SİBER ESPİYONAJ FAALİYETLERİ VE TÜRKİYE

Benzer belgeler
MUDDYWATER / PROXYRAT SİSTEM SIKILAŞTIRMA ÖNERİLERİ

ADOBE FLASH PLAYER / CVE (Sıfırıncı Gün Zafiyeti)

Trickbot Zararlı Yazılımı İnceleme Raporu

Enerji, bankacılık, finans, telekomünikasyon gibi önemli sektörler Sinara Labs ile siber saldırılar a karşı güvende

Google Play Zararlısı İnceleme Raporu

Raporda öne çıkanlar:

KURUM AĞLARINI ÖNEMLĠ ZARARLI YAZILIM SALDIRILARINDAN KORUMA. Osman PAMUK

BİLGİSAYAR VİRÜSLERİ

Windows Temelli Zararlı Yazılımlarla Mücadele

DNS Nedir? HİKMET TÜYSÜZ

Exobot Bankacılık Zararlısı İnceleme Raporu

Red Alert 2.0 Truva Atı ve Bankacılık Zararlısı İnceleme Raporu

Dolandırıcıların gözü bilgisayarlarda.

SOC unuz siber saldırılara hazır mı?

WebSiteDefender ile Web Uygulama Güvenliği

BİLGİ GÜVENLİĞİ. Bu bolümde;

2008 Yılı Kritik Güvenlik Açıkları

Elbistan Meslek Yüksek Okulu GÜZ Yarıyılı. Öğr. Gör. Murat KEÇECĠOĞLU

Siber Güvenlik Ülkemizde Neler Oluyor?

İNTERNET PROGRAMCILIĞI HAFTA MYSQL - PHPMYADMIN. Hazırlayan Fatih BALAMAN. İçindekiler. Hedefler. Mysql Nedir.

2. dönem itibariyle ben de Zararlı Yazılım Analizi 101 dersi vererek bu programa katkıda bulunacağım.

Bilgi ve Bilgisayar Sistemleri Güvenliği (Information and Computer Systems Security)

Zararlı Kodlar& Analiz Temelleri ve Bir Saldırının Anatomisi

Sunum İçeriği. 1. Siber Savaş (Siber Terör) 2. Siber Savunma 3. USOM

İstemci Tabanlı Saldırı Türleri. Ozan UÇAR

BİLGİSAYAR BİLİMLERİ ARAŞTIRMA VE UYGULAMA MERKEZİ BİLGİ GÜVENLİĞİ

Rugila Classification

Fidye Virüslerinden Korunma Rehberi

Network üzerinde MATLAB kurulması

06 - Bilgi Toplama ve Sosyal Mühendislik

C# ile e-posta Göndermek

WEB SUNUCU GÜVENLİĞİ: Web Siteleri Neden Hacklenir?

TachoMobile Server Uygulaması Kullanım Kılavuzu

AMAÇLAR: GÜVENLİK TESTLERİNDE BİLGİ TOPLAMA: AKTİF BİLGİ TOPLAMA

Hastalık nasıl ilerler ya da bulaşır? Hastalıktan vücudumuz nasıl etkilenir? Hastalıktan nasıl kurtuluruz?

Bulaşma Şekli. Zararlı yazılım fatura epostaları şeklinde kullanıcılara eposta göndermektedir.

BİLGİ İŞLEM DAİRE BAŞKANLIĞI

Ders İ zlencesi. Ders Başlığı. Dersin amacı. Önceden sahip olunması gereken beceri ve bilgiler. Önceden alınması gereken ders veya dersler

Teknoloji ile Tanışalım

MUDDYWATER APT ANALİZ RAPORU. Harun Güleç Gökmen Güreşçi. ADEO Bilişim Danışmanlık A.Ş. ADEO DFIR TEMMUZ 2018 HERKESE AÇIK Sürüm 1.

INFORMATION & SECURITY TECHNOLOGIES. BOA - Trend Micro. Zararlı Yazılım Analizi ve APT. Yasin SÜRER yasin.surer@boateknoloji.com

Ortamınızda A.D. veya LDAP sistemi var ise aşağıdaki linkten KoruMail LDAP-AD isimli dokümanı inceleyebilirsiniz.

TIG (DRG) ve Bilgi Teknolojileri. Erol YALÇIN

ORTA DOĞU TEKNİK ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI. Güvenlik ve Virüsler. ODTÜ BİDB İbrahim Çalışır, Ozan Tuğluk, Cengiz Acartürk

Bundan 20 yıl kadar önce, bilgi işlem servisleri günümüzdeki kadar yaygın kullanılmadığından, bilişim sistemleri günümüzdeki kadar önemli bir yere

: 36 milyon Euro çalan malware Eurograbber

Ağ Üzerinde MATLAB kurulum rehberi (Sunucu makine)

UITSEC-CERT. PETYA RANSOMWARE TEKNİK DETAYLARI BİLGİNİZE SUNULMUŞTUR. Version:2.0

Wireshark Lab.: DNS. 1. nslookup

Şekil 1- CryptoLocker Tarafından Kullanıcılara Gönderilen Eposta

Güncel CryptoLocker Saldırısına Dikkat

AHTAPOT Güvenlik Duvarı Yönetim Sistemi Kullanımı

BIND ile DNS Sunucu Kurulumu

1 WEB GÜVENLIĞINE GIRIŞ

/pikalite / bilgipi /pikalite EĞİTİM HİZMETLERİMİZ

SİBER GÜVENLİK FARKINDALIĞI

SİBER SUÇLARA KARŞI SİBER ZEKA

Dosyalama olarak: HTML, PDF, DOC ve XLS dosya türlerini kullanabilirsiniz. Kütüphane Modülü açıldığında Vet.Asistanı Kütüphanesi ekrana gelmektedir.

HĠTĠT ÜNĠVERSĠTESĠ REKTÖRLÜĞÜ BĠLGĠ ĠġLEM DAĠRE BAġKANLIĞI

Armitage Nedir? Kullanım Öncesi

«Günümüzün Siber Saldırıları, Veri Sızıntıları ve Çözüm Yolları...»

BioAffix Ones Technology nin tescilli markasıdır.

Merkezi Yönetim & Merkezi Yedekleme

GLOBAL SİBER ATAK GÖRSELLEŞTİRME SİSTEMLERİ

BotNet vs Kurumsal Güvenlik. 15 Şubat 2011 Volkan ERTÜRK

PHP I PHP I. E. Fatih Yetkin. 26 Eylül 2011

Yerel Okul Sunucusu Uygulama Yazılımları Prototipi

ÖNDER BİLGİSAYAR KURSU. Sistem ve Ağ Uzmanlığı Eğitimi İçeriği

1.4. BİT Nİ KULLANMA ve YÖNETME

KAMU SİBER GÜVENLİK GÜNÜNE HOŞGELDİNİZ

Ubuntu Hakkında En Çok Sorulan Sorular

HIKIT Zararlı Analizi Bölüm 2

Wolvox Web Entegrasyon. AKINSOFT Wolvox Web Entegrasyon Yardım Dosyası

Bilgi Güvenliği Nedir? Bilgi Güvenliğinde Saldırı Kavramı. Bilgi Güvenliğinde Saldırı Örneği : SPAM Mail

Defterdar Teknik Doküman

qmail ile üniversite mail sistemi yönetimi Devrim Sipahi Dokuz Eylül Üniversitesi

GELİŞMİŞ SİBER SİLAHLAR VE TESPİT YÖNTEMLERİ. Bahtiyar BİRCAN Uzman Araştırmacı Siber Güvenlik Enstitüsü

erişmeniz bu uyarılarla karşılaştıktan sonra sunucuya/koda erişimin yasaklanması/kaldırılması nedeniyle pek mümkün olamayabiliyor.

Anti-Virüs Atlatma 1. Resimden anlaşıldığı üzere 56 anti-virüs yazılımından 36 tanesi zararlı yazılım olduğunu doğrulamıştır.

Sun Solaris Jumpstart Sistemi

1. AMAÇ Bu Prosedürün amacı, Aksaray Üniversitesi bünyesinde yürütülen bilgi işlem hizmetlerinin yürütülmesi ile ilgili esasları belirlemektir.

01 Şirket Profili

Şekilden daha iyi anlaşılacağı gibi kırmızı veriler zararlı olup ateşi ifade ediyorlar. Ortadaki ateş duvarı da zararlı içeriği tanımlayıp ateşin

Navigator Smart. Kullanıcı El Kitabı NETSİS

BioAffix Ones Technology nin tescilli markasıdır.

Siber Suçlarla Mücadele Şube Müdürlüğümüz, ilimiz Derince ilçesinde bulunan İl Emniyet Müdürlüğü yerleşkesinde faaliyet göstermektedir.

Gökhan AKIN. ĐTÜ/BĐDB Ağ Grubu Başkanı ULAK-CSIRT Güvenlik Grubu Üyesi.

McAfee epo da Ürün Yükseltme İşlemi

Web Servis-Web Sitesi Bağlantısı

Hızlı Başlangıç Kılavuzu

Veri Tabanı Yönetim Sistemleri Bölüm - 02

MCR02-AE Ethernet Temassız Kart Okuyucu

Geleceğin güçlü Türkiye'si için Türkiye'nin Geleceğine Öneriler

WEB SİTESİ YÖNETİM PANELİ KULLANMA YÖNERGESİ

Gelişen Tehdit Ortamı ve Senaryolaştırma. İhsan Büyükuğur Garanti Bankası Teftiş Kurulu Program Yöneticisi - Teknoloji ve Kurum Dışı Riskleri

ACTFAX SERVER (ELEKTRONİK FAKS SİSTEMİ) TEKNİK ŞARTNAMESİ

SMSOKUL KULLANIM KILAVUZU V. 1.0

qmail ile SPAM engelleme Devrim Sipahi Dokuz Eylül Üniversitesi

MEB E-Posta Hizmetleri ve Outlook Programı

Transkript:

SİBER ESPİYONAJ FAALİYETLERİ VE TÜRKİYE Türkiye, finansal amaçlı yapılan saldırıların yanı sıra konumu itibariyle Siber Espiyonaj faaliyetlerinin de hedefi oluyor. Özellikle bölgesel dinamiklerin ve politik durumların da etkisiyle, günden güne çevre ülkelerin bu alanda hedefi haline geliyor. Aşağıda yer alan ve Iran tarafından gerçekleştirilen espiyonaj faaliyeti de sadece bunlardan bir tanesi. Bir kaç gün önce güvenlik firmalarının radarına takılan ve Iran menşeli olduğu belirlenen yeni bir Siber Espiyonaj faaliyeti keşfedildi. Söz konusu faaliyet ve saldırıların hedefleri arasında Katar, Suudi Arabistan gibi ülkelerin yanı sıra Türkiye de yer alıyor. Saldırı giriş noktası olarak oltalama tekniklerinden faydalanıyor ve hedeflenen kurum çalışanlarına bu şekilde ulaşıyor. Aşağıda yer alan ekran görüntüsünden de anlaşılacağı üzere saldırının hedefleri arasında Türkiye den özel sektör ve kamu kuruluşları da yer alıyor. Saldırı incelendiğinde özellikle devlet kurumlarının ve havayolu şirketlerinin hedef alındığı görülüyor. Bir mail eklentisi olarak gelen MS Office / Excel dosyası açıldığında, dosyanın zararlı bir Makro içerdiği ve bu Makro içeriğinin analiz edilmesini engellemek adına şifrelendiği görülüyor. 1

MS Office Excel dosyası içerisinde yer alan ve şifre ile gizlenen içerik deşifre edildiğinde, disk üzerine komisova.vbs isimli dosyanın yazıldığı, ve ayrıca Excel dosyası içerisinde yer alan içeriğin herhangi bir karmaşıklaştırma işlemine tabii edilmediği görülüyor. Analiz edildiği an itibariyle Excel dosyası ile gelen ve disk üzerine oluşturulan VBS dosyası sadece 2 anti-virüs tarafından tespit edilebiliyor. VBS dosyası ve tespitlere ait sonuçlar aşağıda görüldüğü şekildedir. 2

Excel dosyası açıldığı anda \USERS\Public\Libraries dizini içerisine oluşturulan komisova.vbs isimli dosya, yine Makrolar sayesinde schtaskts komutu ile Planlanmış Görev olarak sistem üzerinde GoogleUpdateTaskReport ismiyle tanımlanıyor. Dosya görev olarak eklendikten sonra her iki dakikada bir çalıştırılıyor. 3

Sistem üzerine scheduled task olarak eklenen komisova.vbs isimli dosya her çalıştığında arka planda hxxp://googleupdate.download isimli web sitesine bağlantı gerçekleştirdikten sonra, aynı dizine indirilen PowerShell betiği de çalıştırılıyor. Komisova.vbs isimli dosya aracılığı ile yukarıda belirtilen adresten indirilen komisova.ps1 isimli PowerShell betiği komuta kontrol sunucusuna (C2) bağlanmak için HTTP/HTTPS yerine DNS isteklerinden faydalanıyor. Bununla ilgili kod bloğu aşağıda yer almaktadır. Tıpkı VBS dosyasında olduğu gibi komuta kontrol sunucusu ile iletişimi sağlayan PowerShell betiği anti-virüsler ile taratıldığında sadece 4 anti-virüsün yakaladığı gözlemleniyor. Sonuçlara dair tespitlerin yer aldığı ekran görüntüsü aşağıda yer almaktadır. 4

Saldırıda kullanılan domain whois bilgileri, tehdit ağı sorgularımızda bu sample dosyalarla ile ilişkili diğer domainler ve zararlı yazılımlarda geçen Farsça kelimeler, saldırının arkasındaki aktörlerin İranlı olduğunu düşündürmektedir. Ancak yine de bu tarz verilerin zararlı yazılımlarda, misdirection/yanlış yönlendirme için kullanılmış olabileceğini de unutmamak gerekir. 5

Aşağıda yer alan ekran görüntüsü saldırı anına aittir. TRAPMINE ın zararlı içeriğe sahip dosya açılır açılmaz aldığı aksiyon görülmektedir, saldırının ikinci aşamasına geçilmeden yani C2 sunucu ile iletişim kurulmadan saldırı başarı ile engellenmektedir. Mail Eklentileri: users.xls = c4e9e8e450934be3ede23d1c06c6ed61 de askeri darbe.xls = caa37b26abaa3f9c45169186d302fc42 Symantec-Worst Passwords List 2016.xls = bbdb2ee0c172f35e6e23a88a5f5b39c0 Special Offers.xls = f76443385fef159e6b73ad6bf7f086d6 Betikler: komisova.vbs = eaecffe8adf1135908461599d734f5e2 komisova.ps1 = 27aa6a6d3cbb2ecee80acb03bdf015ec Alan Adları: googleupdate.download microsoft-kernels-pdate.net mydomain1609.com go0gie.com windowsupdates.me 6

TRAPMINE Hakkında TRAPMINE, kurumları gelişmiş siber saldırılara ve zero-day ataklara karşı koruma amacıyla üretilen yerli bir üründür. 2015'in ilk çeyreğinde Cybersecurity 500 listesine giren iki Türk şirketinden biridir. Aynı zamanda Cisco, Intel ve Deutsche Telekom tarafından en iyi 100 ürün arasında gösterilmiştir. TRAPMINE, imza ve güncelleme gerektirmeyen teknolojisiyle istemcileri hedef alan gelişmiş saldırılara karşı etkin koruma sağlamaktadır. Patent bekleyen teknolojisi ile istemci taraflı bilinen ve bilinmeyen zafiyetlere ve zafiyet kaynaklı zararlı yazılımlara karşı %100 koruma sağlar. twitter.com/trapmine linkedin.com/company/trapmine youtube.com/trapmine 7

2026 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim