Yazar arşivleri: Dilek Kurt

Windows’lardaki DUQU açığı giderilemiyor

Bir Cevap Yazın

DUQU kötücül yazılımıyla ilgili yeni geliştirmeleri, bu tehdit ortaya çıktığından beri yakından takip ediyoruz.  Geçtiğimiz günlerde Macaristan merkezli bir güvenlik laboratuvarı, DUQU adlı tehdidin yapısına ışık tutan bazı bilgiler yayınladı.

Bu rapora göre bir Microsoft Word dokümanının tetiklediği güncellemelerin yapıldığı gün (zero-day) kernel açığı (exploit), DUQU’yu harekete geçiriyor. Buna göre, Microsoft Word dosyası ilk olarak bundan birkaç hafta önce duyurulan DUQU’nun bileşenlerini yükleyen dosyaları harekete geçiriyor. Yükleyici dosyalar RTKT_DUQU.B olarak tespit edilen bir .SYS dosyasıyla sisteme TROJ_DUQU.B yükleyen bir .DLL dosyasının birleşimi.

Aşağıda bu tehdidin basitçe nasıl işlediğini görebilirsiniz:

Sıfırıncı gün tehdidinin işleyişiyle ilgili ayrıntılar henüz açığa çıkmış değil. Microsoft konuyla ilgili bir açıklama yaparak açığın varlığını kabul etti ve Salı günü gerçekleştirilen güncellemeler sırasında yamanın bilgisayarlara yüklenmediğini aktardı. Bu nedenle henüz Windows tabanlı bilgisayarların güvende olduğunu söyleyemeyiz.Güvenlik zaafiyeti nedeniyle Win32k TrueType ayrıştırma motorunda bulunuyor ve bilgisayarın izlenmesine izin veriyor. Başarılı bir saldırı, saldırganın kernel modda herhangi bir kod çalıştırmasına izin verebiliyor.

Yeni bilgiler DUQU saldırılarının nasıl gerçekleştiği hakkında daha sağlıklı teorilere sahip olabilmeyi sağlıyor. Microsoft Word’ün kullanımını dikkate aldığımız zaman, bu saldırının ilk olarak hedeflenen organizasyonlardaki çalışanlara gönderilen e-postalar ile gerçekleşmiş olabileceğini düşünüyoruz. Bu bizim daha önce ortaya koyduğumuz DUQU’nun hedeflenen kullanıcılardan bilgi çalmak üzere gerçekleşen geniş kapsamlı saldırının bir parçası olabileceği varsayımımızı destekliyor.

DUQU bileşen dosyalarının gelecek versiyonlarını adreslemek üzere TROJ_DUQUCFG.SME ve RTKT_DUQU.SME’nin proaktif algılayıcısını yarattık. Aynı zamanda Threat Discovery Appliance (TDA), 473 TCP_MALICIOUS_IP_CONN, 528 HTTP_Request_DUQU ve 529 HTTP_Request_DUQU2 kurallarıyla C&C sunucusuna bağlı olan ağ aktivitelerini ve kötücül yazılımları saptayarak kurumsal ağları koruyor.

Bu konuda daha fazla bilgiye ulaşmak için çalışmalarımız sürüyor. Konuyla ilgili sizleri bilgilendirmeye devam edeceğiz.

Facebook’taki Starbucks promosyonlarına dikkat!

Bir Cevap Yazın

Şimdiye kadar kullanıcıların mobil telefon numaralarını soran anketler dahil Facebook sahtekârlıklarıyla ilgili pek çok yazıyı sayfamızda sizlerle paylaştık. Bu tür tehditler artık iyice yaygınlaşmış durumda ve Google+ daveti, bedava film bileti gibi pek çok yem ortaya atılıyor.

Geçtiğimiz günlerde saptadığımız Starbucks’ın promosyon sayfası olduğunu iddia eden ve ücretsiz kahve sunan bir Facebook sayfası ise başka bir örnek. Bu sayfadaki linke tıkladığınız zaman, yeni yönlendirmeleri harekete geçiren bir siteye bağlanmak üzere yeni bir tarayıcı sayfası açılıyor.

Bu tehdidin geçmiş örneklerden bildiğimiz kadarıyla, kullanıcılar telefon numaralarını sitede girdikleri zaman izinleri olmadan belirli servislere kayıt ediliyorlar. Bu servislere kayıt olmak ise onların telefon faturalarına ekstra ücret eklenmesi anlamına geliyor.

Bu siteyi daha ayrıntılı incelediğimiz zaman, daha önce gördüğümüz pek çok saldırının aynısı olduğunu gördük.

Web sitesi, (http://{ENGELLENDİ}factory.com) siber suçlular tarafından kullanıldığı bilinen ENOM şirketine kayıtlı. 2008’de tasarlanmış ve son kullanma tarihi ise 2012.

Bu site özellikle mobil kullanıcıları hedefliyor. Site için en çok kullanılan anahtar kelimeler arasında zil tonları ve polifonik zil tonlarının yanı sıra ekran koruyucular ve duvar kâğıtları yer alıyor. Görünen o ki, bu sitenin arkasındaki kötü çocuklar Facebook anket sahtekârlıklarını gerçekleştirenlerle aynı.

Bu sahtekârlık sıkça rastlanan ücretli servislerin suiistimali üzerine mobil bir kötücül yazılımla benzerlikler gösteriyor. Ücretli servis suiistimalcileri gibi anket sahtekârları da istenmeyen kabarık telefon faturalarıyla baş başa bırakıyor. Aradaki tek fark ise sahtekârlığın nasıl yapıldığı. Çünkü ücretli servis suiistimalcileri daha sert şekilde araya giriyor ve mobil cihaza kötücül dosyanın yüklenmesini sağlıyorlar. Anket sahtekarlarının yolu ise daha çok sosyal mühendisliğe dayanıyor. Her iki tür tehditte de kurbanları bekleyen aynı son oluyor.

Hem mobil cihazlar hem de sosyal medyada kullanıcı sayısının büyümesine paralel olarak, bunun gibi tehditleri görmekse bizi hiç şaşırtmıyor.

Kaddafi’nin ölümü de spam olarak kullanılıyor

Bir Cevap Yazın

Sosyal mühendislik teknikleriyle kullanıcıların kandırılmaya çalışılması son dönemde popüler olayların üzerinden yürütülüyor. Steve Jobs ve Amy Winehouse’un ölümlerinin ardından yaşananları sizlerle paylaşmıştık. Bir benzeri bu kez Kaddafi’nin son anlarını gösteren videolar üzerinden yaşanıyor.

Kaddafi’nin ölümüyle ilgili video olduğunu iddia eden birçok istenmeyen mesajla karşılaşıyoruz. Büyük ihtimalle sizler de bu videolara Reuters, Ntvmsnbc gibi gerçek haber sitelerinde rastladınız. Videoların gerçekten var olması bu kez saldırganların işini kolaylaştırıyor. Çünkü mesajı alanlar bu gönderilende de gerçek bir video olabileceğine inanıyor.

CNN bülteni gibi tasarlanmış bir e-postada doğrudan Kaddafi’nin videosu olduğu belirtilen Video-Gadhafi.mpeg.exe bağlantısına yönlendiriliyor. Bağlantı doğrudan bilgisayara zararlı yazılım indiriyor. Bu zararlı yazılımla saldırgan, bilgisayarı uzaktan kontrol edebiliyor. Ayrıca zararlı yazılım kendini güncelliyor.

Bir başka istenmeyen mesaj örneğinde de .RAR uzantılı bir dosya ve elbette yine bir zararlı yazılım bulunuyor. Bu RAR dosyasının içinde Kaddafi’nin öldükten sonra çekilmiş fotoğrafları olduğu iddia ediliyor.

Bir diğer istenmeyen mesajda da Kaddafi’nin kanlı bir fotoğrafı yer alıyor. Bu fotoğrafa tıklandığında videoya ulaşılacağı belirtilse de başka bir zararlı yazılımın bilgisayara inmesi kaçınılmaz oluyor.

Zararlı dosyalar, linkler ve istenmeyen mesajların tamamı Trend Micro Smart Protection Network’te tespit edilerek engellendi. Yine de tüm kullanıcılara önerimiz bilinmeyen ya da şüpheli bulunan e-postalardaki bağlantıların tıklanmamasıdır.

“Proaktif olun, kârlı olun ya da kaybedin”

Bir Cevap Yazın

Bulut güvenliğine odaklanan Trend Micro, proaktivite kazanmaya, yeni iş alanlarına girmeye ve mevcut müşterileri de elinde tutmayı hedefleyen yeni İş Ortağı Programını duyurdu.

Açıklanan program, proaktivite kazanmaya, yeni iş alanlarına girmeye ve mevcut müşterileri de elinde tutmaya odaklanıyor. Ayrıca daha iyi bir ödüllendirme sistemi ve düşük performans gösteren iş ortaklarının değerlendirilmesine de imkân tanınıyor.

Ekonomideki zor zamanlara rağmen Gartner, IDC ve Forrester’ın da aralarında bulunduğu analistler “internet güvenliği” sektörünün yıldan yıla gelişme gösterdiğini, bu gelişimin devam edeceğini kaydediyor. Trend Micro tarafından, iş ortakları ve daha geniş kanallar üzerinde yapılan derin araştırmalar, geleneksel ve bulut bilişim güvenlik çözümleri sunan dağıtıcılar için oldukça önemli gelir fırsatları olduğunu açıkça gösteriyor. Bunu yanında yapılan araştırma, endüstrideki hızlı değişimin kanalın bazı alanlarında zayıflıklar yarattığını ortaya koyuyor. Birçok iş ortağı yeni ve mevcut müşterilerle birlikte proaktif çalışma içerisine girerek yeni fırsatlar yakalamak yerine işin kolayına kaçarak eskiden beri sürdürdükleri işleri yapmaya devam etmek istiyor.

Trend Micro Akdeniz Ülkeleri Müdürü Ercan Aydın, radikal kararların ardındaki düşünceleri açıklıyor: “Çoğu teknoloji sağlayıcısı, iş ortağı programlarında indirimlerin bulunduğu bir tablodan daha fazlasını göremiyor. Bunun anlamı aslında, kanalın stratejileri kopyalayarak uygulamasını sağlamaktan başka bir şey değil. Olması gereksen ise stratejilerin bir araya getirilmesidir. Bizim programımız sınırları kaldırıyor ve kanala bağlılığımızı, kanalın sağlayıcı olarak bize bağlılığını pekiştiriyor ve ödüllendiriyor.”

İş ortaklarından neler bekleniyor, kendilerine neler sağlanıyor?

Trend Micro’nun girişimi daha kârlı, daha çevik, daha esnek bir iş ortağı programı yaratabilmek için tasarlandı. Öyle ki Trend Micro bu program ile esnekliği ve kârlılığı iş ortaklarına sunacak. İş ortaklığı yapısına bakıldığında şu anda Bronz, Gümüş, Altın ve Platinyum iş ortaklığı modellerimiz bulunuyor. Her iş ortağı için esneklik ve geliştirilmiş yönetim fırsatlarının yanında kolayca hesaplanabilir bir yapı oluşturuluyor.

Trend Micro’nun elinde bulundurduğu iş ortakları ve yenileri birçok geliştirme ve inisiyatiften yararlanabilecek. Bunlardan bazılarıysa şöyle:

  • Satış Fırsat Kaydı – İş ortakları, iş geliştirme konusunda Trend Micro ile daha yakından çalışabilmek için ödüllendirilecek.
  • Uzmanlıklar – İş ortakları, SMB, Veri Koruma, Uç Nokta ve Mobilite, Bulut ve Veri Merkezi Güvenliği gibi birçok alanda uzmanlığa kavuşacakları eğitim ve sertifikasyon programlarından geçebilecek.
  • Ön indirim Oranları ile iş geliştiren iş ortaklarına rekabet avantajı sağlayacak.
  • Online Pazarlama Kampanyaları – iş ortaklarının hızla kurabildikleri, yürüttükleri ve yeni pazarlama kampanyalarını ölçümleyebildikleri sanal pazarlama ortamı sağlanıyor.
  • Güncelleştirilen İş Ortağı Portalı ile satış, pazarlama ve eğitim konusunda geliştirilmiş destek verilecek.

Yenilenen İş Ortağı Programı tam da Trend Micro’nun internet güvenliği sektöründe en hızlı büyüyen ve Technavio’nun Küresel Sanallaştırma Güvenlik Yönetimi Çözümleri Araştırması’na göre, sanallaştırma güvenliği piyasasının lideri olmasıyla eş zamanlı olarak gerçekleştiriliyor.

Ercan Aydın sözlerini şu şekilde sürdürüyor: “Eğer iş ortaklarımız bizimle birlikte kârlı, sürdürülebilir iş geliştirme yapabilirlerse, onları eğitim, sertifikasyon, uzmanlık, iş planlama ve pazarlama araçlarıyla ödüllendireceğiz. Biz iş ortaklarımıza sektördeki tek geleneksel antivirüs işinin dışına çıkarak, hızla genişleyen bulut güvenliği ve sanallaştırma piyasalarına girmelerini sağlayacak programı sunuyoruz. Böylece performansın altında kalmak bir seçenek olmayacak.”

Saldırganlar internetteki tüm konuşmaları kaydediyor!

Bir Cevap Yazın

Sizin de çok iyi bildiğiniz gibi sık sık kişisel bilgilerin gizliliği ve kullanıcı güvenliğini vurgulayan yazılarımıza bu sayfadan yer veriyoruz. Çünkü web üzerinde kullanıcıların gizliliğini tehlikeye atan tehditler gittikçe çeşitleniyor.

Son dönemde, bir saldırgan grubla ilgili bilgilere rastladık. Bu bilgilerde grubun Skype üzerinden çevrimiçi aktiviteleri görüntüleyip konuşmaları kaydedebilen bir arka kapı bulduğunu gördük. Bu arka kapının Alman güvenlik güçleri tarafından kullanılmış olma ihtimali de tehdidi medyanın dikkatini çeker hale getiriyor.

BKDR_R2D2.A olarak belirlediğimiz bu kötücül yazılım, R2D2 olarak isimlendirilmiş durumda: (The malware, which we detect as BKDR_R2D2.A, was named such based on the strings “R2D2″ found in its malware code: )

İncelemelerimize göre bu kötücül yazılım aşağıdakileri yapabiliyor:

  • Skype, Yahoo! Messenger, MSN Messenger ve SipGate x-lite gibi uygulamalarda konuşmaları dinleyebiliyor
  • Skype üzerinden yapılan sesli aramaları kaydedebiliyor.
  • SeaMonkey, Navigator, Opera, Internet Explorer ve Mozilla Firefox üzerinde yapılan web tarama aktivitelerini görüntüleyebiliyor.
  • Enfekte olan sistemden ekran görüntüsü alabiliyor.

Aşağıdaki liste bu kötücül yazılımın görüntüleyebildiği ve içine girebildiği programları gösteriyor.

Bu arka kapı aynı zamanda uzak bir siteden komutlar alarak; sistem bilgilerini almak, programları indirmek, yüklemek ve çalıştırmak üzere bileşen dosyalarını yükleyebiliyor. Tüm bu işlemlerin ardından iz bırakmadan kendini bilgisayardan kaldırabiliyor. Aynı zamanda uzak bir kullanıcıdan komutlar almak üzere bir IP adresi ile iletişim kurabiliyor. Böylece siber suçlular, sistemi tamamen kontrol etme olanağı sağlıyor.

Kötücül yazılımın kodu, hiçbir devlet ile bağlantısı olduğunu göstermiyor. Bununla birlikte, Bavyera İçişleri Bakanı Joachim Herrmann’ın bu kötücül yazılımın Bavyera Polisi tarafından tasarlandığını onayladığına dair Der Spiegel’de bazı haberler yer aldı.

Yaratıcısı kim olursa olsun R2D2 hala bir bilgi çalma aracı ve bu nedenle kullanıcıların gizliliklerinin korunması adına bu kötücül yazılıma çok önem veriyoruz. Görünen o ki siber suçlular bu aracı kullanarak eylemler yapmaya devam edecekler.