INFORMATION & SECURITY TECHNOLOGIES. BOA - Trend Micro. Zararlı Yazılım Analizi ve APT. Yasin SÜRER yasin.surer@boateknoloji.com

Transkript

1 INFORMATION & SECURITY TECHNOLOGIES BOA - Trend Micro Zararlı Yazılım Analizi ve APT Yasin SÜRER yasin.surer@boateknoloji.com

2 Zararlı Yazılımlar Virüsler Solucanlar Ransomware Bot Arka Kapılar Fork Bomb RAT

3 Zararlı Yazılım Tarihi John Von Neuman Kendini Kopyalayabilen Otomatlar Frederic B. Cohen Yapılan İlk virüs tanımı 80 li yıllar ve virüsler 90 lı yıllar ve virüsler 2000 ve 2006

4 Motivasyon Öğrenmek, Daha Fazla Öğrenmek Neler Yapabileceklerini Keşfetmek Çizilen Sınırların Ötesine Geçebilmek Kendini İfade Edebilmek Mesaj Kaygısı

5 Eskiden Virüs Yazarları Yeni Teknikler Geliştirme Polimorfik Mutasyon Motoru Dark Avenger (MtE) Metamorfik Virüsler Zmist Simile

6 Günümüzde Motivasyon Para Politik Görüşler ve Milliyetçilik Vb.

7 Zararlı Yazılım Türleri Hardware/Firmware Çekirdek Seviyesinde (Kernel-Land) Bootkit Rootkit Kullanıcı Seviyesinde (User-Land)

8 Zararlı Yazılım Teknik Özellikleri Sanal Ortamların Tespiti VirtualBox Vmware Hyper-V Sıkıştırılmış Kod (Obfuscation) Şifreleme (Encryption)

9 Gelişmiş Zararlı Yazılımlar Stuxnet HIKIT DuQu ZeuS

10 Zararlı Yazılımlar ve Kapasiteleri Görüntü Kaydetme Ortam Dinlemesi Ağ Trafiğini Dinleme Klavye Kaydetme Uzaktan Kontrol Vb.

11 Zararlı Yazılımlar ve Teknik Kapasiteleri Anti-Virüsleri Atlatabilirler Firewall Cihazları/Yazılımlarını Atlatabilirler Kendilerini Gizleyebilirler Dizinleri/Dosyaları Gizleyebilirler Network Trafiğini Gizleyebilirler

12 Gelişmiş Kalıcı Tehditler (APT) 1. Aşama: Keşif ve Bulaşma 2. Aşama: Kontrolü Ele Alma ve Kalıcı Olma 3. Aşama: Veri Ayrıştırma ve Toplama

13 APT - Bileşenleri Internet Yolu ile Gerçekleşen Enfeksiyonlar Fiziksel Unsurlar ile Gerçekleşen Enfeksiyonlar Harici Ataklar

14 APT Internet ve Yazılım Enfeksiyonları Drive-by Download Elektronik Posta Ekleri Dosya Paylaşım Protokolleri Phishing.

15 APT Fiziksel Zararlı Yazılım Enfeksiyonları Enfekte USB Diskler Enfekte CD ve DVD Enfekte Hafıza Kartları Enfekte Cihazlar Arka Kapı Açılan (backdoored) IT Ekipmanları

16 APT Harici Ataklar Wi-Fi Hacking Cloud Sunucular Sunucuların Barındırıldığı Noktalar Profesyonel Ataklar vb...

17 APT Hedefler İlk Hedefli Atak Örneği U.S. Air Force 2006 Askeri Kurumlar Devlet Kuruluşları Bankacılık ve Finans Savunma Sanayii Herkes!

18 Örnek Bir APT Saldırısı HIKIT Gelişmiş Bir Zararlı Yazılımdır 2011 Yılında Keşfedilmiştir Amaç: İstihbarat Toplamak Hedef: ABD Savunma Bakanlığı ile çalışan Müteahhit Firmalar.

19 Teknik Analiz Anti-Virüsler Tarafından Tespit Edilemiyor Firewall Cihazları tarafından tespit edilemiyor. Kendisini Sisteme (Driver) Sürücü Olarak Ekliyor. Uzaktan Kontrol Edilebiliyor

20 Biraz Daha Teknik Küçük boyutlu bir *.exe ile sisteme bulaşır. Çalıştırılabilir Dosya içerisinde oci.dll isimli bir kütüphane barındırır. Bu DLL sisteme imzalanmış driver modülü ekler. Tüm Süreçler çekirdek modül üzerinden işletilir.

21 Kod İmzalama (Code Signing)

22 Kod İmzalama (Code Signing)

23 HIKIT ve Saldırgan İletişimi

24 HIKIT ve Saldırgan İletişimi

25 HIKIT ve Saldırgan İletişimi

26 HIKIT ve Saldırgan İletişimi

27 HIKIT ve Saldırgan İletişimi

28 FinFisher Gamma Group Tarafından Geliştirilmiş bir zararlı yazılımdır Merkezi İngiltere de bulunan bir yazılım firması. Lisans anlaşması, 287,000 İlk Anlaşma örneği Hüsnü Mübarek in ofisinde bulundu. Amaç: Siber İstihbarat / Dijital Gözetim Hedef: Herkes! Kapasite Şifreli İletişimi Monitör Edebilir Uzaktan Kontrol Edilebilir.

29 FinFisher

30 FinFisher

31 FinFisher C&C

32 Dexter Dexter 2012 Aralık Ayından keşfedilmiştir Windows işletim Sistemini Hedef Almaktadır Amaç: Dolandırıcılık Hedef: PoS Sistemleri Kapasite Uzaktan Kontrol Edilebilir Çaldığı verilerin tamamını tek bir noktada toplar.

33 Dexter

34 Dexter

35 Shamoon Shamoon yada Disttrack 2012 yılında tespit edilmiştir. Amaç Siber İstihbarat Sabotaj Hedef: Enerji Sektörü Saudi Aramco adet makineye bulaştı BSOD! RasGas

36 Shamoon

37 Shamoon

38 FatMal Fatmal 19 Aralık 2012 yılının sonlarında keşfedildi Türkiye de bir çok firma etkilendi Turkcell THY Oltalama (Phising) yöntemi ile bulaşıyordu. Türü: Botnet Amaç: Dolandırıcılık? Hedef: Türkiye

39 FatMal

40 FatMal Atak Gelen Ülkeler

41 FatMal

42 FatMal

43 Georbot Georbot 2012 yılının sonlarına doğru keşfedildi. İlk versiyon 2010 yılına ait. Amaç: Askeri İstihbarat Hedef: Gürcistan Zaman dilimine (Timezone) göre çalışmaktadır. Kapasiteleri Ekran Görüntüsü Ses Kayıt Tüm network ü tarayabilme Vb..

44 Georbot

45 Georbot 1. Gürcistan üzerinde yayın yapan web siteleri ele geçirildi ve zararlı yazılım yüklendi. (Sadece spesifik bilgiler içeren sayfalara.) 2. Bu haber sitelerini ziyaret edenlere zararlı yazılım bulaştırıldı. 3. Zararlı yazılım çalıştırıldığında sistem üzerinde tam kontrol sağlıyordu. 4. Zararlı sadece, belirli kelimeleri içeren döküman dosyalarını arıyordu. 5. Video ve Audio kayıt özellikleri ile ortam dinlemesi ve görüntüleme yapabilmek mümkündür.

46 Georbot

47 Georbot

48 FatMal Fatmal 19 Aralık 2012 yılının sonlarında keşfedildi Türkiye de bir çok firma etkilendi Turkcell Oltalama (Phising) yöntemi ile bulaşıyordu. Türü: Botnet Amaç: Dolandırıcılık? Hedef: Türkiye

49 FatMal C&C Comm Rusya Polonya Xtreme RAT Hedef Amerika Israil İngiltere Turkiye (Dış İşleri Bakanlığı)

50 INFORMATION & SECURITY TECHNOLOGIES Q&A EOF