sozcu.com.tr
27 Mart 2017
Yeni keşfedilen siber saldırı yazılımı
Anti-virüs programlarını bile ele geçiriyor
DoubleAgent isimli yeni saldırı tekniği sadece anti-virüs değil,
her türlü programı ele geçirme potansiyeline sahip.
Güvenlik araştırma firması Cybellum, yeni tür bir siber saldırı keşfettiğini açıkladı. DoubleAgent ismi verilen bu kötü niyetli yazılım, bilgisayarınızda kurulu anti-virüs programlarını gizlice ele geçirip size karşı kullanma becerisine sahip. DoubleAgent saldırısı, Microsoft’un Yazılım Onaylama (Application Verifier) aracını kullanarak sisteme sızıyor.
Bu araç uygulamalarda normalde farkedilmeyecek bazı programlama hatalarını ortaya çıkartmaya yarıyor. Uygulama geliştiricilerin bu aracı kullanabilmek için, yazdıkları uygulamaya Microsoft tarafından onaylanmış bir DLL (Dynamic-link library) eklemeleri gerekli.
Kötü niyetli saldırganlar, anti-virüs programlarında da bulunması gerekli bu DLL’in yerine, programlara arka kapı açan kendi modifiye edilmiş DLL’lerini yükletmeyi başarmışlar. Bu şekilde bir arka kapı açıldığı anda anti-virüs programı üzerinden harddiskinizi veya önemli dosyalarınızı kilitleyecek bir yazılım çalıştırmak mümkün oluyor. Bu da kötü niyetli saldırganın, dosyaların sahibine şantaj yapma fırsatı veriyor. Hatta DoubleAgent bir kez aktive olursa, farklı programlar ile tüm bilgisayarın kontrolünü ele geçirmek bile mümkün.
DoubleAgent bu şekilde tüm büyük anti-virüs markalarının programlarını etkisiz hale getirebiliyor. Cybellum firması anti-virüs programı üreten Avast, AVG, Avira, Bitdefender, Trend Micro, Comodo, ESET, F-Secure, Kaspersky, Malwarebytes, McAfee, Panda, Quick Heal ve Norton’a üç ay önce gerekli uyarıyı yaptığını belirtmiş. Bu firmaların hepsi önlem almak için uğraşıyor ama şimdilik sadece Malwarebytes ve AVG bu tehlikeyi yama ile önleyebilmiş.
xTR Haber Merkezi –
10 Şubat 2017
Görünmez siber saldırılar 40 ülkede büyük şirketleri hedef aldı
Siber saldırıların öncelikli hedefler arasında ABD, Güney Amerika, Avrupa ve Afrika’daki bankalar, telekomünikasyon şirketleri ve devlet kurumları yer alıyor
Siber saldırganlar görünmez saldırılarla 40 ülkede büyük şirketleri hedef aldı. 2016’nın sonunda BDT ülkelerindeki birçok banka Kaspersky Lab uzmanlarıyla irtibata geçerek, olmaması gereken bir zamanda sunucuların belleklerinde, Meterpreter adlı penetrasyon testi yazılımını bulduklarını bildirdi.
İncelemeler sonucunda Meterpreter kodunun bir dizi meşru PowerShell komut dizisiyle ve diğer bazı yardımcı uygulamalarla birleştirildiği keşfedildi. Birleştirilen bu araçlar, bellekte gizlenerek sistem yöneticilerinin şifrelerini toplayan ve böylece saldırganlara kurbanlarının sistemlerini uzaktan kontrol imkanı sağlayan zararlı kodlara adapte edildiği görüldü. Nihai hedefin de bu saldırılarla finansal işlemlere erişim sağlamak olduğu anlaşıldı.
Söz konusu keşiften bu yana ortaya çıkarılan tablo tahmin edilenden de büyük: Çeşitli sektörlerde faaliyet gösteren 140’ın üzerinde büyük ölçekli kuruluşun ağları saldırıya uğramış. Aralarında Türkiye’den şirketlerin de bulunduğu kurbanların çoğu ABD, Fransa, Ekvator, Kenya, Birleşik Krallık ve Rusya’da bulunuyor.
Kullanılan araçlar saldırılar hakkında detaylı bilgi edinilmesini de zorlaştırıyor. Normal bir süreçte araştırmacılar bir olay sonrasında saldırganların ağda bıraktıkları izleri takip ederler. Bir sabit sürücüdeki veriler aylarca erişilebilir kalsa da, bellekte kalan izler bilgisayarın yeniden başlatılmasıyla birlikte silinir. Söz konusu olayda uzmanlar anında müdahale ederek zamanında yetişerek saldırıyı tespit ediyor.
Saldırganlar halen etkin olduğu için bu tür bir saldırının tespitinin sadece RAM, ağ ve kayıt defteri üzerinden yapılabildiğini, ayrıca benzer örneklerde zararlı dosyaların taranması yoluyla Yara kurallarının kullanılmasının bir işe yaramayacağını bilmek önem arz ediyor.