HIKIT Zararlı Analizi Bölüm 2



Benzer belgeler
INFORMATION & SECURITY TECHNOLOGIES. BOA - Trend Micro. Zararlı Yazılım Analizi ve APT. Yasin SÜRER yasin.surer@boateknoloji.com

Trickbot Zararlı Yazılımı İnceleme Raporu

Zararlı Kodlar& Analiz Temelleri ve Bir Saldırının Anatomisi

Maltego Nedir? Maltego Nedir? - 1

SİBER ESPİYONAJ FAALİYETLERİ VE TÜRKİYE

E-Mükellef Kontrol Programı Kullanım Kılavuzu

e-imzatr Kurulum Klavuzu

KÜTÜPHANE KAYNAKLARINA DIŞARIDAN (PROXY SUNUCU KULLANARAK) BAĞLANMAK İÇİN YAPILMASI GEREKENLER A. INTERNET EXPLORER KULLANICILARI İÇİN;

E-Posta Yönetimi. E-Posta Açma, Silme ve Yönetim Kılavuzu

Armitage Nedir? Kullanım Öncesi

Kırklareli Üniversitesi Uzaktan Eğitim Uygulama ve Araştırma Merkezi

UZAKTAN EĞİTİM SİSTEM KULLANIM REHBERİ

e-trakya Uzaktan Eğitim Sistemi

THE PROJECT UMBRELLA BİLGİLENDİRE KILAVUZU.

5651 Sayılı Kanun Hakkında Kanunla ilgili detay bilgiler

PERKON PDKS Kurulum ve hızlı başlangıç rehberi

AKADEMİK LMS Web Tabanlı Uzaktan Eğitim Genel Bilgi ve Ders Aktivitelerine Erişim Öğrenci Kullanım Kılavuzu

Bu amaçla, ticket sistemi kullanımı hakkında daha detaylı bilgi vermemizin uygun ve gerekli bir davranış olduğunu düşündük.

ÖĞRENCİLER İÇİN UZAKTAN EĞİTİM SİSTEMİ (MOODLE) KULLANIM KILAVUZU

Red Alert 2.0 Truva Atı ve Bankacılık Zararlısı İnceleme Raporu

İSTANBUL ESENYURT ÜNİVERSİTESİ

ADOBE FLASH PLAYER / CVE (Sıfırıncı Gün Zafiyeti)

HIKIT ZARARLISI ANALİZİ. APT İncelemesi. Yasin SÜRER BOA Bilgi Teknolojileri ve Güvenliği

e-imzatr Kurulum Klavuzu

(OKS)

İçindekiler T.C. BAŞBANAKLIK ATATÜRK KÜLTÜR DİL VE TARİH YÜKSEK KURUMU

e-mutabakat Ekstre Gönderimi

NicProxy Registrar AWBS Modül Kurulumu Versiyon 1.0

Resimdeki alandan tarih aralığı belirterek de (testlerin hasta hesabına aktarıldığı tarihi baz alır). İstek yapılan hasta listesine ulaşabilirsiniz.

OYS OLAY YÖNETİM SİSTEMİ. Kullanım Kılavuzu. Türkiye Halk Sağlığı Kurumu

KOMPASS KULLANIM KILAVUZU

Google Chrome Kullanıyorsanız; Microsoft Internet Explorer Kullanıyorsanız;

Uzaktan Eğitim Kılavuzu

Perculus online sohbet ders platformuna adresinden girebilirsiniz.

Windows Live ID ve parolanızı giriniz.

VET ON KULLANIM KLAVUZU

BEUN VPN Hizmeti. VPN Nedir?

. K U L L A N I M T A L I M A T L A R I

ProQuest E-Book Central (Elektronik Kitap Veri Tabanı) KULLANIM KILAVUZU. KÜTÜPHANE ve DOKÜMANTASYON DAİRE BAŞKANLIĞI

e- Trakya UZAKTAN EĞİTİM YÖNETİM SİSTEMİ VE CANLI DERS PLATFORMU KULLANIM REHBERİ

PAKET SERİ DENEME SINAVI INTERNET MODÜLÜ KULLANIM KLAVUZU. Sayfa - 1 -

Kontrol listesi: Bu klavuz, ders kaydınızı nasıl yapacağınızı açıklamaktadır. Ders kaydınızı:

Almaya karar verdiğiniz derslerin kodlarını not etmeyi unutmayınız, GSIS te derslere kayıt yaptırırken bu kodlara ihtiyacınız olacak!

BT Arıza Uygulaması KULLANIM KLAVUZU

rst yazılım E-RAPOR V

ÖNEMLİ NOKTALAR AMAÇLAR

Hiperkitap Kullanım Kılavuzu

FortiMail Gateway Modunda Kurulum. v4.00-build /08

MINELAB GPX ÜRÜNLERİ için Sahteciliğe karşı geliştirilen SON Yöntem

Google Play Zararlısı İnceleme Raporu

VPN NEDIR? NASıL KULLANıLıR?

GELİŞMİŞ SİBER SİLAHLAR VE TESPİT YÖNTEMLERİ. Bahtiyar BİRCAN Uzman Araştırmacı Siber Güvenlik Enstitüsü

Mühür v Anasayfa:

WebSiteDefender ile Web Uygulama Güvenliği

Ar-Ge ve Tasarım Merkezleri Elektronik İşlemler - III

Flow Kullanım Klavuzu Mart 2014

E-FATURA LOGO ENTEGRATÖRLÜK UYGULAMASI

Elektronik Belge Yönetim Sistemi Kullanım Kılavuzu

Bu kılavuz, ders kaydınızı nasıl yapacağınızı açıklamaktadır. Kontrol listesi:

MİLLİ EĞİTİM BAKANLIĞI YENİ EPOSTA SİSTEMİ HAKKINDA MEB

Google Cloud Print Kılavuzu

Mobil Cihazlardan Web Servis Sunumu

rst yazılım E-RAPOR V

VAKIFBANK SANAL POS PANELİ KULLANICI KILAVUZU

MATRİKS E-BROKER ELEKTRONİK İŞLEM PLATFORMU MATRİKS TRADER VE JAVA MATRİKS ENTEGRASYONLARI

K.A.ALPER YAZOĞLU ORTAOKULU 6.SINIFLAR BİLİŞİM TEKNOLOJİLERİ VE YAZILIM DERSİ ÇALIŞMA KÂĞIDI

YILDIZ TEKNİK ÜNİVERSİTESİ FEN BİLİMLERİ ENSTİTÜSÜ

EKLER EK 12UY0106-5/A4-1:

ONLINE İNGİLİZCE PLACEMENT (SEVİYE BELİRLEME) SINAV TALİMATI

RPMNET WOLVOX REPORTER

Dokuz Eylül Üniversitesi Bilimsel Araştırma Projeleri Koordinasyon Birimi SATINALMA TALEBİ NASIL YAPILIR

YENİ AKOFİS, MÜŞTERİ SİPARİŞ YÖNETİMİ

TARIM REFORMU GENEL MÜDÜRLÜĞÜ

MailStore tüm şirket e-postalarınızı uzun yıllar güvenle saklayabileceğiniz bir mail arşivleme sistemidir.

Bilin tarafından verilen Kullanıcı Adı ve Şifresini bu alanlara giriniz. Bilin Yazılım ve Bilişim Danışmanlığı Ltd. Şti.

KASPERSKY LAB. Kaspersky Small Office Security GUIDE BA BAŞLARKEN

Ürün Kutusu. Kargoyla teslim edilen ürün kutusu. Ürün kutusundaki temel bileşenler

COĞRAFİ BİLGİ SİSTEMİ

Kullanıcı Kılavuzu Türk İşaret Dili (TİD) Web Sayfası Projesi. Ayça Kundak Cem Altel Didem Gözüpek M.Sadullah Ceran Metin Döşlü Seher Göğebakan

INTERNET SİTESİ KULLANIM KILAVUZU

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi

Neosinerji Bulut Server Bağlantısı. NeoConnect Kullanım Kılavuzu

Fidye Virüslerinden Korunma Rehberi

GELİŞMİŞ ATIF analizine dayali en yeni araştirma değerlendirme araçlari INCITES JOURNAL CITATION REPORTS NİSAN 2015, ANKOSLINK FARYAR FATEMİ

BİLGİ İŞLEM HİZMETLERİ OTOMASYON PROGRAMI KULLANIM KILAVUZU

DEÜ-ÖYS HIZLI BAŞLAMA KLAVUZU (ÖĞRENCİ İÇİN)

13 Mayıs İlgili Versiyon/lar : ETA:SQL, ETA:V.8-SQL. İlgili Modül/ler : Genel

Ortam İzleyici Kullanım Kılavuzu

NicProxy Registrar WHMCS Modül Kurulumu Versiyon 1.0

MİKROGEN. Genel Muhasebe Paketi Mikro Yazılımevi A.Ş.

EBA Dosya Uygulaması Kullanıcı Kılavuzu ( W eb)

Kullanıcı el kitabı. Online halı eğitimi

GLOBAL SİBER ATAK GÖRSELLEŞTİRME SİSTEMLERİ

Tarık TALAN [MOODLE SİSTEMİ TEMEL KULLANIM KILAVUZU]

IEEE TÜRKİYE ÖĞRENCİ KOLLARI MAİL GRUBU KULLANIM REHBERİ

BİLGİ İŞLEM DAİRE BAŞKANLIĞI

MÜ DAD ONLİ NE Ü YELİ K

Transkript:

HIKIT Zararlı Analizi Bölüm 2 Daha önceki yazımızda HIKIT isimli zararlı yazılımı incelemiştik. Mandiant tarafından yapılan açıklamada, bu zararlı yazılımın Amerikan Savunma Bakanlığı ile ortak çalışan müteahhit firmalardan veri çaldığı belirtilmişti. Bu sonucuna varmalarındaki en büyük kanıt ise Mandiant ın müşterileri arasında bu müteahhit firmaların bulunması ve bu firmaların enfekte olmaları, Mandiant ın da bu enfeksiyonları inceleyerek elde ettiği verilerdi. Internet üzerinde HIKIT hakkında detaylı bir açıklama veya analize ulaşmak mümkün değil. Daha öncesinde belirtildiği gibi yapılan teknik analizlere rağmen bu zararlı yazılımın arkasında kimler olduğu hala belirsiz. Mandiant a göre olayın arkasında Çin menşeili bir APT grubunun olması muhtemel. Bu seferki çalışmamız, bir öncekinin aksine teknik analizden biraz daha uzak ve daha çok olayın soruşturulmasıyla ilgili. Daha önce incelediğimiz bu zararlı yazılımın kaynağı hakkında biraz daha derinlere inmeye karar verdik. Bir önceki analizde bu zararlı yazılımın nasıl bulaştığı konusunda detaylı bir açıklama mevcut değildi. Yaptığımız araştırmalar sonucunda aslında bu zararlı yazılımın sistemlere bulaşmak için Microsoft Internet Explorer üzerinde çalışan Java Script kodlarından faydalandığını gördük. Problem Ürün Üretici Exploit:HTML/IframeRef.Z Internet Explorer Microsoft Peki zararlı bu haliyle nerelerden bulaşıyordu? Bunun için tüm sonuçları listelememiz mümkün değildi çünkü her biri için ayrı araştırma yapmak oldukça fazla vakit gerektirecek bir konu. Doğrudan hedef alınan bir sistem olduğunda, tabi ki bu araştırmaları yapmak mümkün olacaktır. Bizim odak noktamız analiz ettiğimiz zararlı yazılımdı çünkü HIKIT oldukça fazla varyanta sahip bir zararlı yazılım. Yukarıda belirtildiği üzere bu exploit kodunun hangi web siteleri üzerinde bulunduğunu araştırmaya başladık. Sonucunda exploit kodunu kullanan sitelerin bir listesine ulaştık. Aşağıda bu siteler listelenmiştir. tkit.tk tweak.tk ahraz.tk html-channel.com freedomains4all.tk html-site.nl goodman-shirt.de html-rulez.ru Domain Listesi

html-studio.ru tkmailias.tk webnews.it Her bir domain için araştırma yaptığımızda, birçoğuna ait elle tutulur bir veri bulamadık. Bunun sebebi kayıtlı bir domain bulamamamızdı. Aralarında sadece tek bir alan adına ait bilgi mevcuttu. Araştırmalarımızı bu alan adı ve üzerine kayıtlı olduğu kişi üzerinden yürüttük ve bulduğumuz mail adresine kayıtlı diğer domain adreslerini tespit ettik, tabi bu sırada bu sitenin hack edilerek alan adının çeşitli zararlıların bulaştırmak üzere araç olarak kullanılmış olabileceğini de unutmamak gerekir. Kayıtlı Diğer Alan Adları cristianos.ws clfooter.ws gaypornreviews.ws duuf2gnia9bt18h7qy1tg621k.ws 888games.ws fel0ny.ws ukrainegirls.ws spydirectory.ws pandorabox.ws Yukarıda görülen alan adlarının birçoğunun aşağıda görülen mail adresine kayıtlı olduğunu tespit ettik. Alan adlarına ve o tarihe ait domain WHOIS kayıtlarına bakacak olursak bu kayıtların aslında kasıtlı yapıldığı anlaşılabilir.

En başta HIKIT I bulaştırmak için indirilen dropper ın MS Internet Explorer üzerine çalıştırılan Java Script kodu ile mümkün olduğunu söylemiştik. Aslında yaptığımız araştırmalarda sadece buna bağımlı kalmaktansa farklı uygulamalarda bulunan güvenlik açıkları da kullanılmış. Adobe Flash Player uygulaması bunlardan sadece bir tanesi. Buraya kadar HIKIT in nasıl enfekte olduğu konusunda bir fikrimiz vardı fakat C&C sunucuları hakkında bir bilgi yoktu. Yukarıdaki alan adlarının bağlı olduğu sunucuları incelediğimizde sonuçlar şu şekildeydi; IP Ülke 94.76.200.157 İngiltere 46.4.34.4 Almanya 87.106.29.14 Almanya 77.222.40.38 Rusya 208.82.114.84 Amerika 206.246.140.14 Amerika 24.223.234.70 Amerika 173.9.9.178 Amerika 91.199.120.6 İspanya 94.228.86.11 Slovakya 88.191.150.8 Fransa Yukarıdaki adresler ile doğrudan iletişimde olan, yani HIKIT için ilk atakların yapıldığı IP adresleri ise çok farklı noktalardan merkez ile iletişime geçmekte. En yoğun iletişim ise İspanya da bulunan sunucu üzerinden gerçekleştirilmekte. Bu sunucuya en fazla zararlı yazılım aktarımı ise Çin den gerçekleşiyor. 1-222.87.216.187 Çin den gerçekleşen zararlı yazılım dağıtımlarının kontrol edildiği sunucuya ait IP adresi ise aşağıdaki yerleşkeye işaret ediyor. Aynı noktayı bu sefer adres arayarak değil de, bu adreste ne olduğuna bakmak için sorguladığımızda ise, Çin Halk Cumhuriyeti Guiyang (Guiyang People s Government) yerleşkesi

görülmekte. Bu da bizim bu zararlı yazılım dağıtım merkezinin bir Çin devlet yerleşkesi olduğu konusundaki şüphemizi arttırdı. Lakin elimizde hala somut delil olamadığı için bu durumdan emin olamamaktayız. Alt tarafta işletilen iletişimler hala aktif olmakla birlikte bu zararlı yazılımın çok farklı vektörler ile ilgili olduğu söylenebilir. Kullanılan Exploit Kit yazılımlarını incelediğimizde ise çoğunlukla Blackhole Exploit Kit adı verilen yazılıma rastladık. Maltego ile oluşturduğumuz organik graph

HIKIT zararlısının kaynağı hakkında hala kesin ifadelerde bulunmak mümkün değil, çok dağıtık bir yapıya sahip ve elde edilen verilerin doğruluğunu inkâr edilemez şekilde delillerle ortaya koymak zor. Yukarıda görünen grafik yapısı, HIKIT ile organik bağlantısı bulunan birçok vektörü içermektedir. Her ne kadar alan adlarının çoğu Almanya ve Rusya kaynaklı olsalar da, alan adlarının barındırıldığı ve zararlıların asıl yayılma noktası olan sunucular çok fazla yerleşkeye dağıtılmış durumda. Her ne kadar en fazla dağıtım kaynağı Çin olsa da Endonezya, Macaristan, Romanya, Kore gibi birçok farklı ülkeden zararlı dağıtımı yapılıyor. Sonuç olarak kaynağı konusunda kesin bir hükme varılamayacak olsa da, araştırmamızın çoğunlukla Çin ekseninde dönmekte olması, aslında güncel tehditleri de göz önünde bulundurduğumuzda, zararlının kaynağı hakkında kuvvetli bir fikir sahibi olmamızı sağlıyor. Trend Micro Deep Discovery Inspector HIKIT zararlı yazılımının ağ üzerinde tespit edilmesine yönelik yaptığımız çalışma için Trend Micro Deep Discovery Inspector ürününü kullandık. Deep Discovery Inspector, zararlı yazılımları ağ üzerinde tarayarak içerisinde barındırdığı Virtual Analyzer modülü ile detaylı olarak analiz yapabilmektedir. Öncelikle, oluşturduğumuz çalışma ortamına Trend Micro Deep Discovery Inspector ü konumlandırdık ve akabinde ağ trafiğimizi omurga switch üzerinden Deep Discovery Inspector e yönlendirdik. Ağ trafiğini dinlemeye başlayan Deep Discovery, ağ trafiğimizden geçen HIKIT zararlısını yukarıdaki ekran görüntüsünde de görüldüğü üzere yakalamayı başardı. Log kaydına baktığımızda, zararlı yazılımın kaynağı, enfekte olan IP adresi ve protokol bilgileri gibi çeşitli veriler yer almakta. Eğer isterseniz zararlı yazılımı daha detaylı incelemek adına Trend Micro nun Threat Connect platformuna bağlanarak bulut üzerinde yapılan analiz sonuçlarına ulaşabilirsiniz.

Biz bu detayları görmek için Threat Connect platformuna bağlanmayı tercih ettik. Bunun için Deep Discovery nin yakaladığı zararlı yazılımın detaylarına girerek sadece tehdit ismine tıklamanız yeterli olacaktır.

Tehditle ilgili detaylı bilgi istediğinizde, Deep Discovery size otomatik olarak Threat Connect platformuna aktaracaktır. Bu noktadan sonra Trend Micro laboratuvarı tarafından yapılan analiz sonuçlarını görebilmek mümkün. Açılan sayfada zararlının özet bilgileri ve görselleştirilmiş bir organik bağıntı grafiği yer almaktadır.

Grafiklerin üzerine tıklayarak detayları görmeniz mümkün. Biz bu aşamadan sonra örnek rapora ulaşabilir ve HIKIT hakkında biraz daha detaylı bilgi edinebiliriz. Aynı ekranda bulunan harita üzerinden HIKIT isimli zararlı yazılımın en çok hangi ülkelerde aktif olduğunu görebilirsiniz. Yukarıda örnek raporda zararlının etkilediği sistemleri, dosya formatını, oluşturduğu ya da etki ettiği süreçleri görmeniz mümkündür. Eğer zararlı yazılım hakkında bu kadar detay yeterli değilse, Trend Micro Threat Connect daha derine inerek zararlının adım adım çalıştırılma anında yarattığı etkileri size gösterebilir.

Aynı ekran üzerinde bulunan execution flow sekmesine tıklanarak saniye saniye zararlının sistem üzerinde hangi kaynakları kullandığı ve yaptığı modifikasyonları size sunabilir. Yukarıda kullanılan API ve zararlının zaten enfekte olduğu bir sisteme tekrar enfekte olmamak için oluşturduğu Mutex nesneleri listelenmiştir. İlgili nesnelerin ve kayıtların üzerine tıklayarak detayları görmeniz mümkün, örnek olarak, aşağıda yer alan resimde sistem üzerinde oluşturulan veya değiştirilen Registry değerleri yer almaktadır.

Trend Micro Deep Discovery ve Threat Connect, tespit ettiği zararlılara ait ve normal kullanıcıların dahi anlayabileceği seviyede rapor sunabilmektedir. Aynı zamanda, manuel olarak zararlı yazılımın nasıl silineceğine dair açıklamaları sunmaktadır. Yukarıda yer alan resimde HIKIT zararlısının nasıl silineceğine dair gerekli açıklamalar adım adım açıklanmıştır. Üstelik bunu yaparken zararlı yazılıma bağlı olarak bir kaç farklı yöntem sunabilmektedir.

2026 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim