by Mehmet Dağdevirentürk (Sistem Mühendisi)

Son dönemlerde bütün dünyayı etkileyen Spearfhising spam atakları Türkiye’deki birçok kurumu da etki altına aldı. Daha zeki olan bu atakların tek amacı e-posta güvenliği çözümlerindeki güvenlik modüllerini bypass etmektir. E-posta güvenliğini geçen spam e-postalar kurumlardaki kullanıcılara erişiyor ve kullanıcılar gelen e-posta üzerindeki link üzerinden spam atağını yayan merkezi sunuculara yönlendiriliyor. Bu e-postalar çalışanların günlük iş ve yaşamlarının bir parçası olduğundan kullanıcılara ilgilerini çekecek cazip e-postalar olduğu için genelikle açıyorlar. Sonrasında birkaç senaryo gündeme gelebiliyor. Bazı durumlarda spam içerisinde gelen web sitelerinden veri sızıntısı yapmaya yönelik zararlı yazılımlar indirilip bu yazılımlar kurum ağlarında keşif yapabiliyorlar. Aylarca kurum ağlarında bekleyip dışardan komut alarak yönlendirilebiliyorlar. Deneyimlediğimiz en yakın örneklerden birisi 2012 yılında karşılaştığımız fatmal zararlı kodu gösterilebilir.

Bir diğer senaryo ise yine gelen spam e-posta içerisindeki ekli dosyalara kullanıcıların erişmesi sonucu bilgisayarların çalışamaz hale gelmesi ve işletim sistemlerinin zarar görmesidir.

Bununla ilgili son zamanlarda yaptığımız bir demodan bir örnekle devam etmek istiyorum. paraprofessionalhe@email.vodafone.ie adresinden gelen bir e-postanın içindeki http://www.natursteine-bgl.de/Bilder/klein/ URL’ye erişen kullanıcılar farkında olmadan bilgisayarlarına zararlı dosya yüklemiş oldular. Bu aşamada özellikle kullanıcıya indirilen dosyaların hiçbir sorgu ve izinden geçmediğini vurgulamak gerekiyor. Drive by download olarak isimlendirilen indirme metodunda kullanıcıların hiçbir şekilde haberlerinin olmadığını söyleyebilirim. Bir sonraki aşamada zararlı dosyanın kullanıcı bilgisayarına yerleştikten sonra içeride nasıl aksiyonlar aldığını gözlemledik. Aksiyonlar arasında işletim sistemi dosyaları üzerinde modifikasyon yapmaya çalışmak bulunuyor. Servis ve memory objelerinde değişiklik yapmak, kendisini işletim sistemi her başladığında startup’a yazarak aktif hale getirmek gibi farklı aksiyonlarla da karşılaştık. Bu kurum bu ataktan dolayı ortalama 25 bilgisayara format atmak zorunda kaldı ve diğer makinelerde hala zararlı kodun izleri araştırılmaya devam ediliyor.

Peki bu tarz modern atakları e-posta güvenliği çözümleri niye durduramıyor? Sebebi zararlı kodun doğasından kaynaklanıyor. Çünkü hedefe odaklı saldırı olarak tanımladığımız bu gelişmiş atak türlerinde kuruma sızmaya çalışan zararlı yazılım normal bir yazılımmış gibi davranıyor. Kuruma yerleştikten sonra kendisine kod enjekte ederek olgun bir malware halini alıyor.

Böyle bir durumla karşılaşıldığında ne yapmak gerekiyor? Şirketlerdeki bütün internet trafiğini izleyen Deep Discovery şüpheli olarak gördüğü spam ve dosyaları bir simulasyon sistemine gönderiyor ve burada davranışlarını gözlemleyebiliyor. Yani özetle Trend Micro Deep Discovery entegrasyonu ile bir sandbox ortamı hazırlanıp davranışlar izleniyor. Bu güvenlik modülü TrendMicro’nun e-posta güvenlik sistemleri ile sürekli iletişim halinde olmakla beraber, süpheli gördüğü dosyaları e-posta güvenlik çözümüne komut göndererek karantinaya almasını sağlayabiliyor. Bu mimari ile beraber çift katmanlı bir koruma sağlanmış oluyor. Dolayısıyla karşılaşılan gelişmiş phishing ve spearphishing atakları TrendMicro e-posta güvenlik çözümleri ve Deep Discovery sandbox yapısının birbiriyle entegrasyonu ile kurumlarda oluşturacağı zarar önceden simüle edilerek olası veri sızıntıları ve DOS ataklarına karşı önlem alınmış olunuyor.