Aylık arşivler: Haziran 2012

UEFA Avrupa Şampiyonası’nın Kazananı Dolandırıcılar Oldu!

Bir Cevap Yazın

Trend Micro uzmanları, devam eden UEFA Avrupa Futbol Şampiyona’sına özel, sosyal mühendislik teknikleriyle hazırlanmış sahte bağlantıların sosyal medya ve arama motorlarında cirit attığını, bu bağlantılara tıklayan kişiler sayesinde de siber dolandırıcıların hem kullanıcıların kişisel bilgilerini çaldıklarını hem de reklam gösterim ücretlerinden gelir elde ettiklerini tespit etti.

Tüm hızıyla devam eden UEFA Avrupa Şampiyonası 2012, siber suçluların zararlı yazılımları bulaştırmak için kullandıkları son spor organizasyonu oldu. UEFA Avrupa Şampiyonası 2012’nin resmi sitesinin alan adı ve sayfalarına benzer siteler yaratan saldırganlar, kullanıcıları tehdit ediyor.

Trend Micro Analisti Paul Pajares’in verdiği bilgilere göre, www.uefa.com/uefaeuro/ bağlantısının benzerini üreten saldırganlar, sahte sitenin altına birçok zararlı yazılım ve Truva atı yerleştirdi. Zararlı yazılım sisteme bir kez sızdığında, sahte bir antivirüs programı gibi davranarak bilgisayarın taranması ve aktif hale getirilmesini istediği görüldü. Sahte yazılımın aktivasyon sayfasına giden kullanıcılar, hassas verilerin sızdırılması için oluşturulmuş bir web sitesiyle karşılaştı. Bu site kullanıcıların online bankacılık işlemlerinde kullandıkları verileri çalmaya odaklanmış ZBOT/Zeus türü zararlı yazılımların bilgisayara sızmasına sebep oldu. Ayrıca, zararlı yazılımın web tarayıcılarını da kullanılamaz hale getirdiği tespit edildi.

Arama motoru üzerindeki oyunlar da sürdü

Avrupa Şampiyonası’nın resmi web sitesinin benzeriyle yetinmeyen siber suçlular, maçların canlı yayınları için oluşturdukları sayfalardan da zararlı yazılım saçmaya devam etti. Arama motoruna “Portekiz Çek Cumhuriyeti Canlı İzle” yazanların karşısına, hemen ilk sayfada zararlı yazılım dolu bir web sitesi çıktı.

Web sayfasına ulaşmak için tıklandığında canlı bir video yayını yerine, başka bir yere yönlendirme yapıldığı görüldü. Yönlendirmeye tıklandığında web sitesinin kullanıcıların konum ve IP adresine eriştiğini gördü. Bunun yanında dolandırıcıların tek hedefi kullanıcıların verilerini çalmak olmadı. Dolandırıcıların hazırladıkları bu sayfalarda dönen reklamlar önemli bir “haksız kazanç” elde edilmesine sebep oldu. Reklam geliri elde etmek amacıyla yapılan dolandırıcılık, İtalya ve İngiltere arasında gerçekleşen müsabaka sırasında gerçekleşti. Tüm futbolseverler için büyük önem arz eden karşılaşma için oluşturulan sahte sitede yine maçın canlı yayını olduğu vaadi kullanıcıların karşısına çıktı. Ancak sitenin sadece reklam geliri elde etmek istediği ortaya çıktı.

Facebook ve Chrome da saldırılara platform oluşturdu

Trend Micro uzmanları yaptıkları analizlerde, internet tarayıcısı Google Chrome’un resmi mağazası Chrome Web Store’da sahte bir eklenti tespit etti. Kullanıcılar bu eklentiyi indirdiklerinde tarayıcı doğrudan sahte bir web sitesine yönlendi. Bu sitenin de reklam geliri amacında olduğu kısa sürede ortaya çıktı.

Saldırganlar Avrupa için bu futbol yazında hemen her platformu saldırı için değerlendirdi. Facebook kullanıcılarının duvarlarına gelen sahte bağlantılar, futbolseverleri canlı maç yayınları olduğu söylenen sitelere yönlendirdi. Ancak web sitelerine gidildiğinde dolandırıcıların yalnızca para kazanma amacında olduğu belirlendi.

Trend Micro Kıdemli Araştırmacısı Rik Ferguson da özel olarak hazırlanmış e-postalar tespit ettiğini açıkladı. Avrupa Şampiyonası’ndaki maçlardan haber verdiğini iddia eden e-posta, kullanıcıları sahte ilaç satışı yapan bir siteye yönlendirdi.

Trend Micro bu tür tehditlere karşı koruma sağlıyor

Trend Micro kullanıcıları, Smart Protection Network sayesinde, zararlı bağlantılar ve yazılımlar ile istenmeyen mesajların da aralarında bulunduğu tüm tehditlere karşı koruma altında. UEFA Avrupa Şampiyonası 2012 gibi geniş kitlelerin takip ettiği etkinlikler, saldırganların sosyal mühendislik hamlelerini kullanmaları için önemli bir fırsat sunuyor. Kullanıcıların internette gezinirken sitelerin gerçek olup olmadığına her tıklamadan önce dikkat etmesi gerekiyor.

Flame Yangınını Trend Micro Söndürüyor!

Bir Cevap Yazın

Trend Micro, Smart Protection Network ve Sanal Yama teknolojilerine sahip Deep Security, OfficeScan ve Deep Discovery ürünleri ile kurumları Flame virüsü ve yarattığı tehditlerden koruyor.

Son zamanlarda hızlı bir yayılma sergileyen ve bazı kaynaklar tarafından ABD ve İsrail’in ortaklaşa geliştirdiği iddia edilen Flame virüsü sanal 2010 yılından bu yana özellikle İran ve Orta Doğu’da etkili oluyor. Dünyanın önde gelen güvenlik firmalarından Trend Micro’nun çözümleri, kurumları oldukça karmaşık bir yapıya sahip olan ve bilgi çalma konusunda pek çok tekniği bünyesinde barındıran bu virüsten koruyor.

Flame virüsü, kullandığı bilgisayarlara giriş yöntemiyle ileride ortaya çıkabilecek virüslere de yol gösteriyor. Bu yöntemleri inceleyen Trend Micro, Smart Protection Network teknolojisi ile Flame’in bilgisayarlara girişini engelliyor. Flame tarzı virüslerin kendisini yayma ve etkin hale gelmelerinin önünü açan Windows güvenlik açıkları ise Trend Micro’nun Deep Security ve OfficeScan ürünlerinde bulunan Sanal Yama özelliği ile kolayca kapatılabiliyor. Sanal Yama özelliği, bu açıkları kapattığı gibi, sunucuları ve uygulamaları etkilemeden minimum efor ile açıklardan kaynaklanabilecek riskleri de ortadan kaldırıyor. Örneğin; MS10-061, MS10-046 referans numaralı Microsoft güvenlik açıklarını adresleyen ve kapatan teknoloji atak imzalarını Deep Security, OfficeScan ve Deep Discovery ürünlerinde barındırıyor.

Android uygulamalarındaki kitaplık dosyaları tehlikenin önyüzü mü?

Bir Cevap Yazın

Hepimizin bildiği gibi bilgisayarlarımız kadar telefonlarımız ve diğer mobil cihazlar da artık açık hedef konumunda. Peki mobil cihazlarımıza indirdiğimiz her uygulama güvenli mi? Yanıtınız evet ise bunu bir kere daha düşünmenizi öneririz.

Geçtiğimiz günlerde zararlı kitaplık dosyaları içeren ve devreye girdiği zaman etkilediği cihazı belirli bir komut-kontrol sunucusuna bağlanan bir zombi cihaza dönüştüren yeni Android uygulamalarını (ANDROIDOS_BOTPANDA.A) ortaya çıkardık. Bu dosyanın dikkat çeken bir yanı da dinamik kitaplıkta saklanması ve bu nedenle kolayca analiz edilememesi.

Uygulamada bulunan zararlı libvadgo kitaplık dosyası, NDK ile geliştirilmiş ve Java Native arayüzü kullanılarak yüklenmiş. NDK Android geliştirici, adayları tarafından uygulama geliştirmede kullanılan bir araç seti. Zararlı yazılım, file com.airpuh.ad/UpdateCheck dosyasını içeriyor. Bu dosya, libvadgo kitaplığını yüklüyor ve aşağıdaki kodu kullanarak Java_com_airpuh_ad_UpdateCheck_dataInit fonksiyonunu devreye alıyor:

İncelememize göre Java_com_airpuh_ad_UpdateCheck_DataInit’in dikkat çeken yönlerinden biri /system/xbin/su dosyasını kontrol ederek etkilenen bir cihaza yerleşilip yerleşilmediğini kontrol ediyor. Eğer öyleyse dosya tarafında /system/xbin/su ve /system/xbin/su içinde yer alan aşağıdaki komut devreye alınıyor:

Java_com_airpuh_ad_UpdateCheck_DataInit aynı zamanda birkaç dakika sonra kaldırılacak olan .e[int_a]d dosyasını çalıştırıyor. Bu dosyanın yaptığı ilk iş ise /system/lib/libd1.so’nun varlığını kontrol etmek, dosyaların yerlerini değiştirmek ve system/xbin/ altında yakalanmadan barınmak için önemli sistem komutlarını kontrol altına almak. Bunu ise system/xbin/ altında eşdeğer dosyalara yaratarak yapıyor. Üretilen bütün dosyalar, system/lib/lib1.so’nun sureti (duplication). Aynı zamanda system/bin/svc’yi modifiye ediyor ki bu sayede zararlı yazılım otomatik olarak devreye giriyor.

.e[int_a]d dosyası zararlı yazılımın ana işlevi olan C&C sunucularıyla iletişim görevini gerçekleştiriyor. Araştırmalarımız sırasında bu sunucuların halihazırda bir şekilde kapalı olduğunu gördük. Bu nedenle etkilenen cihazlarda ne tür bir komut işlendiğini doğrulayamıyoruz.

Daha önce belirttiğimiz gibi bu tehdidi dikkate değer yapan şey, ANDROIDOS_BOTPANDA.A’nın dinamik kitaplık libvadgo.so’yu kullanması. Bu tip zararlı yazılımlar bu dosya arkasına saklanarak ve bu sayede bulunması zor hale gelerek çalışırlar. Bu tip tehditler aynı zamanda belirli süreçleri ortadan kaldırır, önemli sistem komutlarını yakalar ve dosyaların yerlerini değiştirerek saptama-kaldırma çözümlerini zorlaştırır.

Eğer gelecekte daha fazla Android bazlı zararlı yazılım bu tekniği kullanırsa, güvenlik uzmanları için bu tehditleri analiz etmenin ve onlara karşı çözüm üretmenin çok daha zor hale geleceğine eminiz.

Bu zararlı yazılımın üçüncü parti uygulama mağazalarından geldiğini söyleyebiliriz. ANDROIDOS_BOTPANDA.A nedeniyle kullanıcılara, özellikle üçüncü parti uygulama mağazalarından, uygulama indirirken çok dikkatli olmalarını öneriyoruz.

Cihazınızın bu tehditten etkilendiğinden şüpheleniyorsanız; uygulama dosyalarını kontrol edebilirsiniz. Sistemde system/lib klasör kısa yolunu ve libd1.so dosyasını aratın. Aynı zamanda klasör kısa yollarında scv dosyası /system/bin’e bakabilirsiniz ve cihazınızın durumunu anlamak için bu dosyanın /system/bin/ifconfig satırını içerip içermediğini kontrol edebilirsiniz.

Trend Micro, Sanallaştırma Güvenliğinde Yine Zirvede!

Bir Cevap Yazın

Trend Micro, üst üste iki yıldır sanallaştırma güvenliğinde küresel piyasa liderliğini kimseye bırakmadı.

Dünyanın bulut güvenliği lideri Trend Micro, sanallaştırma güvenliği yönetimi çözümleri pazarında %10 ila %12 pazar payı ile en fazla pazar payına sahip olan şirket oldu. TechNavio tarafından yayımlanan Küresel Sanallaştırma Güvenliği Yönetimi Çözümleri Piyasası 2011-2015 (The Global Virtualization Security Management Solutions Market 2011-2015) raporuna göre, sanallaştırma güvenliğinde ilk sırada yer alan Trend Micro, bulut güvenliği pazarında da en fazla paya sahip şirket oldu.

Raporda Trend Micro’nun sanal ortamlar için sunduğu geniş ölçekli sanallaştırma güvenliği çözümleri ve rakipleriyle olan karşılaştırmalarına yer verildi. Ayrıca Third Brigade stratejik satın almasının da önemi vurgulanırken, Trend Micro’nun Microsoft, HP, IBM, VMware ile oluşturduğu güçlü iş ortaklığı yapısı ile sanallaştırma güvenliği ürünlerinin gelişimi için harcanan çabaya dikkat çekildi.

Sanallaştırma güvenliği pazarının önümüzdeki üç yıl içerisinde %49.53 oranında büyüyeceği öngörüsü de raporda yerini aldı. % 51 ila 53 pazar payı ile piyasayı sürükleyen kıtanın Amerika olduğu belirtilen raporda; Avrupa, Orta Doğu ve Afrika (EMEA) bölgesi ile Asya Pasifik bölgelerinin piyasada hızla paylarını artırdığı bilgisi verildi.

Bulut ve sanallaştırma güvenliği konusunda Trend Micro’nun yer aldığı diğer raporlarsa şu şekilde:

  • TechNavio’nun “Küresel Bulut Güvenliği Yazılım Piyasası Raporu 2011-2015 içerisinde küresel bulut güvenliği piyasası lideri.
  • IDC’nin “Dünya Çapında Uç Nokta Güvenliği 2011-2012 Öngörüsü ve 2010 Sağlayıcı Paylarıraporunda kurumsal uç nokta sunucu güvenliği ve dünya çapında sanallaştırma güvenliği yönetimi piyasa lideri.
  • TechNavio’nun “Küresel Sanallaştırma Güvenliği Yönetimi Çözümleri 2010-2014”  raporunda kurumsal uç nokta sunucu güvenliği ve dünya çapında sanallaştırma güvenliği yönetimi piyasa lideri.

Trend Micro Deep Security, şirketin sanallaştırma güvenliğindeki amiral gemisini oluşturuyor. Deep Security’nin genel yetenekleriyle Trend Micro, VMware sanal makineleri için sunduğu güvenlik uygulamasında endüstrinin ilk ve tek aracısız güvenlik platformu ile aracısız anti-malware, görüntüleme entegrasyonu, IDS/IPS, web uygulamaları koruması ve güvenlik duvarını bir araya getirdi. Deep Security piyasaya sürüleli iki yıldan az bir süre oldu.

Trend Micro Deep Security;

  • Günümüzün dinamik veri merkezlerinin uyum ve operasyonel güvenlik ihtiyaçlarına cevap vererek fiziksel, sanal ve bulut ortamlarında sistem ve uygulama güvenliği sağlar.
  • Derinlemesine tarama ve önleme, web uygulama koruması, güvenlik duvarı, entegre görüntüleme, kayıt takibi ve anti-malware yeteneklerini merkezden yönetilebilen tek bir çözümde bir araya getiren kurumsal yazılım çözümüdür.
  • Birçoğu Global 2000 şirketleri arasında yer alan 1.500’ün üzerinde lisanslı kullanıcının sanallaştırılmış ortamda güvenliğini sağlar. Bunlar arasında 6.000’in üzerinde sanal makineden 300 sanal makineye kadar her ölçekteki şirket bulunur.
  • VMware gibi piyasa lideri şirketlerin yenilikçi sanallaştırma çözümleriyle uyumlu çalışması için özel olarak tasarlandı. Bu nedenle Trend Micro, VMware’in 2011 yılında “Yılın Teknoloji İş Ortağı” ve ilk kez verilen “Bulut Güvenliği İş Birliği Endüstri Liderliği” ödüllerine layık görüldü.

Dolandırıcıların Yeni Oyuncağı Akıllı Telefonlar!

Bir Cevap Yazın

Trend Micro, hazırladığı video ile son dönemde oldukça yaygınlaşan akıllı telefonların kullanıcılarını uyarıyor. Video, suçluların bireyleri nasıl dolandırdıklarının yanı sıra kurumsal toplantılarda telefonların birer mikrofon haline getirilerek nasıl bilgi hırsızlığı yaptıklarını da çarpıcı örneklerle gösteriyor.

Bir kaç sene öncesine kadar sadece erkek kullanıcılar tarafından kullanılan akıllı telefonlar,  geliştirilen kullanıcı dostu ara yüzleri ile kadınlar tarafından da benimsenerek günlük yaşamın olmazsa olmazı haline gelmeyi başardı. İnternet kullanımını mobil ekranlara taşıyan bu telefonlar çok kısa bir sürede bilgisayar satışlarını geride bıraktı.

Günümüzde 10 milyon ön sipariş ile piyasaya çıkan akıllı telefonlar, kullanıcılar tarafından pek bilinmeyen suç ekonomisi açısından da önemli bir gelir kaynağı oldu. Dünyanın önde gelen içerik güvenliği firmalarından Trend Micro, akıllı telefon kullanıcılarını uyarmak ve kullanıcıların akıllı telefonları nedeniyle yaşayabilecekleri olumsuz durumlara dikkat çekmek amacıyla bir video yayınladı.

Trend Micro’da EMEA bölgesinden sorumlu Güvenlik Araştırmaları Direktörü olarak çalışan Rik Ferguson’un anlatıcı olarak yer aldığı videoda, suçluların bireylerin akıllı telefonlarına nasıl sızdıkları örneklerle gösteriliyor. Bireysel örnekte suçlu bir kişinin akıllı telefonuna sızarak telefonun ücretli bir servise düzenli olarak mesaj atmasını sağlarken kurumsal örnekte ise bir kurumda çalışan birinin akıllı telefonunu ele geçiren suçlu, çalışanın katıldığı toplantının ses kaydını çalışanın telefonu vasıtasıyla dinleyip kaydediyor ve kurumun rakiplerine bu bilgiyi satıyor.

Türkçe altyazılı videoyu hemen aşağıda izleyebilirsiniz.