Saldırılar nasıl oluyor

İsa Altun UYARIYOR

Saldırılar nasıl oluyor

Tehdit gruplarının çalışma yöntemlerindeki bu değişiklik, genel olarak kurumların BT altyapılarının, daha ucuz saldırı araçlarına sahip saldırganların bile hedeflerine ulaşmasına yetecek kadar zayıf olduğunu gösteriyor.  Kaspersky Lab uzmanları tarafından araştırılan Microcin adlı bir zararlı saldırı, ucuz fakat tehlikeli saldırıların güzel bir örneği oldu. 

Her şey, Kaspersky Anti Targeted Attack Platformu'nun (KATA) şüpheli bir RTF dosyası keşfetmesiyle başladı. Dosyada, Microsoft Office'te bulunan ve yamayla kapatıldığı bilinen açıktan faydalanan bir yazılım (sık kullanılan yazılımlardaki güvenlik zayıflıklarından faydalanarak ek zararlı bileşenler kuran zararlı yazılım) bulunuyordu. Sıradan siber suçluların, kurbanlara zarar vermek amacıyla çok yaygın zararlı yazılımlarla bilinen zayıflıklardan faydalanması nadir görülen bir durum değil. Ancak daha detaylı bir araştırma yapıldığında, bahsi geçen RTF dosyasının büyük bir zararlı yazılım dalgasının parçası değil, çok daha gelişmiş ve hedefli bir saldırıya dahil olduğu anlaşıldı. 

Şüphe uyandıran bu hedef odaklı kimlik avı belgesi yalnızca belirli bir grup insana yönelik sitelerden yayılıyordu. Bu siteler, Rusya ve komşu ülkelerde genellikle devlet ve ordu kurumlarında çalışanlara sunulan, devlet destekli konut satın alma imkânı ile ilgili konuların tartışıldığı forum siteleriydi. 

Açıktan faydalanıldığında, modüler yapıya sahip bir zararlı yazılım hedef bilgisayara yükleniyordu. Modüllerin kurulumu ise iexplore.exe'ye bulaştırılan bir zararlı yazılım üzerinden yapılıyor, Bu modülün otomatik çalışması ise dll-hijacking yöntemiyle gerçekleştiriliyordu. Her ikisi de bilinen ve sıkça kullanılan zararlı tekniklerdi.

En sonunda ana modül kurulunca, bazı ek modüller de komut ve kontrol sunucusundan indiriliyordu. Modüllerden en az biri steganografi tekniğini kullanıyordu. Gizli veri aktarımı için kullanıldığı bilinen bu teknikle görsel dosyaları gibi zararsız görünen dosyalarda bilgiler gizleniyordu.

Zararlı yazılım platformu tamamen kurulduğunda, .doc, .ppt, .xls, .docx, .pptx, .xlsx, .pdf, .txt ve .rtf gibi uzantılara sahip dosyalar aranıyor, ardından bunlar parolayla korunan bir arşive eklenerek saldırganlara iletiliyordu. Bilindik sızma ve hareket yöntemlerinin kullanılmasına ek olarak, saldırganların geçmiş saldırılardaki arka kapıları aktif olarak kullandığı ve güvenlik çözümleri tarafından genellikle zararlı yazılım olarak tanımlanmayan yasal sızma testi araçlarından faydalandıkları da görüldü.

Kaspersky Lab Zararlı Yazılım Baş Analisti Alexey Shulmin, "Parçalar tek tek ele alınıp incelenirse, bu saldırının ciddi bir şey olmadığı düşünülebilir.  Kullanılan bileşenlerin neredeyse tamamı güvenlik endüstrisi tarafından çok iyi bilinen ve tespit edilmesi kolay şeyler. Ancak, saldırının tespit edilmesini güçleştirecek şekilde bir araya getirilmişler. Daha da önemlisi, bu zararlı saldırı türünün tek örneği de değil. Bazı siber istihbarat tehdit gruplarının tespit edilmesi zor zararlı araçlar geliştirmek yerine, karmaşık zararlı yazılımlar içermeyen fakat yine de tehlikeli gelişmiş operasyonlar yürütmeye odaklandıkları görülüyor" dedi.

Kaspersky Lab uzmanları, BT altyapılarını Microcin gibi saldırılardan korumak isteyen kurumlara yalnızca zararlı yazılımları değil, zararlı operasyonları da tespit edebilen güvenlik araçları kullanmayı tavsiye ediyor.

Kaspersky Anti-Targeted Attack Platform gibi gelişmiş çözümler yalnızca uç nokta koruma teknolojilerini içermekle kalmıyor, aynı zamanda kurum ağının farklı bölümlerindeki olaylar arasındaki ilişkiyi de tespit eden teknolojiler barındırıyor. Bu sayede gelişmiş, hedefli saldırılardaki zararlı modelleri tanımlayabiliyor.

Kaspersky Lab ürünleri, Microcin ve benzer saldırıları başarılı bir şekilde tespit edip engelliyor. 

Microcin saldırısıyla ilgili detyaları ve saldırı hakkında teknik bilgileri Securelist blog sayfasında bulabilirsiniz.

18.12.2017 (İsa Altun UYARIYOR)

Yorumlar (0)

Yorum Yaz

DİĞER YAZILAR