Duqu | blog.trendmicro.com.tr

Hacker’lar tarafından hedef alınan açıklar önceki senelerde araştırıldığında karşımıza istemciyle ilgili yazılımlar çıkıyordu. 2011’deki tehditlerin çok daha karmaşık ve sofistike bir hale geldiğini gözlemledik. Saldırganların özellikle kritik günleri belirleyerek planlarını yürüttüklerine şahit olduk. Uzun süre giderilemeyen Duqu, bir Java açığı ya da bir Adobe açığı en zayıf anlarında saldırganlar tarafından kullanıldı.

Açıklara yapılan saldırıların bu yıl çok daha hedefli, orijinal, sofistike ve iyi yönetildiğini tespit ettik.

En fazla saldırıya maruz kalan uygulamalar arasında Adobe Acrobat Reader ve Flash Player; Java Runtime Environment/ Java Development KIT ve Internet Explorer öne çıktı. Bu uygulamalara yapılan saldırıların oldukça başarılı oldu ve özellikle tarayıcı sağlayıcıları defalarca yama yayınlamak durumunda kaldı.

Saldırıların birçoğunun başarılı olmasının sebebiyse aslında çok basit: Güncellenmeyen yazılımlar. CSIS’in bir çalışmasına göre, kullanıcıların yüzde 37’si web üzerinde güvensiz Java sürümleriyle dolaşıyor. Zscaler’ın yaptığı ankette de benzer sonuçlar ortaya çıkıyor. Ankete katılan kurumsal kullanıcıların yüzde 56’sı açıklar bulunan Adobe ürünlerini kullanıyor. BT yöneticileri kurumlarda sanal yamalar yaratarak Trend Micro Deep Security ya da OfficeScan gibi uygulamalar yükleyerek koruma sağlamaya çalışıyor.

Sunucu Açıkları

Sunucular sürekli saldırılara maruz kalıyor. Ne yazık ki sunucu işletim sistemlerinde de birçok açık ortaya çıkıyor. En popüler sunucu işletim sistemlerinden ikisi olan Windows Server 2008 ve Redhat her geçen yıl daha fazla açık veriyor.

Siber suçlular web uygulamalarına da dadanmış durumda. SQL saldırıları milyonlarca web sayfasına dağıtılarak kullanılıyor. Zararlı yazılımlar doğrudan web sitelerine yerleştirilerek kullanıcı cihazlarına ulaşılmaya çalışılıyor. Bu yıl iki büyük saldırı gerçekleşti. Temmuz ayında gerçekleşen saldırı neticesinde 8 milyon web sitesi zarar gördü. Ekim ayında gerçekleşen ikinci dalgada da bir milyon web sitesine zararlı yazılım sızdı.

SQL yazılımlarından ayrı olarak, PHP, WordPress, Joomla’daki açıklar değerlendirilerek saldırganlar düzgün çalışan bir web sitesini çapraz eşleşme ile başka sitelere yönlendiriliyor.

Kullanıcılar ne yapmalı?

Bahsettiğimiz birçok açıktan korunmak için öncelikle iyi bir yama yönetim stratejisinin uygulanması gerekiyor. Yamanın gerçekleştirildiği sırada oluşan açıktan korunmak için sanal yama çözümleri devreye alınmalıdır.

2011’de hızla arttığını gördüğümüz trendin 2012’de de devam etmesini bekliyoruz. Saldırıların çok daha karmaşık ve geniş çerçevede gerçekleşmesini öngörüyoruz. Bu saldırılara karşı yapılacak tüm savunma önlemleri 2012’de büyük önem taşıyacak.

DUQU kötücül yazılımıyla ilgili yeni geliştirmeleri, bu tehdit ortaya çıktığından beri yakından takip ediyoruz. Geçtiğimiz günlerde Macaristan merkezli bir güvenlik laboratuvarı, DUQU adlı tehdidin yapısına ışık tutan bazı bilgiler yayınladı.

Bu rapora göre bir Microsoft Word dokümanının tetiklediği güncellemelerin yapıldığı gün (zero-day) kernel açığı (exploit), DUQU’yu harekete geçiriyor. Buna göre, Microsoft Word dosyası ilk olarak bundan birkaç hafta önce duyurulan DUQU’nun bileşenlerini yükleyen dosyaları harekete geçiriyor. Yükleyici dosyalar RTKT_DUQU.B olarak tespit edilen bir .SYS dosyasıyla sisteme TROJ_DUQU.B yükleyen bir .DLL dosyasının birleşimi.

Aşağıda bu tehdidin basitçe nasıl işlediğini görebilirsiniz:

Sıfırıncı gün tehdidinin işleyişiyle ilgili ayrıntılar henüz açığa çıkmış değil. Microsoft konuyla ilgili bir açıklama yaparak açığın varlığını kabul etti ve Salı günü gerçekleştirilen güncellemeler sırasında yamanın bilgisayarlara yüklenmediğini aktardı. Bu nedenle henüz Windows tabanlı bilgisayarların güvende olduğunu söyleyemeyiz.Güvenlik zaafiyeti nedeniyle Win32k TrueType ayrıştırma motorunda bulunuyor ve bilgisayarın izlenmesine izin veriyor. Başarılı bir saldırı, saldırganın kernel modda herhangi bir kod çalıştırmasına izin verebiliyor.

Yeni bilgiler DUQU saldırılarının nasıl gerçekleştiği hakkında daha sağlıklı teorilere sahip olabilmeyi sağlıyor. Microsoft Word’ün kullanımını dikkate aldığımız zaman, bu saldırının ilk olarak hedeflenen organizasyonlardaki çalışanlara gönderilen e-postalar ile gerçekleşmiş olabileceğini düşünüyoruz. Bu bizim daha önce ortaya koyduğumuz DUQU’nun hedeflenen kullanıcılardan bilgi çalmak üzere gerçekleşen geniş kapsamlı saldırının bir parçası olabileceği varsayımımızı destekliyor.

DUQU bileşen dosyalarının gelecek versiyonlarını adreslemek üzere TROJ_DUQUCFG.SME ve RTKT_DUQU.SME’nin proaktif algılayıcısını yarattık. Aynı zamanda Threat Discovery Appliance (TDA), 473 TCP_MALICIOUS_IP_CONN, 528 HTTP_Request_DUQU ve 529 HTTP_Request_DUQU2 kurallarıyla C&C sunucusuna bağlı olan ağ aktivitelerini ve kötücül yazılımları saptayarak kurumsal ağları koruyor.

Bu konuda daha fazla bilgiye ulaşmak için çalışmalarımız sürüyor. Konuyla ilgili sizleri bilgilendirmeye devam edeceğiz.

blog.trendmicro.com.tr

Güvenlik, Gizlilik ve Koruma. Bir Trnd Micro Blogu.

Etiket arşivi: Duqu

2011 değerlendirmesi: Açıklarla başımız dertte

Windows’lardaki DUQU açığı giderilemiyor