Equation Group Değerlendirme Raporu

Benzer belgeler
Türk Telekom e-devlet Kapısı

EKLER EK 12UY0106-5/A4-1:

GLOBAL SİBER ATAK GÖRSELLEŞTİRME SİSTEMLERİ

SOME niz SOC unuz} siber olaylara hazır mı? VOLKAN ERTÜRK C EO & C O F O U N D E R BARİKAT II : Güvenliğin Temelleri

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi

KURUM AĞLARINI ÖNEMLĠ ZARARLI YAZILIM SALDIRILARINDAN KORUMA. Osman PAMUK

Çok işlevli USB Ağ Sunucusu Serileri

Malware Analizi Yöntem ve Araçları. Huzeyfe ÖNAL Bilgi Güvenliği

Çok işlevli USB Ağ Sunucusu Serileri

MODSECURITY DENETİM KAYITLARINI ANLAMAK. Gökhan Alkan,

Saldırgan Bakış Açısı ile Değer Yaratmak

Siber Savunma. SG 507Siber Savaşlar Güz 2014 Yrd. Doç. Dr. Ferhat Dikbıyık

Finans Sektörüne Yönelik Yeni Nesil Tehditler. Burç Yıldırım Mart 2015

Linux Temelli Zararlı Yazılımların Bulaşma Teknikleri, Engellenmesi ve Temizlenmesi

Linux işletim sistemlerinde dosya hiyerarşisinde en üstte bulunan dizindir. Diğer bütün dizinler kök dizinin altında bulunur.

Güvenliğin Görüntülenmesi, Verilerin Analizi ve Atakların Eş Zamanlı Olarak Durdurulması. Akademik Bilişim Şubat 2006

Bilgisayar Yazılımları

Trickbot Zararlı Yazılımı İnceleme Raporu

Sızma Testlerinde İleri Düzey Teknikler. Ozan UÇAR

ADOBE FLASH PLAYER / CVE (Sıfırıncı Gün Zafiyeti)

KAMU SİBER GÜVENLİK GÜNÜNE HOŞGELDİNİZ

Web Uygulama Güvenliği Kontrol Listesi 2010

SİBER ESPİYONAJ FAALİYETLERİ VE TÜRKİYE

SİBER SUÇLARA KARŞI SİBER ZEKA

2008 Yılı Kritik Güvenlik Açıkları

İnternet Programcılığı

1.1 Metodolojiyi Gerçeklemek Üzere Geliştirilen Altyapı

KASPERSKY LAB. Kaspersky Small Office Security GUIDE BA BAŞLARKEN

Sunum İçeriği. 1. Siber Savaş (Siber Terör) 2. Siber Savunma 3. USOM

Kurulum ve Sistem Gereklilikleri 1

Cybersecurity for IT Online

Gelişmiş Siber Tehdidler (APT): Genel Bakış

Bilgi Güvenliği Farkındalık Eğitimi

Dünyada Veri Kaçağı ve Veri Kaçağı Önleme (DLP) Sistemleri Tahsin TÜRKÖZ Bilişim Sistemleri Güvenliği Grubu

AĞ ve SİSTEM GÜVENLİĞİ

Özgür Yazılımlar ile Kablosuz Ağ Denetimi

Kaspersky Open Space Security: Release 2. İşletmeniz için birinci sınıf bir BT güvenliği çözümü

Veritabanı Sızma Testleri Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı

YENİ NESİL SİBER GÜVENLİK OPERASYON MERKEZİ (SGOM) Koruma, Tespit, Müdahale ve Tahmin. BARİKAT BİLİŞİM GÜVENLİĞİ Murat Hüseyin Candan Genel Müdür

Çalınan Laptopuzunun Peşini Bırakmayın!..

Rekabet Kurumu Başkanlığından, REKABET KURULU KARARI

EFe Event Management System

VIRTUALIZATION SANALLAŞTIRMA

SOC unuz siber saldırılara hazır mı?

Wolvox Kapı Ekranı. AKINSOFT Wolvox Kapı Ekranı Yardım Dosyası. Doküman Versiyon :

Windows Temelli Zararlı Yazılımlarla Mücadele

Web Server Sunucu Loglarının K-Komşu Algoritması ile İ ncelenmesi

BioAffix Ones Technology nin tescilli markasıdır.

Google Play Zararlısı İnceleme Raporu

MaestroPanel Kurulum

BioAffix Ones Technology nin tescilli markasıdır.

EYLÜL 2012 İŞLETİM SİSTEMLERİ. Enformatik Bölümü

Siber Suçlarla Mücadele Şube Müdürlüğümüz, ilimiz Derince ilçesinde bulunan İl Emniyet Müdürlüğü yerleşkesinde faaliyet göstermektedir.

18/09/2013. Sayın Av. Kemal Yener SARAÇOĞLU,

HP PROCURVE SWITCHLERDE 802.1X KİMLİK DOĞRULAMA KONFİGÜRASYONU. Levent Gönenç GÜLSOY

BioAffix Ones Technology nin tescilli markasıdır.

Bilgi Teknolojisi Altyapısı. Tarihi Gelişim. Tarihi Gelişim. Bulut Servis Sağlayıcı. Bulut Bilişim

BİLGİ TEKNOLOJİSİ ALTYAPISI. Mustafa Çetinkaya

PHP'ye Giriş Türkiye PHP Grubu - Linux Şenlikleri PHP Eğitim / Tanıtım Seminerleri Ankara, 11 Mayıs 2006 Hidayet Doğan <hdogan@hido.

Ders Tanıtım Sunumu. Internet Programming II. Elbistan Meslek Yüksek Okulu Bahar Yarıyılı. 26 Şub Öğr. Gör.

Fırat Üniversitesi Hastanesi Dinamik Web Sayfası

Bilgi ve iletişim teknolojileri

Ünite-3 Bilgisayar Yazılımı.

SÜRE BAŞLAMA TARİHİ : 19/12/2018 BİTİŞ TARİHİ : 20/02/2019 KURS SÜRESİ : 144 Saat KURS NO :

: 36 milyon Euro çalan malware Eurograbber

Bilgisayar Yazılımları

ŞEHİT FEHMİ BEY ORTAOKULU

INFORMATION & SECURITY TECHNOLOGIES. BOA - Trend Micro. Zararlı Yazılım Analizi ve APT. Yasin SÜRER yasin.surer@boateknoloji.com

Bilgi ve Bilgisayar Sistemleri Güvenliği (Information and Computer Systems Security)

BİLGİ TEKNOLOJİSİ ALTYAPISI. Mustafa Çetinkaya

Daha Güçlü Türkiye için Etkin SOME ler Nasıl Olmalı?

İMAGE (SİSTEM GÖRÜNTÜSÜ) ALMA VE YÜKLEME NASIL YAPILIR. İmage nedir?

Raporda öne çıkanlar:

LİNUX İŞLETİM SİSTEMİNİN KÖPRÜ MODUNDA ÇALIŞTIRILMASI VE GÜVENLİK DUVARI İŞLEMLERİ

KÖTÜ AMAÇLı YAZıLıMLAR VE GÜVENLIK

Bil101 Bilgisayar Yazılımı I. M. Erdem ÇORAPÇIOĞLU Bilgisayar Yüksek Mühendisi

Wireshark Lab.: DNS. 1. nslookup


SIMAN KULLANIM KILAVUZU

Script. Statik Sayfa. Dinamik Sayfa. Dinamik Web Sitelerinin Avantajları. İçerik Yönetim Sistemi. PHP Nedir? Avantajları.

Veri Tabanı Yönetim Sistemleri Bölüm - 02

SMT-W WiFi Dect Telefon. Türkçe Tanıtma ve Kullanma Kılavuzu

SkyStar3 USB 2.0 Box 64 bit BDA Sürücü Kurulumu

Bilgi güvenliği konusunda farkındalık yaratmak. Mobil cihazlardaki riskleri anlatmak. Mobil uygulamaların bilgi güvenliği açısından incelemek 2

Ajanda ; Fatih KARAALİOĞLU Kurucu Üye Portal Yöneticisi

ALİCAN HAZIR SİBER GÜVENLİK DEEP WEB NEDİR? DEEP WEB KATMANLARI KALI LINUX NEDİ R? KALI LINUX İ LE NELER YAPILABİLİR?

Ubuntu Hakkında En Çok Sorulan Sorular

Bilgi ve iletişim teknolojileri Dersi Ders Notlarıdır?

BioAffix Ones Technology nin tescilli markasıdır.

İletişim Ağlarında Güvenlik

Yükleme kılavuzu Fiery Extended Applications 4.2 ile Command WorkStation 5.6

İÇERİK YÖNETİM SİSTEMİ (CMS) Bir web sitesi yayınlamak için yapılması gerekenler:

İşletim Sistemleri; İÇERİK. Yazılım BİLGİ TEKNOLOJİLERİ VE UYGULAMALARI Yazılım Türleri

mmcube Çokluortam Bilgi Sistemi

Güvenlik, Telif Hakları ve Hukuk

ORTA DOĞU TEKNİK ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI. Güvenlik ve Virüsler. ODTÜ BİDB İbrahim Çalışır, Ozan Tuğluk, Cengiz Acartürk


Şekil 1- CryptoLocker Tarafından Kullanıcılara Gönderilen Eposta

Transkript:

20 Şubat 2015 Değerli Müşterimiz, Barikat ArGe olarak; bilişim güvenliği alanında önemli bulduğumuz çalışmaları Türkiye yerel parametreleri dikkate alarak değerlendiriyor ve yorumluyoruz. Bu dokümanımızda; Equation Group hacker grubunu yorumlamaya çalıştık. Raporun kaynağı olarak Equation Group adlı siber casusluk örgütünün varlığını tespit eden, Kaspersky Lab tarafından oluşturulmuş Equation Group: Questions and Answers adlı doküman kullanılmıştır. Yorumlarımızın sizlere yararlı olacağını umar, keyifli bir okuma dileriz. Saygılarımızla, Barikat Bilişim Güvenliği ArGe Birimi İletişim Adresi: Mutlukent Mahallesi, 1961. cadde No: 9 / A-1 PK: 06800 Ümitköy, Ankara, Türkiye Telefon : +90 312 235 44 41 Faks : +90 312 235 44 51 Web Sitesi : www.barikat.com.tr Eposta : bilgi@barikat.com.tr 1 BARİKAT BİLİŞİM GÜVENLİĞİ 1/21

-BOŞ BIRAKILMIŞTIR- 2 BARİKAT BİLİŞİM GÜVENLİĞİ 2/21

İÇİNDEKİLER 1 Yönetici Özeti... 4 2 Analiz... 5 3 Sonuçlar... 4 4 Referanslar... 5 Ek-A İstila Emareleri (IOC)... 0 İLETİŞİM BİLGİLERİ... 4 3 BARİKAT BİLİŞİM GÜVENLİĞİ 3/21

1 Yönetici Özeti Bu raporumuzda, bir çok kuruluş tarafından tarihin en karmaşık yapısına sahip olduğu düşünülen Equation Group adlı siber casusluk grubunu incelemeye çalıştık. Düşmanını tanı prensibinden yola çıkılarak hazırlanan bu raporda, Equation Group tarafından oluşturulmuş zararlı yazılımlardan, grubun faaliyetlerinden bahsedilmiş ve yazının sonunda saldırıları tespit etmede kullanılabilecek İstila Emareleri (IOC) belirtilmiştir. Barikat Ar-Ge departmanı tarafından 2014 yılında yayınlanan Verizon DBIR-2014 Değerlendirme Raporunda 1 ve 2014 yılı Aralık ayında gerçekleştirilen Barikat 2015 Etkinliğinde 2, önemle vurgulanan konulardan bir tanesi de Siber Casusluk faaliyetlerinin yükselişte olduğu idi. Bir çok kaynağa göre bu grup, kullanmakta oldukları ileri düzey teknik, beceriler ve araçlar dolayısıyla bir yabancı devlet tarafından desteklenmekte veya direk olarak o ülkenin istihbarat servisi altında çalışmakta. Eğer kaynakların belirtmiş olduğu varsayımlar doğru ise, bilişim güvenliği alanında şimdiye kadar karşılaşılan bu en ciddi ve kapsamlı siber casusluk faaliyeti yaklaşık 14 yıldır devam etmektedir. Türkiye, yayınlanan rapora göre, bu siber casusluk olayından etkilenen ülkelerden bir tanesidir. Durumun ciddiyetini vurgulamak açısından, fiziksel teslimat aşamasında yer alan ürünlerin dahi içerisine müdahale ederek zararlı yazılım yükleyebilen bu grup, bilgi toplama, uzaktan erişim ve sistemlerin kontrolü gibi ileri seviye faaliyetler gerçekleştirebilmektedir. Yine bu grup, çok bilinen bazı disk üreticilerinin bellenim (firmware) yapılarına müdahale ederek, askeri yöntemlerle disk sıfırlama işlemlerini bile atlatabilecek uygulamaları ile, veri sızıntısına neden olabilecek faaliyetler gerçekleştirebildikleri çeşitli raporlarda yer almaktadır. Kaspersky raporunda belirtilen bu mevzuların, henüz ilgili üretici, kurum ve kuruluşlar tarafından doğrulanmadığını belirtmekle birlikte, her ihtimale karşı bu raporda bahsi geçen güvenlik durumlarının bizleri ne kadar etkileyebileceğinin incelenmesi millî menfaatlerimiz açısından faydalı olacaktır. Bu grubun oluşturmuş olduğu tahmin edilen uygulamalar ile ilgili İstila Emarelerini (IOC) de bu raporun ekler kısmında bulabilirsiniz. İyi okumalar dileriz. 1 http://docs.barikat.com.tr/file/barikat_verizondbir14.pdf 2 http://2015.barikat.com.tr/ 4 BARİKAT BİLİŞİM GÜVENLİĞİ 4/21

2 Analiz Equation Group Equation Group (EG); 1996 ila 2001 yılları arasında oluşturulduğu düşünülen, yüksek seviyede araç, teknik ve süreçlere (TTP) sahip sofistike bir siber casusluk ekibidir. Bu isim ekibe Kaspersky Lab tarafından verilmiş olup, bu ismin seçilme nedeni olarak ekibin sıklıkla kullanmakta olduğu şifreleme algoritmaları ve şaşırtma stratejileri gösterilmektedir. Ayrıca Kaspersky, EG nin şimdiye kadar rastlamış oldukları en sofistike siber atak grubu olduğunu belirtmektedir. Araçlar EG tarafından kullanıldığı tespit edilen bir takım yazılımlardan bahsetmek gerekirse: EquationDrug DoubleFantasy Equestre TripleFantasy GrayFish Fanny EquationLaser Şekil-1 Equation Group Zararlı Yazılım Ailesi 5 BARİKAT BİLİŞİM GÜVENLİĞİ 5/21

Bu zararlı uygulamalardan en önemlilerinden kısaca bahsetmek gerekirse: EquationDrug 2013 sonrasında GrayFish ile değiştirilen EquationDrug, EG nin en karmaşık casusluk platformlarından bir tanesidir. İlk başta DoubleFantasy (bu yazılımın Mac OS X için geliştirilmiş sürümüne de rastlanmıştır) bulaştırılan kurban, eğer ilgi çekici özelliklere (kritik verilere vb.) sahip ise EquationDrug yüklenerek işletim sisteminin tam olarak kontrolü ele geçirilmektedir. Bu noktadan sonra istenilen eklentiler ilgili sisteme yüklenerek kurban üzerinde her türlü faaliyet gerçekleştirilebilmektedir. Şekil-2 EquationDrug bulaşma döngüsü EquationDrug Windows 95/98/ME/XP/2003 işletim sistemlerinde çalışmaktadır. Eğer işletim sistemi Windows 7 ve sonrası ise saldırganlar TripleFantasy veya GrayFish platformlarını kullanmaktadır. Ayrıca bu yazılım kendini belli bir süre sonra imha etme (C2 ile irtibat kuramama durumda tespit edilmemek açısından) özelliğine de sahiptir. GrayFish EG nin; tüm yeni nesil Windows işletim sistemlerinde çalışan, tespit edilmesi çok zor, gizli bir depolama alanında yer alan, kod çalıştırmaya imkan veren en modern ve karmaşık siber casusluk uygulamasıdır. GrayFish; bulaştığı bilgisayarın açılış aşamasında kendini boot record alanına enjekte ederek adım adım tüm aşamaları kontrolü altına alabilmektedir. Bu şekilde işletim sistemi ile ilgili her türlü kontrolü de eline alabilmektedir. Bootkit ile kullanılarak tüm bilgileri şifreleyip registry de tutabilen yapısı sayesinde antivirüs ürünleri tarafından da yakalanamamaktadır. 1 BARİKAT BİLİŞİM GÜVENLİĞİ 1/21

Fanny EG tarafından oluşturulan ve Ortadoğu ve Asya ülkelerine dağıtılan Fanny worm u iki adet sıfır-gün exploit içermektedir. Burada önemli olan nokta; bu iki exploit in Stuxnet te bile kullanılmadan önce Fanny de kullanılmasıdır. Bu durumda akla, Stuxnet i geliştirenler ile bu grubun aynı kişiler olma ihtimali gelmektedir. Fanny; hava-boşluklu sistemlerden dahi veri sızdırılmasına yarayan bir uygulamadır. Bir USB belleğe bulaşan bu uygulama; internet bağlantısı olmayan bir sunucuya bağlandığında durumu algılamakta ve sistem bilgilerini kendi şifreli ve gizli alanına kopyalamaktadır. Eğer üzerine belirli komutlar girilmiş ise bu komutları çalıştırmakta ve sonuçlarını yine üzerine yazabilmektedir. Daha sonra bu USB bellek internet bağlantısı olan bir sisteme bağlandığında, üzerindeki bilgileri C2 sitesine gönderebilmektedir. Equation Group; kurbanlara erişim için çeşitli kanallar kullanmaktadır. Bunlar: Worm Fiziksel medya, CD-ROM USB bellekler + exploitler Web tabanlı exploitler Bu kanallardan en ilginç olanı ise, CD-ROM ların exploit edilmesidir. Gönderi halindeki fiziksel CD- ROMlar yolda trojanlı sürümleri ile değiştirilmekte ve kurbanlara gönderilmektedir! Bunun tam olarak nasıl başarıldığı bilinmemekle birlikte EquationLaser içeren bir Oracle yükleme CD si bile tespit edilmiştir. Yine önemli saldırı tekniklerinden bir tanesi de; EG nin; disk formatlama işlemlerinden korunmasını sağlayan ve kendine gizli bir alan oluşturan HDD firmware lerini yeniden programlama eklentisidir. Bu eklenti son derece nadir olmakla birlikte çok az rastlandığı için sadece çok özel durumlarda kullanıldığı düşünülmektedir. Bu eklentinin yeni sürümü aşağıdaki sınıfları programlayabilmektedir: WDC WD, <Western Digital Technologies Inc> additional vendor specific checks used ST, Maxtor STM, SEAGATE ST, <Seagate Technology> SAMSUNG, <SAMSUNG ELECTRONICS CO., LTD.> WDC WD, <Western Digital Technologies, Inc.> additional vendor specific checks used <HGST a Western Digital Company>, IC, IBM, Hitachi, HTS, HTE, HDS, HDT, ExcelStor Max, Maxtor STM <MICRON TECHNOLOGY, INC.>, C300, M4 <HGST a Western Digital Company>, <TOSHIBA CORPORATION> OCZ, OWC, Corsair, Mushkin additional vendor specific checks used <Samsung Electronics Co., Ltd., Storage System Division>, <Seagate Technology>, <SAMSUNG ELECTRONICS CO., LTD.> +additional checks <TOSHIBA CORPORATION COMPUTER DIVISION>, TOSHIBA M +checks <Seagate Technology>, ST 2 BARİKAT BİLİŞİM GÜVENLİĞİ 2/21

EG tarafından C2 olarak kullanılan 300 den fazla etki alanı ve 100 den fazla sunucu tespit edilmiştir. Bu sunucular dağıtık yapıda birden çok ülkede barındırılmaktadır. Diğer bir vurgulanması gereken önemli konu ise; EG nin belirli bölgelerden gelen ziyaretçileri etkileyecek php tabanlı sitelere betik yüklemeleridir. Bu betik sayesinde ilgili siteyi ziyaret eden oturum açmış kullanıcılara zararlı yazılım bulaşarak kontrol elde edilebilecektir. Bu betik ayrıca iphone larda da çalışacak şekilde de tasarlanmıştır. İlgili yazılımın bulaşması için yazılan betikte, kasıtlı olarak exploit edilmeyecek üç ülkenin IP blokları tespit edilmiştir. Bu ülkeler Ürdün, Türkiye ve Mısır dır. Yani bu ülkelere exploit bulaşmaması için özel yapılandırma yapılmıştır. Equation Group kurbanlarının dağılımı aşağıdaki şekilde gösterilmiştir. Şekil-3 Equation Group kurban haritası Türkiye bu listede düşük seviyedeymiş gibi görünse de, EG yazılım ve eklentilerinin kendini imha mekanizmasına sahip olmasından dolayı, tespit edilmemiş olma ihtimali unutulmamalıdır. İlgili grubun yaklaşık olarak 15 senedir faaliyet yürüttüğünü de göz önünde bulundurursak Türkiye dekiler de dahil olmak üzere binlerce faaliyet göstermiş olmaları ihtimali göz ardı edilemez bir gerçektir. 3 BARİKAT BİLİŞİM GÜVENLİĞİ 3/21

3 Sonuçlar Yukarıda anlatmaya çalıştığımız gibi, Equation Group son derece tehlikeli ve karmaşık olmakla beraber ulusal bir siber casusluk örgütü emareleri göstermektedir. Bu örgüt tarafından gerçekleştirilen faaliyetlere maruz kalınıp kalınmadığını, halen bu tür faaliyetlerin sistemimizde gerçekleşip gerçekleşmediğini anlamaya yönelik, Ek-A da belirtilen istila emareleri ile ilgili çalışmaların bir an önce gerçekleştirilmesi önemlidir. Öncelikli olarak hızlı bir kontrol açısından, Ek-A da tanımlı IP ve etki alanlarına içeriden herhangi bir erişim olup olmadığını tespit etmeye yönelik sorgular, güvenlik duvarı veya yönlendiriciler üzerinden gönderilebilir. Yine Ek-A da belirtilmiş zararlı yazılımların MD5 değerleri, son kullanıcı AV, HIPS vb. ürünleri üzerinde tanımlanıp, bu uygulamaların varlığı hakkında bilgi edinme ve engelleme işlemleri gerçekleştirilebilir. Diğer raporlarımızda da önerdiğimiz gibi; Barikat olarak inancımız, güvenliği bütünsel olarak ele alacak bir güvenlik metodolojisi oluşturmak gerektiği yönündedir. Bu metodoloji ile atılması gereken adımlar önceliklendirilmeli ve bu adımların mümkün olduğunca otomasyonu sağlanmalıdır. Barikat ArGe olarak bu metodolojik yaklaşım ile oluşturduğumuz Barikat Güvenlik Kontrolleri (BGK) bir çok alt kontrol içermektedir. BGK uygulandığında, ilgili kurumun güvenlik seviyesinde %90 lara varan bir iyileşme olması öngörülmektedir. BGK hakkında detaylı bilgi almak için müşteri yöneticiniz ile iletişime geçebilirsiniz. 4 BARİKAT BİLİŞİM GÜVENLİĞİ 4/21

4 Referanslar 1. https://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy/ 2. http://arstechnica.com/security/2015/02/how-omnipotent-hackers-tied-to-the-nsa-hid-for- 14-years-and-were-found-at-last/ 3. http://www.kaspersky.com/about/news/virus/2015/equation-group-the-crown-creatorof-cyber-espionage 5 BARİKAT BİLİŞİM GÜVENLİĞİ 5/21

Ek-A İstila Emareleri(IOC) İsim EquationLaser MD5 752af597e6d9fd70396accc0b9013dbe Tip EquationLaser installer Derlenme Mon Oct 18 15:24:05 2004 İsim Disk from Houston "autorun.exe" with EoP exploits MD5 6fe6c03b938580ebf9b82f3b9cd4c4aa Tip EoP package and malware launcher Derlenme Wed Dec 23 15:37:33 2009 İsim DoubleFantasy MD5 2a12630ff976ba0994143ca93fecd17f Tip DoubleFantasy installer Derlenme Fri Apr 30 01:03:53 2010 İsim EquationDrug MD5 4556ce5eb007af1de5bd3b457f0b216d Tip EquationDrug installer ("LUTEUSOBSTOS") Derlenme Tue Dec 11 20:47:12 2007 İsim GrayFish MD5 9b1ca66aab784dc5f1dfe635d8f8a904 Tip GrayFish installer Derlenme Compiled: Fri Feb 01 22:15:21 2008 (installer) İsim Fanny MD5 0a209ac0de4ac033f31d6ba9191a8f7a Tip Fanny worm Derlenme Mon Jul 28 11:11:35 2008 İsim TripleFantasy MD5 9180d5affe1e5df0717d7385e7f54386 loader (17920 bytes.dll) Tip ba39212c5b58b97bfc9f5bc431170827 encrypted payload (.DAT) Derlenme various, possibly fake İsim _SD_IP_CF.dll - unknown MD5 03718676311de33dd0b8f4f18cffd488 Tip DoubleFantasy installer + LNK exploit package Derlenme Fri Feb 13 10:50:23 2009

İsim nls_933w.dll MD5 11fb08b9126cdb4668b3f5135cf7a6c5 Tip HDD reprogramming module Derlenme Tue Jun 15 20:23:37 2010 Name standalonegrok_2.1.1.1 / GROK MD5 24a6ec8ebf9c0867ed1c097f4a653b8d Type GROK keylogger Compiled Tue Aug 09 03:26:22 2011 Komuta Kontrol Sistemleri DoubleFantasy: advancing-technology.com avidnewssource.com businessdealsblog.com businessedgeadvance.com charging-technology.com computertechanalysis.com config.getmyip.com globalnetworkanalys.com melding-technology.com myhousetechnews.com newsterminalvelocity.com selective-business.com slayinglance.com successful-marketing-now.com taking-technology.com techasiamusicsvr.com - technicaldigitalreporting.com timelywebsitehostesses.com www.dt1blog.com www.forboringbusinesses.com EquationLaser: lsassoc.com gar-tech.com Fanny: webuysupplystore.mooo.com 1 BARİKAT BİLİŞİM GÜVENLİĞİ 1/21

BARİKAT BİLİŞİM GÜVENLİĞİ 1/21 1 EquationDrug: newjunk4u.com easyadvertonline.com newip427.changeip.net - ad-servicestats.net subad-server.com ad-noise.net ad-void.com aynachatsrv.com damavandkuh.com fnlpic.com monster-ads.net nowruzbakher.com sherkhundi.com quik-serv.com nickleplatedads.com arabtechmessenger.net amazinggreentechshop.com foroushi.net technicserv.com goldadpremium.com honarkhaneh.net parskabab.com technicupdate.com technicads.com customerscreensavers.com darakht.com ghalibaft.com adservicestats.com 247adbiz.net webbizwild.com roshanavar.com afkarehroshan.com thesuperdeliciousnews.com adsbizsimple.com goodbizez.com meevehdar.com xlivehost.com gar-tech.com downloadmpplayer.com honarkhabar.com techsupportpwr.com webbizwild.com zhalehziba.com serv-load.com wangluoruanjian.com islamicmarketing.net noticiasftpsrv.com coffeehausblog.com platads.com havakhosh.com toofanshadid.com bazandegan.com sherkatkonandeh.com mashinkhabar.com quickupdateserv.com rapidlyserv.com GrayFish: ad-noise.net business-made-fun.com businessdirectnessource.com charmedno1.com cribdare2no.com dowelsobject.com following-technology.com forgotten-deals.com functional-business.com housedman.com industry-deals.com listennewsnetwork.com

phoneysoap.com posed2shade.com quik-serv.com rehabretie.com speedynewsclips.com teatac4bath.com unite3tubes.com unwashedsound.com TripleFantasy: arm2pie.com brittlefilet.com cigape.net crisptic01.net fliteilex.com itemagic.net micraamber.net mimicrice.com rampagegramar.com rubi4edit.com rubiccrum.com rubriccrumb.com team4heat.net tropiccritics.com Equation Group exploit sunucuları: standardsandpraiserepurpose.com suddenplot.com technicalconsumerreports.com technology-revealed.com Zararlı yazılım konfigürasyon bloklarındaki kodlanış IP ler 149.12.71.2 190.242.96.212 190.60.202.4 195.128.235.227 195.128.235.231 195.128.235.233 195.128.235.235 195.81.34.67 202.95.84.33 203.150.231.49 203.150.231.73 210.81.52.120 212.61.54.239 41.222.35.70 62.216.152.67 64.76.82.52 80.77.4.3 81.31.34.175 81.31.36.174 81.31.38.163 81.31.38.166 84.233.205.99 85.112.1.83 87.255.38.2 89.18.177.3 1 BARİKAT BİLİŞİM GÜVENLİĞİ 1/21

BARİKAT BİLİŞİM GÜVENLİĞİ 1/21 1 Kaspersky ürünleri tespit isimleri: Backdoor.Win32.Laserv Backdoor.Win32.Laserv.b Exploit.Java.CVE-2012-1723.ad HEUR:Exploit.Java.CVE-2012-1723.gen HEUR:Exploit.Java.Generic HEUR:Trojan.Java.Generic HEUR:Trojan.Win32.DoubleFantasy.gen HEUR:Trojan.Win32.EquationDrug.gen HEUR:Trojan.Win32.Generic HEUR:Trojan.Win32.GrayFish.gen HEUR:Trojan.Win32.TripleFantasy.gen Rootkit.Boot.Grayfish.a Trojan-Downloader.Win32.Agent.bjqt Trojan.Boot.Grayfish.a Trojan.Win32.Agent.ajkoe Trojan.Win32.Agent.iedc Trojan.Win32.Agent2.jmk Trojan.Win32.Diple.fzbb Trojan.Win32.DoubleFantasy.a Trojan.Win32.DoubleFantasy.gen Trojan.Win32.EquationDrug.b Trojan.Win32.EquationDrug.c Trojan.Win32.EquationDrug.d Trojan.Win32.EquationDrug.e Trojan.Win32.EquationDrug.f Trojan.Win32.EquationDrug.g Trojan.Win32.EquationDrug.h Trojan.Win32.EquationDrug.i Trojan.Win32.EquationDrug.j Trojan.Win32.EquationDrug.k Trojan.Win32.EquationLaser.a Trojan.Win32.EquationLaser.c Trojan.Win32.EquationLaser.d Trojan.Win32.Genome.agegx Trojan.Win32.Genome.akyzh Trojan.Win32.Genome.ammqt Trojan.Win32.Genome.dyvi Trojan.Win32.Genome.ihcl Trojan.Win32.Patched.kc Trojan.Win64.EquationDrug.a Trojan.Win64.EquationDrug.b Trojan.Win64.Rozena.rpcs Worm.Win32.AutoRun.wzs

Yara kuralları: rule apt_equation_exploitlib_mutexes { meta: copyright = "Kaspersky Lab" description = "Rule to detect Equation group's Exploitation library" version = "1.0" last_modified = "2015-02-16" reference = "https://securelist.com/blog/" strings: $mz="mz" $a1="prkmtx" wide $a2="cnformsyncexfbc" wide $a3="cnformvoidfbc" wide $a4="cnformsyncexfbc" $a5="cnformvoidfbc" condition: (($mz at 0) and any of ($a*)) } rule apt_equation_doublefantasy_genericresource { meta: copyright = "Kaspersky Lab" description = "Rule to detect DoubleFantasy encoded config" version = "1.0" last_modified = "2015-02-16" reference = "https://securelist.com/blog/" 1 BARİKAT BİLİŞİM GÜVENLİĞİ 1/21

strings: $mz="mz" $a1={06 00 42 00 49 00 4E 00 52 00 45 00 53 00} $a2="yyyyyyyyyyyyyyyy" $a3="002" condition: (($mz at 0) and all of ($a*)) and filesize < 500000 } rule apt_equation_equationlaser_runtimeclasses { meta: copyright = "Kaspersky Lab" description = "Rule to detect the EquationLaser malware" version = "1.0" last_modified = "2015-02-16" reference = "https://securelist.com/blog/" strings: $a1="?a73957838_2@@yaxxz" $a2="?a84884@@yaxxz" $a3="?b823838_9839@@yaxxz" $a4="?e747383_94@@yaxxz" $a5="?e83834@@yaxxz" $a6="?e929348_827@@yaxxz" condition: any of them } 2 BARİKAT BİLİŞİM GÜVENLİĞİ 2/21

rule apt_equation_cryptotable { meta: copyright = "Kaspersky Lab" description = "Rule to detect the crypto library used in Equation group malware" version = "1.0" last_modified = "2015-02-16" reference = "https://securelist.com/blog/" strings: $a={37 DF E8 B6 C7 9C 0B AE 91 EF F0 3B 90 C6 80 85 5D 19 4B 45 44 12 3C E2 0D 5C 1C 7B C4 FF D6 05 17 14 4F 03 74 1E 41 DA 8F 7D DE 7E 99 F1 35 AC B8 46 93 CE 23 82 07 EB 2B D4 72 71 40 F3 B0 F7 78 D7 4C D1 55 1A 39 83 18 FA E1 9A 56 B1 96 AB A6 30 C5 5F BE 0C 50 C1} condition: } $a 3 BARİKAT BİLİŞİM GÜVENLİĞİ 3/21

İLETİŞİM BİLGİLERİ İletişim Adresi: Mutlukent Mahallesi, 1961. cadde No: 9 / A-3 PK: 06800 Ümitköy, Ankara, Türkiye Telefon : +90 312 235 44 41 Faks : +90 312 235 44 51 Web Sitesi : www.barikat.com.tr Eposta : bilgi@barikat.com.tr 4 BARİKAT BİLİŞİM GÜVENLİĞİ 4/21

5 BARİKAT BİLİŞİM GÜVENLİĞİ 5/21

2026 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim