Ana sayfa Haberler Siber Saldırı...

Siber Saldırı Nedir? Saldırılar ve Zararlı Yazılımlar Hakkında Bilgiler

Siber saldırı bilgisayar ve internet alanında uzman kişiler, hatta ekipler tarafından şirketler (kurumlar, firmalar, bankalar) ya da devlet kurumlarının (polis, devlet kurumlarının veri tabanları, internet siteleri, vatandaşlara bilgi ve hizmet sunan siteler) bilgisayar sistemlerine, veri tabanlarına, banka ve kişisel hesaplara zarar vermek ya da bilgi çalmak amacıyla gerçekleştirilen elektronik saldırılara verilen genel addır.

Siber Saldırı Türleri Nelerdir? Nasıl Yapılmaktadır?

Bu kısımda geçmişte ve güncel olarak karşılaşılan kimi zaman yaygın olarak birey ve kişisel hesaplara zarar veren kimi zaman da az görülen ancak şirketleri hedef alan saldırıları örneklerle anlatacağız:

 

Ses Dalgaları ile Zarar Verme

Amerikalı ve Çinli güvenlik araştırmacıları, siber saldırganların bilgisayarların hoparlörlerinden ses çıkartarak, sabit disklere fiziksel zarar verebileceğini ve bilgisayarların çökmesine neden olabileceğini ortaya çıkardı. Global bilgi güvenliği kuruluşu ESET, ses dalgalarıyla gerçekleşen bu sıradışı saldırı deneyini mercek altına aldı.

Michigan Üniversitesi ve Zhejiang Üniversitesinden bir grup güvenlik araştırmacısı, ses dalgalarının bilişim sistemlerine etkisini inceledi. “Mavi Not: Kasıtlı Akustik Saldırılar Sabit Sürücülere ve İşletim Sistemlerine Nasıl Zarar Veriyor” başlığıyla yapılan araştırma ve sonucunda yayınlanan makaleye göre, hem duyulabilir ve hem de ultrasonik akustik dalgalar yoluyla sabit disk sürücülerinde özel bir cihaza ihtiyaç olmadan hatalar oluşturulabiliyor. Bu sıradışı deneyi ESET araştırmacısı Graham Cluley inceledi ve paylaştı.

Nasıl oluyor?

Duyulabilir ses dalgaları ile, masaüstü ve dizüstü bilgisayarlarda yaygın olarak bulunan manyetik sabit disk sürücülerinde okuma/yazma uçlarını ve plakaları titreştirmek mümkün. İşletim sınırları dışındaki titreşimler, hem donanımın hem de yazılımın hasar görmesine ve dosya sisteminin bozulmasına ve yeniden başlatılmasına neden olabilir. Araştırmacılar, siber saldırganların kalıcı hatalara neden olmak için bir cihazın dahili hoparlörlerini (veya yakındaki hoparlörleri) kullanmasının mümkün olduğunu da ortaya koydu.

Duyulmayan seslerle de zarar oluşturmak mümkün

Bununla birlikte ultrasonik dalgalar da insan kulağının duyamayacağı seslerle sabit disk sürücüsünün şok sensörü çıkışını değişime uğratıp okuma/yazma yönetimini sekteye uğratarak cihazlar üzerinde benzer bir etki yaratabiliyorlar. Elbette, Mavi Not saldırısıyla yalnızca sıradan masaüstü ve dizüstü bilgisayarların etkileneceğini düşünmemek gerekiyor.

Güvenlik kamerası denemesi

Araştırmacılar tarafından ortaya konan ustaca düşünülmüş bir saldırıda ise, bir dijital video güvenlik kamerasının hedeflendiği görüldü. Güvenlik kamerası, görüntüleri sabit disk sürücüsünde saklayan bir DVR içeriyordu. Ancak, bir akustik saldırıya hedef olunduğunda sistem artık herhangi bir veriyi sabit disk sürücüsüne yazamıyordu. Kamera, video verilerini RAM üzerine kaydetmeye çalışmaya devam etti; fakat yaklaşık 12 saniye içerisinde yetersiz alan uyarısı vererek akustik saldırı bitene kadar elde edilen tüm veriyi kaybetti.

İlk örnekler değil

Bu elbette, sesin sabit disk sürücülerini nasıl olumsuz etkileyebileceğine yönelik ilk kez elde edilen bir bilgi değil. Örneğin 2016 yılında, uluslararası bir bankanın Romanya Bükreş’teki veri merkezinde yer alan çok sayıda sabit sürücünün, yangın söndürme amacıyla tasarlanmış bir sistemin etkisiz gazı dışarı atarken yüksek bir ses çıkarması sonucu etkilendiği raporlandı. Kesinti süresince kredi kartı işlemleri, ATM’lere erişim ve internet bankacılığı gibi pek çok bankacılık işleminde aksamalar meydana geldi.

Üreticiler önlem alabilir

Michigan Üniversitesinden Connor Bolton yaptığı sunumda, sabit disk üreticilerinin okuma/yazma parçalarının ileri geri titremesini önlemek için bir ürün yazılımı güncellemesi yayınlayarak müşterileri koruyabileceğini aktardı. Bu elbette “olabilir”, ama “olacak” demek değil.

Daha pahalı dizüstü bilgisayarların sahipleri için iyi haber ise, güçlü formdaki sürücülerin (SSD’ler) herhangi bir hareketli parçaya sahip olmamasıdır; bu da bir şok veya titreşime maruz kaldıklarında bundan etkilenmeyecekleri anlamına gelir. Ancak bu, sabit sürücülerin üreticiler tarafından hala en uygun maliyetli depolama çözümü olarak görülmesiyle birlikte pek çok cihazın teoride bu yöntem kullanılarak saldırıya uğrayabileceği gerçeğini değiştirmez.

 

Kimlik Avı Saldırılarının Yüzde Ellisinden Fazlası Finansla İlgili

Kaspersky Lab’in kimlik avıyla mücadele teknolojileri, 2017’de kullanıcıların kimlik avı için kullanılan sayfalara 246 milyon kez girme girişiminde bulunduğunu tespit etti. Bu girişimlerin %53’ünün finans dünyasıyla ilgili web sitelerini ziyaret etmeye yönelik olduğu belirlendi. Bu oran 2016’ya kıyasla 6 puan daha yüksek. Kaspersky Lab’in finansal tehditler analizine göre, kimlik avı saldırıları kaydedilmeye başlandığından beri ilk kez finansal kimlik avı girişimleri %50’nin üzerine çıktı.

Finansal kimlik avı saldırıları gerçek gibi görünen kopya sitelere yönlendiren sahte mesajlardan oluşuyor. Kullanıcıların banka ve kredi hesaplarına ait giriş bilgilerini ele geçirip internet bankacılığına veya para hesaplarına erişilen bu saldırılarda tüm amaç kurbanların parasını çalmak. Kimlik avı saldırılarının %53’ünün bu biçimde olması, dünya genelinde her iki saldırıdan birinin kurbanların parasını çalmayı hedeflediği anlamına geliyor.

2017’de tüm finansal kimlik avı saldırı kategorilerinde artış yaşandı. Bankalara, ödeme sistemlerine ve e-ticaret sitelerine yönelik saldırılar sırasıyla 1,2, 4,3 ve 0,8 puan artarak tespit edilen tüm kimlik avı saldırıları arasında ilk defa ilk üç sıraya yerleşti.

Kaspersky Lab tarafından 2017’de tespit edilen farklı finansal kimlik avı saldırı türlerinin dağılımı

Global arama motorları, sosyal ağlar ve benzerlerinin yer aldığı ve 2016’da ikinci sırada bulunan global internet portalı kategorisi ise 2017’de 13 puandan fazla azalarak dördüncü sıraya geriledi. Bu bilgi, suçluların bu tür hesapları çalmak yerine doğrudan paraya ulaşmaya odaklandıklarını gösteriyor.

Elde edilen veriler Mac kullanıcılarına yönelik tehlikelerin de arttığını ortaya koyuyor. Mac cihazlarının güvenli olduğuna dair popüler görüşün aksine, 2016’da bu platformdaki kullanıcılara yönelik kimlik avı saldırılarının %31,38’ini finansal bilgileri ele geçirme hedefli saldırılar oluşturuyordu. Bu oran 2017’de %55,6’ya yükseldi.

Kaspersky Lab Web İçeriği Baş Analisti Nadezhda Demidova, “Siber suçluların finansal kimlik avı saldırılarına daha çok odaklanması kullanıcıların çok daha dikkatli olmasını gerektiriyor. Dolandırıcılar paramızı çalmak için sürekli bizi gafil avlayacak yeni yöntemler ve teknikler araştırıyor. Biz de en az onlar kadar kararlı olup, siber güvenlik alanında bilgi edinmeye devam ederek onların başarıya ulaşmalarına izin vermemeliyiz.” dedi.

Kaspersky Lab, kullanıcıların kendilerini kimlik avı saldırılarına karşı korumaları için şunları öneriyor:

  • İnternet üzerinde ödeme yaptığınız web sitelerinin gerçek olup olmadığını her zaman kontrol edin. Https bağlantısına ve alan adının ödeme yaptığınızı düşündüğünüz kuruma ait olup olmadığına bakın.
  • Kimlik avıyla mücadele için davranış tabanlı teknolojiler kullanan sağlam bir güvenlik çözümü kullanın. Böylece, kimlik avıyla mücadele veri tabanlarına henüz eklenmemiş en yeni dolandırıcılık yöntemlerini bile tespit etmek mümkün olabilir.

Raporda yer alan diğer önemli bulgular arasında şunlar yer alıyor:

Kimlik Avı:

  • 2017’de finansal kimlik avı saldırılarının tüm kimlik avı tespitleri arasındaki oranı %47,5’ten yaklaşık %54’e yükseldi. Bu oran Kaspersky Lab’in finansal kimlik avı istatistiklerine göre tüm zamanların en yüksek oranı.
  • Bankacılık ile ilgili kimlik avı girişimlerinin dörtte birinden fazlasında Kaspersky Lab ürünleri sahte sitenin yüklenmesini engelledi.
  • Ödeme sistemleri ve e-ticaret siteleriyle ilgili kimlik avı saldırılarının oranı 2017’de sırasıyla %16 ve %11 oldu. Bu da 2016’ya göre küçük bir artış (bir puanlık) olduğunu gösteriyor.
  • Mac kullanıcılarının karşılaştığı finansal kimlik avı saldırılarının oranı neredeyse iki kat artarak yaklaşık %56 seviyesine ulaştı.

Bankacılık ile ilgili zararlı yazılımlar:

  • Bankacılık truva atlarıyla saldırıya uğrayan kullanıcıların sayısı 2016’da 1.088.900’ken 2017’de %30 oranında azalarak 767.072’ye düştü.
  • Bankacılık ile ilgili zararlı yazılımların saldırısına uğrayanların %19’u kurumsal kullanıcılardı.
  • Bu tür zararlı yazılımlar en fazla Almanya, Rusya, Çin, Hindistan, Vietnam, Brezilya ve ABD’deki kullanıcıları hedef aldı.
  • Bankacılık ile ilgili en yaygın zararlı yazılım unvanı halen Zbot’un elinde (saldırıya uğrayan kullanıcıların %33’ü). Onu Gozi ailesi takip ediyor (%27,8).

Bankacılık ile ilgili Android tabanlı zararlı yazılımlar:

  • 2017’de bankacılık ile ilgili Android tabanlı zararlı yazılımlarla karşılaşan kullanıcıların sayısı tüm dünyada yaklaşık %15 azalarak 259.828’e düştü.
  • Yapılan saldırıların büyük bir kısmını (%70) yalnızca üç zararlı yazılım ailesi oluşturdu.
  • Rusya, Avustralya ve Türkmenistan, bankacılık ile ilgili Android tabanlı zararlı yazılımların en çok hedef aldığı ülkeler oldu.

Finansal kimlik avı hakkında daha fazla bilgi ve 2017’de Finansal Siber Tehditler raporundaki diğer bulgular için Securelist.com adresindeki blog yazımızı okuyun.

Türkiye’de en çok sosyal medya hesapları hedef alınıyor

Günümüzde banka hesapları arasında para transferi yapmaktan alışverişe, hava durumunu kontrol etmekten dışarı çıkmak için taksi çağırmaya kadar birçok farklı şey için internet üzerindeki hesaplarımıza sürekli giriş yapıyoruz. Peki, ihtiyacınız olduğunda hesabınıza giriş yapamazsanız ne olur? “Hatalı parola” mesajıyla karşılaşırsanız ne yaparsınız? Eve zamanında ulaşamaz veya yağmura mı yakalanırsınız? Gerçekte yaşanabilecekler bu saydıklarımızdan çok daha ciddi olabilir. Kaspersky Lab tarafından yapılan araştırma, kullanıcıların internet üzerindeki hesaplarını koruma altına alırken yaşadığı ikilemi ortaya çıkardı.

Günlük yaşantımızı sürdürmek için internet üzerindeki hesaplarımıza giderek daha çok bağımlı hale geliyoruz. Kaspersky Lab, kullanıcıların bu hesaplar için parola belirlerken büyük bir ikilemde kaldığını keşfetti. Bazı kullanıcılar sahip oldukları her hesap için farklı ve güçlü parolalar belirleyip kendilerini güvence altına almayı tercih ediyorlar. Ancak bunu yaparken parolarını unutma riskiyle karşı karşıya kalıyorlar. Diğer bir grup kullanıcı ise hayatlarını kolaylaştırmak için hatırlaması zor olmayan parolalar seçiyorlar. Bu yolu tercih edenler sadece kendilerinin değil siber suçluların da işini kolaylaştırmış oluyorlar.

İkilemin ilk seçeneği: Hatırlaması zor ama güçlü parolalar

Yapılan araştırmaya göre kullanıcıların çoğu hesapları için güçlü parolalar kullanmaları gerektiğinin farkındalar. Türkiye’deki kullanıcılara internetteki hesaplarından hangi üçünün güçlü parolaya ihtiyaç duyduğu sorulduğunda, %58’i banka hesabı, %26’sı elektronik cüzdanlar dahil olmak üzere ödeme uygulamaları, %32’si ise internet üzerinden alışveriş hesapları yanıtını verdiler.

Güçlü parolaları hatırlamanın zor olması kullanıcıların bunları unutup hesaplarına erişemeyebileceği anlamına da geliyor. Türkiye’deki kullanıcıların %47’si kişisel hesaplarındaki parolalarını unuttuktan sonra hızla yerine yeni parola belirleyemiyor. Günlük aktivitelerin bu nedenle yapılamaması kullanıcılarda sinir ve strese yol açabiliyor.

Türkiye’deki kullanıcıların neredeyse yarısı (%48) parolalarını güvensiz bir şekilde saklarken, yaklaşık dörtte biri (%22) güvenliklerini riske atsa da parolalarını unutmamak için bir not defterine yazdığını belirtiyor.

İkilemin ikinci seçeneği: Zayıf ve ele geçirilmesi kolay parolalar

Parola ikilemiyle karşılaşan ve uzun parolarları ezberlemek zorunda kalmak istemeyen kullanıcılar güvenli olmayan başka davranışlar sergiliyorlar. Örneğin, kullanıcıların %12’si tüm hesapları için sadece tek bir parola kullanıyor. Böylece internet üzerindeki hesaplarına nasıl giriş yapacaklarını hatırlamak zorunda olmadan rahat bir şekilde yaşıyorlar. Ancak bu rahatlık, bir siber suçlunun bu tek parolayı ele geçirip her şeyi kendisi için kullanmaya başlamasına kadar devam ediyor.

Gerçekten de, Türkiye’de Kaspersky Lab anketine katılan kullanıcıların %49’u son 12 ay içinde internet üzerindeki hesaplarının çalınması tehdidiyle karşılaşmış ya da hesaplarını çaldırmış. Türkiye’de en sık hedef alınan hesaplar sosyal medya hesapları olurken (%43), onu sırasıyla e-posta hesapları (%29), banka hesapları (%14) ve alışveriş hesapları (%18) takip ediyor.

İkilemin çözümü: Üçüncü bir seçenek de var

Kaspersky Lab’e göre, parola ikilemiyle karşılaşan kullanıcılar yalnızca iki seçeneğe sahip değiller. Kullanıcıların güvenlikten ödün vermelerine gerek olmadığını belirten Kaspersky Lab Tüketici İş Birimi Lideri Andrei Mochola, “İnsanlar hatırlayabilecekleri güçlü parolalara sahip olurlarsa yalnızca ihtiyaçları olan her şeye istedikleri her an erişmekle kalmaz, aynı zamanda hesaplarındaki bilgileri siber suçlulardan da korumuş olurlar. Birinin iletişim bilgilerini bulmak, bir toplantının yerini anımsamak, sevdikleri oyundaki mücadeleyi kazanmak, e-postalarını kontrol etmek veya ihtiyaç duydukları bir şeyi istedikleri zaman sipariş etmek gibi günlük yaşantıları sırasında yaptıkları şeyleri, bilgilerini hackerlara veya suçlulara açmadan güvenli bir şekilde yapabilmek, kullanıcılar için çok önemli. Güvenli parolaları hatırlamak zor olduğundan kullanıcılar bu parola ikilemiyle her gün karşı karşıya kalıyorlar. Sonuçta ya güçlü parolalarını unutuyor ya da hatırlaması ve aynı zamanda kırılması kolay parolalar oluşturuyorlar. Ancak, kullanıcıları rahatlatacak üçüncü bir seçenek daha var. Tüketiciler bir parola yöneticisi çözümü kullanarak güçlü parolalara sahip olabilir. Bu sayede parolaları not defterlerine yazmak veya özel karakterlerle dolu karmaşık kelime dizilerini ezberlemek zorunda kalmazlar” dedi.

 

Router ile Bulaşan Zararlı Yazılım: ‘Slingshot’ Hakkında Bilgi

12.03.2018

Araştırmacılar şimdiye kadar Kenya, Yemen, Afganistan, Libya, Kongo, Ürdün, Türkiye, Irak, Sudan, Somali ve Tanzanya’da Slingshot ve ilgili modüllerden etkilenen 100 civarında kurban tespit etti. Kurbanlar genelde kurumlardan çok bireylerden oluşuyor. Ancak aralarında bazı devlet kurum ve kuruluşları da yer alıyor. Zararlı yazılımdan etkilenenlerin önemli bir bölümü Kenya ve Yemen’de bulunuyor.

Türkiye de router ile bulaşan zararlı yazılımın kurbanları arasında

Kaspersky Lab araştırmacıları, Orta Doğu ve Afrika’da 2012’den Şubat 2018’e kadar siber casusluk için kullanılan gelişmiş bir tehdidi keşfetti. Araştırmacıların ‘Slingshot’ adını verdiği zararlı yazılım kurbanların bilgisayarlarına, ele geçirilmiş router’lar üzerinden bulaşıyor. Kernel modunda çalışabilen yazılım, kurbanın bilgisayarının tüm kontrolünü elinde bulundurabiliyor. Araştırmacılara göre, daha önce görülmemiş birçok tekniğin kullanıldığı bu tehdit, gizlice bilgi toplama konusunda inanılmaz derecede etkili. Kendi veri trafiğini işaretli veri paketlerinde gizleyen bu zararlı yazılım, iz bırakmadan günlük iletişimin arasına gizlenebiliyor.

Slingshot operasyonu, araştırmacıların yazılan karakterleri kaydeden şüpheli bir programı fark edip, kodun başka bir yerde kullanılıp kullanılmadığını görmek için davranışsal tespit işareti oluşturmasının ardından keşfedildi. Bu yöntemin kullanılmasıyla, sistem klasöründe scesrv.dll adlı şüpheli bir dosyanın yer aldığı bir bilgisayar tespit edildi. Araştırmacılar incelemeyi derinleştirmeye karar verdiler. Dosya analiz edildiğinde, yasal gibi gözükse de aslında scesrv.dll modülünde zararlı kodlar bulunduğu görüldü. Bu arşiv, sistem ayrıcalıklarına sahip ‘services.exe’ ile birlikte yüklendiğinden aynı yetkileri elde ediyordu. Araştırmacılar bu sayede çok gelişmiş bir saldırganın, bilgisayarların en temel merkezine girebildiğini anladılar.

Slingshot’ın en çok dikkat çeken özelliği, pek de yaygın olmayan saldırı yöntemlerini kullanması. Araştırmacılar daha fazla kurban keşfettikçe, çoğunda yazılımın ele geçirilmiş router’lardan bulaştığını gördüler. Slingshot’ın arkasındaki grubun saldırı sırasında router’ları ele geçirip, içine zararlı bir dinamik bağlantı arşivi yerleştirdiği belirlendi. Bu arşiv aslında diğer zararlı bileşenlerin indirilmesini sağlıyordu. Bir sistem yöneticisi router’ı yapılandırmak için giriş yaptığında, router’ın yönetim yazılımı zararlı modülü sistem yöneticisinin bilgisayarına indirip çalıştırıyor. Router’ların nasıl ele geçirildiği ise henüz bilinmiyor.

Bulaşmasının ardından, Slingshot kurbanın cihazına çok sayıda modül yüklüyor. Bunlar arasında iki adet çok büyük ve güçlü modül bulunuyor: Cahnadr ve GollumApp. Bağlı bu iki modül; bilgi toplama, süreklilik ve dışarı veri sızdırma konularında birbirine destek oluyor.

Slingshot’ın siber casusluk amacıyla kullanıldığı düşünülüyor. Yapılan analizlerde yazılımın; ekran görüntüleri, klavye verileri, ağ verileri, parolalar, USB bağlantıları, diğer masaüstü aktiviteleri ve pano verilerini toplayabildiği anlaşıldı. Zaten yazılımın kernel erişiminin olması istediği her şeyi çalabileceği anlamına geliyor.

Bu gelişmiş kalıcı tehdit, tespit edilmesini önlemek için de bazı yöntemler kullanıyor. Bunların arasında modüllerdeki tüm dizileri şifreleme, güvenlik ürünlerinden kaçınmak için doğrudan sistem servislerini çağırma, hata ayıklamaya karşı teknikler kullanma ve çalışan güvenlik çözümü süreçlerine göre hangi süreçleri etkileyeceğini belirleme gibi yöntemler yer alıyor.

Pasif bir arka kapı şekline çalışan Slingshot’ta kodlanmış bir komut ve kontrol adresi bulunmuyor. Ancak bu adresi, kernel modundaki tüm ağ paketlerinin arasına girip başlıkta kodlanmış iki adet sihirli sabit olmadığını kontrol ederek operatörden alıyor. Başlıkta iki adet sihirli sabitin yer alması o pakette komut ve kontrol adresi olduğu anlamına geliyor. Daha sonra Slingshot, komut ve kontrol adresiyle şifreli bir iletişim kanalı kuruyor ve çaldığı verileri bunun üzerinden aktarmaya başlıyor.

Araştırmacıların incelediği örneklerin ‘sürüm 6.x’ olarak işaretlenmiş olması, tehdidin çok uzun bir süredir kullanıldığını ortaya koyuyor. Slingshot’ın karmaşık araçlarını geliştirmek için gereken zaman, beceri ve paranın çok yüksek olduğu tahmin ediliyor. Tümü bu ipuçları bir araya getirildiğinde, Slingshot’ın arkasındaki grubun organize, profesyonel ve muhtemelen devlet destekli bir grup olduğu düşünülebilir. Kodlardaki metinler, grubun İngilizce konuşan kişilerden oluşabileceğini gösteriyor. Ancak bu gibi durumlarda doğru tahmin yapmak ve kişileri tam olarak belirlemek imkânsız olmasa bile epey zor, manipülasyona ve hataya açık oluyor.

Kasperky Lab Zararlı Yazılım Baş Analisti Alexey Shulmin, “Slingshot, bugüne kadar yalnızca en gelişmiş saldırılarda gördüğümüz kernel modu modülleri gibi birçok araç ve yöntem kullanan oldukça karmaşık bir tehdit. Yazılımın sahip olduğu işlevler saldırganlar için çok değerli. Bu da Slingshot’ın neden yaklaşık altı yıldır kullanıldığını açıklayabilir” dedi.

Kaspersky Lab’in tüm ürünleri bu tehdidi tespit edip engelleyebiliyor. Kaspersky Lab araştırmacıları bu tür bir saldırıdan etkilenmemek için şunları öneriyor:

  • Mikrotik router’larını kullananlar, bilinen açıklardan korunmak için en kısa sürede yazılımlarını son sürüme yükseltmeli.Ek olarak, Mikrotik Winbox artık router’dan kullanıcı bilgisayarına hiçbir şey indirilmesine izin vermiyor.
  • Kaspersky Anti Targeted Attack Platform ve Tehdit İstihbaratı Hizmetleri gibi kanıtlanmış kurumsal sınıf güvenlik çözümleri kullanın.
  • Kaspersky Threat Management and Defence çözümü gibi, hedefli saldırıları önleyen teknolojilere ve tehdit istihbaratı özelliğine sahip kurumsal düzeyde bir güvenlik çözümü kullanın. Bu çözümler, ağdaki anormallikleri analiz edip siber güvenlik ekiplerinin tüm ağı görebilmesini ve otomatik tepki vermesini sağlayarak gelişmiş hedefli saldırıları yakalayabiliyor.
  • Güvenlik ekiplerinin en son tehdit istihbaratı verilerine erişmesini sağlayın. Bu sayede, hedefli saldırıları önlemeleri için sızma belirtileri (IOC), YARA ve özel gelişmiş tehdit raporlaması gibi faydalı araçlara sahip olabilirler.

 

Kaspersky Lab, popüler bir endüstriyel protokolde kritik açıklar keşfetti

11.05.2018

Kaspersky Lab ICS CERT, sunucular ile kritik altyapılar gibi endüstriyel sistemlerdeki istemciler arasında güvenli veri transferi için tasarlanan OPC UA (Object Linking and Embedding for Process Control Unified Automation) protokolünü analiz etti. Analizlerde protokolün uygulanmasında 17 adet sıfır-gün açığı tespit edildi. Bu açıklar hizmet engelleme (Denial of Service) ve uzaktan kod çalıştırma saldırılarına yol açabiliyor. Ayrıca, bu protokol üzerine kurulu ticari ürünlerde de çok sayıda açık bulundu. Tüm açıklar geliştiricilere bildirildi ve Mart 2018 sonuna kadar kapatıldı.

OPC UA, endüstriyel bir ağdaki çok sayıda sistem arasında sağlam ve güvenli veri iletimi sağlamak için 2006 yılında OPC Foundation tarafından geliştirilip kullanıma sunulan bir endüstriyel protokol. Bu protokol üretim, petrol ve gaz, ilaç ve başka sektörlerde faaliyet gösteren büyük markalar tarafından endüstriyel tesislerde sıkça kullanılıyor. Protokolün ağ geçitleri; otomatik süreç kontrolü ve uzaktan ölçümde iletişim, takip ve uzaktan denetim sistemleri için her geçen gün artan sayıda endüstriyel kurum tarafından kullanılıyor. Böylece bu kurumlar yönetim süreçlerini birleştirebiliyor. Protokol ayrıca, siber saldırganların dikkatini çeken Endüstriyel IoT ve akıllı şehir bileşenlerinde de kullanılıyor.

Kaspersky Lab ICS CERT uzmanları OPC UA mimarisini ve ürünlerini analiz etti. Örnek bir sunucuyla birlikte protokolün açık kaynaklı kodlarını (GitHub’da bulunabilir) inceleyen uzmanlar, mevcut uygulamanın kod tasarımında ve yazımında hatalar buldu. Bu hatalar, bu kadar yaygın kullanılan bir kritik altyapı yazılımında bulunmaması gereken türde hatalardı. OPC Foundation ürünlerinde toplamda 17 adet sıfır-gün açığı belirlendi ve geliştiricilere bildirildi. Geliştiriciler de ardından bu açıkları kapattı.

Kaspersky Lab ICS CERT ayrıca bu endüstriyel protokol üzerine kurulu üçüncü taraf yazılımları da inceledi. İncelenen yazılımlar arasında önde gelen endüstri markalarının çözümleri de bulunuyordu. Çoğu durumda açıkların, protokolün bazı uygulama işlevleri düzgün bir şekilde kullanılmadığı için ortaya çıktığı tespit edildi. Bazı durumlarda ise açıkların nedeni protokolün altyapısına hatalı değişiklikler uygulanmasıydı. Bu yüzden, OPC Foundation’ın orijinal uygulamasında hata olmamasına rağmen uzmanlar ticari bir üründe güvensiz işlevler keşfetti. Markaların bilinmeyen nedenlerle protokolün mantığında yaptığı bu değişiklikler riskli işlevlere neden oluyordu.

OPC UA protokolünün uygulanmasında tespit edilen tüm açıklar endüstriye büyük zarar verebilecek cinstendi. Bir yandan, endüstriyel süreçleri aksatıp veya durdurup sistemlere ciddi tehdit oluşturabilecek hizmet engelleme (Denial of Service) riski ortaya çıkıyordu. Diğer yandan ise, saldırganlara endüstriyel süreçleri kontrol etmesini veya ağa sızmaya devam etmesini sağlayacak sunucu komutları gönderme imkanı tanıyan, uzaktan kod çalıştırma yöntemi de uygulanabiliyordu.

Kaspersky Lab ICS CERT Kıdemli Güvenlik Araştırmacısı Sergey Temnikov, “Yazılım geliştiriciler genellikle endüstriyel protokollere fazlasıyla güveniyor. Ürün kodlarını güvenlik denetiminden geçirmeden teknolojiyi çözümlerine uyguluyorlar. Böylece, bu örnekteki gibi açıklar ürün serilerinin tamamını etkileyebiliyor. Markaların yaygın kullanılan teknolojilere dikkat etmesi büyük önem taşıyor. Ayrıca, markaların kendi yazılımlarını tasarlayacabilecekleri fikrine de kapılmamaları gerekiyor. Çoğu bunun mevcut yazılımlardan daha verimli ve güvenli olabileceğini düşünüyor fakat yepyeni bir yazılım bile çok sayıda açığa sahip olabiliyor.” dedi.

Kaspersky Lab kurumlara şunları öneriyor:

  • Uygulama geliştirme sürecinde güvenlik kontrollerini ve testleri zorunlu bir adım olarak görün. Protokollere tamamen güvenmeyin.
  • Açıkları keşfetmek için denetimler ve sızma testleri uygulayın.
  • Yazılım geliştirme süreçlerini diğer süreçlerden ayrı tutun. Böylece bir uygulama ele geçirildiğinde saldırganlar tüm ağa erişemez.

 

WannaCry Fidye Yazılımı Saldırısı Hakkında Bilgi

15.05.2017

Kaspersky Lab araştırmacıları, 12 Mayıs 2017 tarihinde dünya çapında birçok kuruluşu etkileyen WannaCry fidye yazılımı saldırısına ilişkin sürecin gelişimini izlemeye devam ederek, aşağıdaki güncel bilgileri paylaşmaktadır:

Fidye yazılımının gelişim süreci:

15 Mayıs Pazartesi günü dolaşımda bulunan toplam varyant (aynı yazılımın değişken sürümleri) sayısı hala belirsizdir ancak hafta sonu boyunca iki önemli varyant ortaya çıkmıştır. Kaspersky Lab, bunların hiçbirinin zararlı yazılımın orijinal geliştiricileri tarafından yaratılmadığına; saldırıların, kendi çıkarlarını ve amaçlarını gözetmeye hevesli olan kişiler tarafından yamalanarak düzenlendiğine inanmaktadır.

İlk varyant pazar sabahı 02:00 dolaylarında yayılmaya başlamıştır ve farklı bir alana (domain) bağlanmak üzere yamalı olduğu görülmüştür. Kaspersky Lab, bugüne kadar bu varyant için Rusya ve Brezilya’da bulunan üç kurban tespit etmiştir.

Hafta sonu boyunca ortaya çıkan ikinci varyantın ise, zararlı yazılımın yayılımını önleyeceği düşünülen zayıf noktasını (kill switch) ortadan kaldırmak için yamalanmış olduğu ve muhtemelen söz konusu yazılım hatasını içerdiği için yayılmadığı gözlemlenmiştir.

Bugüne kadar saldırıdan etkilenenlerin sayısı

Ağ loglarının daha ayrıntılı bir analizi, WannaCry fidye yazılımının 11 Mayıs Perşembe günü yayılmaya başlamış olabileceğini göstermektedir.

Saldırıdan etkilenenlerin toplam sayısını tahmin etmek zordur. Kaspersky Lab’ın kendi ölçümlemesi 45.000‘in üzerinde kullanıcının saldırıya uğradığını göstermektedir, ancak bu toplam saldırı sayısının bir kısmını temsil etmektedir. (Kaspersky Lab’ın müşterilerinin payı)

WannaCry’ın çoğu sürümünde sabit olarak kodlu bulunan zayıf noktaya (kill switch) hizmet eden ‘sinkhole’ sunucusuna (alan adlarının zararlı yazılımlar tarafından kullanımını engellemek için DNS sorgularına yanlış bilgi veren bir DNS sunucusu) bakarak bu konuda daha net bir tablo çizilebilmektedir. An itibarıyla, ‘kill-switch’ kodundan gelen yeniden yönlendirmeleri toplayan Malwaretech ‘sinkhole’ sunucusu, yaklaşık olarak 200.000 hit kaydetmiş bulunmaktadır.

Bu rakam, internete bağlanmak için bir vekil sunucu kullanılan kurumsal ağlardaki saldırıları içermemektedir. Gerçek kurban sayısı çok daha büyük olabilir.

15 Mayıs Pazartesi günü Kaspersky Lab tarafından tespit edilen WannaCry saldırı girişimleri, 12 Mayıs Cuma gününe kıyasla 6 kat azalmıştır. Bu, saldırının kontrol altında alınmaya başladığını göstermektedir.

Olası bir saldırıdan etkilenme riskini azaltmak için Kaspersky Lab’ın tavsiyeleri:

  • Saldırıda kullanılan güvenlik açığını kapatmak üzere Microsoft’un sunduğu resmi yamayı yükleyin (Windows XP, Windows 8 ve Windows Server 2003 için de kullanılabilen yamalar da vardır).
  • Tüm ağ düğümlerinde güvenlik çözümlerinin aktif olduğundan emin olun.
  • Kaspersky Lab çözümlerini kullanmayanlara ücretsiz Kaspersky Anti-Ransomware Tool (KART) yüklemeleri önerilir.
  • Bir Kaspersky Lab çözümü kullanılıyorsa, davranışsal bir proaktif algılama bileşeni olan System Watcher’ı içerdiğinden ve açık durumda olduğundan emin olun.
  • Olası enfeksiyonu en kısa sürede bulabilmek için Kaspersky Lab’ın çözümündeki Kritik Alan Taraması (Critical Area Scan) görevini çalıştırın (aksi durumda 24 saat içinde kapanmazsa otomatik olarak algılayacaktır).
  • MEM: Trojan.Win64.EquationDrug.gen’i tespit ettikten sonra sistemi yeniden başlatın
  • Olası saldırılar hakkında bilgilendirilmek için, Müşteriye Özel Tehdit İstihbaratı Raporlama hizmetlerini kullanın.
  • WannaCry gömülü sistemleri de hedeflemektedir. Gömülü sistemler için özel güvenlik çözümlerinin yüklenmesini ve hem anti-malware korumasına hem de Standart Engelleme (baştan yasaklı) fonksiyonuna sahip olunmasını öneririz.

Teknik veri

Wannacry saldırı metodu ve ilgili Tehdit Göstergeleri hakkında detaylı bilgilere Securelist’teki blog yazısından ulaşabilirsiniz.