top of page
Ara
  • Basın Bülteni -Kaspersky Lab
    • 16 Ara 2017
    • 3 dakikada okunur

Microcin Siber Güvenlik Zararlısı Korkutuyor


Bilgi Güvenliği Siber Güvenlik Tehditleri Korkutuyor

Siber güvenlik tehditleri şaşırtmaya devam ediyor

Kaspersky Lab araştırmacıları, gelişmiş tehdit gruplarının çalışma yöntemlerinde yeni ve çok önemli bir eğilim gözlemledi. Tehdit grupları, sıfır gün açıkları gibi gelişmiş ve pahalı saldırı tekniklerini kullanmaktan vazgeçmeye başladı. Bunların yerine hedefli sosyal mühendislik saldırılarıyla birlikte bilinen etkili zararlı yazılım tekniklerini kullanmayı tercih ediyorlar. Sonuç olarak ortaya, sıradan kurumsal güvenlik çözümlerini tespit etmesi güç olan zararlı saldırılar çıkıyor.

Microcin adlı bir zararlı saldırı tespit edildi

Tehdit gruplarının çalışma yöntemlerindeki bu değişiklik, genel olarak kurumların BT altyapılarının, daha ucuz saldırı araçlarına sahip saldırganların bile hedeflerine ulaşmasına yetecek kadar zayıf olduğunu gösteriyor. Kaspersky Lab uzmanları tarafından araştırılan Microcin adlı bir zararlı saldırı, ucuz fakat tehlikeli saldırıların güzel bir örneği oldu.

Microsoft Office yamasıyla kapatılan açıktan girdiler

Her şey, Kaspersky Anti Targeted Attack Platformu’nun (KATA) şüpheli bir RTF dosyası keşfetmesiyle başladı. Dosyada, Microsoft Office'te bulunan ve yamayla kapatıldığı bilinen açıktan faydalanan bir yazılım (sık kullanılan yazılımlardaki güvenlik zayıflıklarından faydalanarak ek zararlı bileşenler kuran zararlı yazılım) bulunuyordu. Sıradan siber suçluların, kurbanlara zarar vermek amacıyla çok yaygın zararlı yazılımlarla bilinen zayıflıklardan faydalanması nadir görülen bir durum değil. Ancak daha detaylı bir araştırma yapıldığında, bahsi geçen RTF dosyasının büyük bir zararlı yazılım dalgasının parçası değil, çok daha gelişmiş ve hedefli bir saldırıya dahil olduğu anlaşıldı.

Microcin hedef bazlı saldırıların bir parçası

Şüphe uyandıran bu hedef odaklı kimlik avı belgesi yalnızca belirli bir grup insana yönelik sitelerden yayılıyordu. Bu siteler, Rusya ve komşu ülkelerde genellikle devlet ve ordu kurumlarında çalışanlara sunulan, devlet destekli konut satın alma imkânı ile ilgili konuların tartışıldığı forum siteleriydi.

Açıktan faydalanıldığında, modüler yapıya sahip bir zararlı yazılım hedef bilgisayara yükleniyordu. Modüllerin kurulumu ise iexplore.exe'ye bulaştırılan bir zararlı yazılım üzerinden yapılıyor, Bu modülün otomatik çalışması ise dll-hijacking yöntemiyle gerçekleştiriliyordu. Her ikisi de bilinen ve sıkça kullanılan zararlı tekniklerdi.

En sonunda ana modül kurulunca, bazı ek modüller de komut ve kontrol sunucusundan indiriliyordu. Modüllerden en az biri steganografi tekniğini kullanıyordu. Gizli veri aktarımı için kullanıldığı bilinen bu teknikle görsel dosyaları gibi zararsız görünen dosyalarda bilgiler gizleniyordu.

Bilgi güvenliği, siber güvenlik tehdidi Microcin sızma testi araçlarından yararlanıyor

Zararlı yazılım platformu tamamen kurulduğunda, .doc, .ppt, .xls, .docx, .pptx, .xlsx, .pdf, .txt ve .rtf gibi uzantılara sahip dosyalar aranıyor, ardından bunlar parolayla korunan bir arşive eklenerek saldırganlara iletiliyordu. Bilindik sızma ve hareket yöntemlerinin kullanılmasına ek olarak, saldırganların geçmiş saldırılardaki arka kapıları aktif olarak kullandığı ve güvenlik çözümleri tarafından genellikle zararlı yazılım olarak tanımlanmayan yasal sızma testi araçlarından faydalandıkları da görüldü.

Kaspersky Lab Zararlı Yazılım Baş Analisti Alexey Shulmin, "Parçalar tek tek ele alınıp incelenirse, bu saldırının ciddi bir şey olmadığı düşünülebilir. Kullanılan bileşenlerin neredeyse tamamı güvenlik endüstrisi tarafından çok iyi bilinen ve tespit edilmesi kolay şeyler. Ancak, saldırının tespit edilmesini güçleştirecek şekilde bir araya getirilmişler. Daha da önemlisi, bu zararlı saldırı türünün tek örneği de değil. Bazı siber istihbarat tehdit gruplarının tespit edilmesi zor zararlı araçlar geliştirmek yerine, karmaşık zararlı yazılımlar içermeyen fakat yine de tehlikeli gelişmiş operasyonlar yürütmeye odaklandıkları görülüyor" dedi.

Kaspersky Lab uzmanları, BT altyapılarını Microcin gibi saldırılardan korumak isteyen kurumlara yalnızca zararlı yazılımları değil, zararlı operasyonları da tespit edebilen güvenlik araçları kullanmayı tavsiye ediyor.

Kaspersky Anti-Targeted Attack Platform gibi gelişmiş çözümler yalnızca uç nokta koruma teknolojilerini içermekle kalmıyor, aynı zamanda kurum ağının farklı bölümlerindeki olaylar arasındaki ilişkiyi de tespit eden teknolojiler barındırıyor. Bu sayede gelişmiş, hedefli saldırılardaki zararlı modelleri tanımlayabiliyor.

Kaspersky Lab ürünleri, Microcin ve benzer saldırıları başarılı bir şekilde tespit edip engelliyor.

Microcin saldırısıyla ilgili detyaları ve saldırı hakkında teknik bilgileri Securelist blog sayfasında bulabilirsiniz.

Kaspersky Lab Hakkında

Kaspersky Lab, 2017 yılında 20. yılını kutlayan küresel bir siber güvenlik şirketidir. Kaspersky Lab'ın derin tehdit zekası ve güvenlik uzmanlığı dünyanın dört bir yanındaki işletmelerin, kritik altyapıların, hükümetlerin ve tüketicilerin korunması için sürekli yeni nesil güvenlik çözümlerine ve hizmetlerine dönüşmektedir. Şirketin kapsamlı güvenlik portföyüne, lider uç nokta koruması ve gelişen karmaşık dijital tehditlerle mücadele eden bir dizi özelleştirilmiş güvenlik çözümleri de dahildir. 400 milyonu aşkın kullanıcı Kaspersky Lab teknolojileri ile korunmaktadır ve 270 bin kurumsal müşterinin kendileri için en önemli şeyleri korumalarına yardımcı olmaktayız. Daha fazla bilgi için: www.kaspersky.com/tr

9 görüntüleme0 yorum

Son Yazılar

Hepsini Gör

VERBİS'e kayıt süresi uzatılacak mı?

VERBİS'e kayıt süresi uzatılacak mı? Kişisel Verileri Koruma Kurumu (KVKK) Başkanı Prof. Dr. Faruk Bilir, KVKK'ya hem yurt içi hem de yurt dışı olmak üzere toplam 4 bin 839 ihbar ve şikayet başvurusu

bottom of page