük yürütülür Son dönemdeki kötü amaçlı yazılım saldırılarında sosyal mühendislik önemli bir rol oynadı. Kullanıcılar arka planda kötü amaçlı yazılımlar çalıştırdıklarını bilmeden, ekleri doğru olarak görüntülemek amacıyla makroları etkinleştirmeleri için kandırıldılar. 17 Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor

18 2015 Yılı 1. Çeyreğinde Bulunan Yeni Makro Kötü Amaçlı Yazılım Sayısı yılından beri, kötü amaçlı makro yazılımların yeniden canlandığına şahit olunmaktadır. Bankacılık Truva atı VAWTRAK bile bunları kullanmaya başlamıştır Yılı 1. Çeyreğinde Bulaşan Makro Kötü Amaçlı Yazılım Sayısı 100 BİN 93 BİN 50 BİN 48 BİN 32 BİN 20 BİN 22 BİN Ç 2Ç 3Ç 4Ç Ç Bulaşan kötü amaçlı makroların sayısı, 2014 yılı ilk çeyreğinden beri sürekli artmaktadır. Bu yeni türevlerin yayılmasına ve kötü amaçlı makro yüklü ekler taşıyan istenmeyen e-posta sayısındaki artışa bağlanabilir. 18 Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor

19 2015 1Ç'de En Çok Kötü Amaçlı Makronun Bulaştığı Ülkeler Çin ABD İngiltere Japonya Avustralya Fransa İtalya Tayvan Almanya Hindistan Diğerleri %22 %14 %12 %7 %5 %5 %4 %3 %3 %2 % yılının ilk üç ayında, kötü amaçlı makroların bulaştığı bilgisayarların sayısının en yüksek olduğu ülkeler listesinin en üst sırasında Çin yer almaktadır. Microsoft, Office yazılımında varsayılan olarak devre dışı bıraksa da, eski sürümleri kullananlar hala risk altındadır Ç'de Önde Gelen Kötü Amaçlı Makro Türevleri W97M_MARKER.BO X97M_OLEMAL.A W2KM_DLOADR.JS X2KM_DLOADR.C W97M_SATELLITE W97M_DLOADR.XTRZ W2KM_DLOAD.NB W97M_DLOADER.GHV X2KM_DLOAD.A X97M_LAROUX.CO Diğerleri %8 %5 %3 %2 %2 %2 %2 %2 %2 %2 %70 19 Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor

20 2015 1Ç'de Kötü Amaçlı Makroları Taşımaları için En Çok Suistimal Edilen Uygulamalar Word Excel PowerPoint Diğerleri %75 %21 %1 %3 Microsoft Word belgeleri ve Excel tablolarının, siber suçluların en çok tercih ettikleri taşıyıcılar olduğu kanıtlandı Ç'de Önde Gelen Kötü Amaçlı Makro Aileleri DLOADR DLOAD MARKER BARTALEX DLOADER DLOADE OLEMAL LAROUX BURSTED MDROP Diğerleri %30 %10 %8 %8 %6 %5 %4 %4 %3 %2 %20 Birçok bilgisayarda yüklü olan kötü amaçlı yazılımlara karşı bağımsız çözümleri kolayca atlatabildikleri için, kötü amaçlı makrolar en çok tercih edilen saldırı vektörleri haline gelmiştir. Önde gelen kötü amaçlı makro aileleri yükleyicilerdir ve bu da, diğer kötü amaçlı yazılımların, bunları sistemlere bulaşmak için araç olarak kullandığını gösterir. 20 Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor