Olay : 36 milyon Euro çalan malware Eurograbber Tarih :17/12/2012 Geçtiğimiz aylarda Avrupa genelinde yaklaşık 30.000 internet bankacılığı kullanıcısını hedef alan zararlı bir yazılımla ilgili bulgular yakın zamanda ortaya çıktı. Toplamda 36 milyon Euro nun üzerinde bir kayba yol açtığı tahmin edilen bu yazılımla gerçekleştirilen saldırının detay incelemesinin hem kişisel hem kurumsal güvenlik anlamında fayda sağlayacağını düşünerek bu yazımızı hazırladık. Adına Eurograbber denen bu zararlı yazılımın, saldırının detaylarını, metodlarını, bu ve benzeri APT saldırılarına karşı alınabilecek tedbirleri yazımızın devamında bulabilirsiniz. Saldırının Cinsi Eurograbber, hedef aldığı kullanıcıların hem bilgisayarına hem de cep telefonuna yerleşerek bankalar tarafından kullanılan 2 kademeli kimlik doğrulama yöntemini geçersiz kılabilmektedir. Hem istemci sistemi hem mobil sistemi adreslemesi bile, Eurograbber ı iyi bir inceleme konusu yapmaktadır. Eurograbber gelişmiş, çok kademeli ve hedefe özel olarak sınıflandırılabilir, bu sebeple APT (Advanced Persistent Threat) kategorisinde bir tehdit olarak değerlendirilebilir. Barikat olarak; önümüzdeki yıllarda APT vektörlerinin, en önemli kurumsal güvenlik tehditleri olarak ortaya çıkacağını tahmin ediyoruz. Saldırının Anatomisi İlk Aşama Kullanıcının bilgisayarına Zeus adıyla bilinen bir Truva Atı yerleşiyor. Zeus, kullanıcıya gelen bir phishing veya spam epostadaki bağlantıya tıklanması veya Zeus yerleştirilmiş sitelerin ziyaret edilmesiyle bulaşabiliyor.
İkinci Aşama Zeus kurbanın işlem yapmak için bir banka sitesine bağlanmasını bekliyor. Banka web sayfasını ziyaret eden kurbanın internet tarayıcısına javascript enjekte eden Zeus, kullanıcıda sahte bir güvenlik seviyesi arttırma sayfasının (Ekran-1) çıkmasını sağlıyor. Ekran-1: Sahte güvenlik seviyesi artırma ekranı Üçüncü Aşama Eurograbber edindiği telefon numarasını komuta merkezine gönderiyor. Dördüncü Aşama Ele geçirilen telefon numarasına, kurbanın biraz önce başlattığını düşündüğü güvenlik seviyesi artırma sürecinin tamamlanması için, bir SMS gönderiliyor. SMS içerisinde bulunan internet bağlantısının tıklanması Eurograbber ın mobil sürümünün mobil cihaza yüklenmesine sebep oluyor. Böylelikle kullanıcının mobil cihazı da ele geçiriliyor. Ekran-2 de Android ve Blackberry kullanıcılarına gönderilen iki farklı mesajın görüntüsü mevcuttur.
Ekran-2: Ele geçirilmeye çalışılan mobil cihaza gönderilen mesaj. Beşinci Aşama Cep telefonuna gönderilen SMS ile eşzamanlı olarak kurbanın bilgisayarında Ücretsiz şifreleme uygulaması için kullanacağınız indirme bağlantısı SMS ile tarafınıza gönderilmiştir. Uygulama kurulduktan sonra telefonunuzun ekranında beliren şifreyi aşağıdaki kutuya yazın uyarısı çıkartılıyor. Ekran-3 te bu ekran çıktısını da bulabilirsiniz. Ekran-3: Kullanıcıya ziyaret ettiği web sitesi tarafından çıkartılmış gibi gösterilen, SMS parolası girme ekranı. Altıncı Aşama Zararlı yazılım kurulduktan sonra kurbanın telefonunun ekranında, olarak, bir mesaj beliriyor. Ekran-4 örnek bir ekran görüntüsüne aittir. kullanılan dile uygun
Ekran 4: Mobil cihaza kurulan zararlı yazılımın mobil şifreyi görüntülediği uyarı ekranı. Böylece kurbanın bilgisayarına ve cep telefonuna zararlı yazılım bulaşmış, ikisi de saldırganlar tarafından yönetilebilir hale gelmiş oluyor. Paranın Çalınması Anlattığımız zararlı yazılımların kurulmasından sonra saldırganlar kurbanın parasını çalabilecek hale gelmektedir. Saldırganlara para transfer işlemi aşağıdaki beş adımda gerçekleşmektedir. Birinci Adım Kurbanın banka sitesine bağlanmasının ardından, zararlı yazılım çalışmaya başlar. İkinci Adım Saldırganlar tarafından belirlenmiş bir banka hesabına para transferinin yapılması için gerekli istek bankaya gönderilir. Üçüncü Adım Para transfer işleminin tamamlanabilmesi için banka tarafından kurbanın telefonuna gönderilen orijinal şifreyi barındıran mesaj telefonda bulunan zararlı yazılım tarafından yakalanır. Bu aşamada kurban kendisine bir SMS geldiğini bile fark etmez.
Dördüncü Adım Bankadan gelen SMS ve içindeki şifre saldırganların kullandığı bir telefon numarasına mesajla iletilir. Bu mesajda bulunan şifre, aynı zamanda kurbanın bilgisayarındaki zararlı yazılımı yönetmek için kullanılan komuta kontrol sunucusu ile paylaşılır. Beşinci Adım Ele geçirilen işlem onay şifresi, kurbanın bilgisayarı üzerinde bulunan zararlı yazılım tarafından komuta kontrol sunucusundan alınır (dördüncü adımda gönderilmişti) ve bankaya iletilir. Saldırganlara para transfer işlemi böylece tamamlanır. Bu işlemler sırasında kurbanın bilgisayar ve telefon ekranlarında hiçbir şey görülmemektedir. Bu işlem; kurban, bankanın sitesine her bağlandığında tekrarlanır. Savunma Yöntemleri Aşağıdaki uygulamaların hayata geçirilmesi benzer bir olayı büyük ölçüde engelleyecektir. WEB ve EPOSTA Anti Malware / Anti Virüs Sistemleri Saldırganlar genellikle eposta yoluyla gönderdikleri zararlı yazılımları bir dosya veya bağlantı içerisine saklarlar. PDF (Portable Document Format) uzantılı doysalar bu iş için yaygın olarak kullanılmakla beraber, zararlı yazılım bir resmin veya belgenin içerisine de saklanabilir. Saldırganların kullandığı bir diğer yöntem ise mail içerisine herhangi bir zararlı kod yerleştirmek yerine kodu mail içerisinde bulunan bir bağlantının yönlendirdiği bir internet sayfasına yüklemektir. Bu sayede sadece eposta içeriğini kontrol eden eposta güvenliği çözümlerinin atlatılması mümkündür. Bu nedenlerden dolayı güvenliği sağlayabilmek için epostaların taranmasının yanında URL filtreleme ve web ağ geçidi çözümleri konumlandırılmalıdır. Zararlı yazılımların tespiti için imza tabanlı çözümler yerine yapay zekâ algoritmalarına ve davranışsal analizlere dayalı çözümler tercih edilmelidir. İmza tabanlı olarak adlandırılan çözümler karşılaştıkları dosyaları daha önceden tanımlanmış zararlıların bulunduğu bir veri tabanı ile karşılaştırır. Davranışsal analize dayalı çözümler ise söz konusu kodun davranışına göre bunun zararlı olup olmadığına karar verdikleri için çok daha güvenilirdir. Davranışsal analiz yöntemini kullanan çözümlere örnek olarak Fireeye verilebilir. Diğer taraftan, kurumda bir URL filtreleme çözümünün olması, kullanıcıların zararlı kod içerdiği bilinen sayfalara erişimini engelleyebileceği için bu yolla gelebilecek zararlı yazılımları belli bir oranda azaltabilecektir.
Taşınabilir sistemlerin, kurum dışında olsa bile, kurum merkezlerinden internete çıkartılması Laptop gibi taşınabilir sistemler, kurum lokasyonları içinde belirli bir güvenlik koruması altında (firewall, url filter vb) kullanılmaktadır. Bu sistemler kurum dışına götürüldüklerinde ise, belirsiz bir güvenlik seviyesindeki ağları (acces point, guest net, cafe net vb) kullanarak internete bağlanmaktadırlar. Bu dış ağları kullanan diğer cihazlardan gelen tehditler, bu dış ağların bilgi çalınması amacıyla tasarlanmış olabilecek olmasının yarattığı tehditler ve diğer tehdit vektörleri; bu taşınabilir kullanıcı sistemlerin güvenliği için yeni teknik ve idari önlemler alınmasını gerektirmektedir. Kurumlarda taşınabilir bilgisayarların kurum dışına çıktığı durumlarda, bu bilgisayarların internette nereden bağlanırsa bağlansın güvende olmasını sağlamak mümkündür. Ayrıca bu sistemleri merkeze güvenli bir kanalla eriştirip, internet erişimlerini merkez üstünden yaptırmak, kurum içindeki güvenlik seviyesi neyse kurum dışında da güvenlik seviyesinin aynı kalmasını sağlayacaktır. Firmamız bu konuda gerekli teknik yapılandırmaları müşterileri için gerçekleştirebilmektedir. Barikat İnternet Güvenliği Tarafından Verilen Hizmetler Zeus adıyla bilinen zararlı yazılımın Türkiye de yaygın olarak bulunduğunu gösteren çeşitli araştırmalar mevcuttur. Bu nedenle bir Zeus türevi üzerine inşa edilmiş bu saldırının benzerlerinin ülkemizde de görülmesi çok muhtemeldir. Yukarıda verdiğimiz önerilerin yanında aşağıdaki hizmetlerimiz, kurumun bu tür bir saldırıya maruz kalmasını engelleyecek veya bu saldırının başladığını tespit etmeye faydalı olacaktır. Güvenlik ve Devamlılık Olayları Merkezi Gözlem Günümüz saldırılarının iyi planlanmış birkaç aşamadan oluşuyor olmasını, kurum güvenliği lehine kullanmak mümkündür. Barikat İnternet Güvenliği tarafından geliştirilen ve kamu kurumlarına sağlanan Güvenlik ve Devamlılık Olayları Merkezi Gözlem hizmeti sayesinde saldırıları erkenden tespit etmek ve gerekli tedbiri almak mümkün olmaktadır. Bu hizmet kapsamında analist olarak yetiştirilmiş personeller kurum ağında meydana gelen olayları sürekli gözlemleyerek, bunların arasında bir saldırı veya sızmaya işaret edenler olması halinde gerekli müdahale sürecini başlatmaktadır. Önde giden güvenlik olayları izleme çözümlerinin bile, ne yazık ki, bilgi birikimi ve zaman kısıtları nedeniyle kurumların bünyesinde verimli kullanılamadıkları tahmin edilmektedir. Güvenlik ve Devamlılık Olayları Merkezi Gözlem hizmeti ile kurumların kullanılabilecek ve amaca yönelik bir gözlem ve alarm sistemi hayata geçirmek mümkün olmaktadır. Malware Analizi Hizmeti Tespitlerimiz kurumsal istemcilerin, kullanılan antivirüs ürününden bağımsız olarak, %5 i ile %10 u arasındaki bir oranının dış komuta ve kontrol merkezlerince yönetildiğini göstermektedir. Barikat malware analizi hizmeti ile kurum ağına bulaşmış olan zararlı yazılımları tespit etmek, bu yazılımların davranışlarını ve hedeflerini ortaya koymak, komuta
kontrol merkezleri ile iletişimi kopartmak ve bu yazılımlardan kurtulmak mümkündür. Bu hizmet belirli aralıklarla alınabileceği gibi kurumun zararlı yazılımlara karşı korunmasını devamlı hale getirecek şekilde kurum ağına entegre etme seçeneği de mevcuttur. Üst Seviye Yönetici Güvenlik Analizi Kamu kurumlarının güvenliği konusunda edindiğimiz tecrübeler; kurum veritabanları, dosya sunucuları gibi bileşenlere ek olarak kurum üst seviye yöneticilerinin de son derece hassas bilgilere sahip oldukları ve bu bilgileri işledikleri yönünde olmuştur. Üst seviye yönetici güvenlik analizi, bu yöneticilere özel olarak ve Türkiye şartları göz önüne alınarak geliştirilmiştir. Bu hizmet kapsamında yöneticilerin kullandığı sistemler, yöneticilerin bağlı oldukları ağlar, yöneticilerin IT bileşenleri kullanma şekli/alışkanlıkları ve çevre birimlerde bulunabilecek saldırganlar tarafından kullanılabilecek saldırı vektörleri önceden ortaya çıkartılarak gerekli önlemler alınmaktadır. APT saldırılarının özellikle üst seviye yöneticileri hedef alacağını düşündüğümüz için bu analizlerin yerinde olacağını tahmin ediyoruz. Sosyal Mühendislik Güvenlik Testleri Barikat İnternet Güvenliği tarafından yapılan Sosyal Mühendislik Güvenlik Testleri ile kurum çalışanlarının sosyal mühendislik saldırılarına karşı ne kadar hazırlıklı olduklarını tespit etmek mümkündür. Bilindiği gibi sosyal mühendislik saldırıları, güvenlik yatırımlarının hepsini boşa çıkartabilecek kadar etkili saldırılardır, çünkü insanı hedef almaktadırlar. Bu saldırılara hazırlıklı olmak ürünlerle mümkün değildir. Barikat İnternet Güvenliği tarafından yapılan Sosyal Mühendislik Güvenlik Testlerinin amacı, kurum çalışanlarının sosyal mühendislik saldırılarına karşı alması gereken farkındalık eğitimin seviyesini belirlemek ve bu eğitimleri en faydalı şekilde vermektir. Güvenlik Farkındalık Eğitimi APT saldırıları ile birlikte sıkça karşılaştığımız sosyal mühendislik vektörlerine karşı kurum çalışanlarını bilinçlendirmeyi amaçlayan eğitimlerdir. Bu eğitimlerle, kurum çalışanlarının internet kullanımları sırasında en az zarar görmemeleri için izlemeleri gereken yöntemler ve APT saldırıları hakkında bilgiler verilmektedir.