Mert SARICABugün öğlen saatlerinde bir arkadaşım, kendisine gelen şüpheli bir e-postayı benimle paylaştı. E-posta, popüler bir kariyer sitesindeki iş ilanına yanıt şeklinde hazırlanmıştı ve bu e-postada adı geçen adaya ait C.V detaylarının bir web sitesinden indirilebileceği belirtilmişti. İlk izlenimim bu kariyer sitesindeki iş verenlerin hedef alındığı yönündeydi. Malum mesai saatleri içerisinde bu sitede yer alan şüpheli dosyayı detaylı inceleme fırsatım olmadığı için evde inceleyebilmek için diskime kayıt edip işimin başına döndüm.
Akşam saatlerinde dosyayı incelemeye başladığımda ve dosyanın içerisinde Türkçe stringlerin yer alması, yerli yapımı olduğu ihtimalini güçlendirdi. Dosyayı debugger ile incelemeye devam ettiğimde zararlı koda ait payload’un blowfish ile encrypt edildiğini bu nedenle antivirüsler tarafından tespit edilmesinin pek mümkün olmadığını (3/41 başarı ve 7/41) gördüm.
Trojan çalıştırıldıktan hemen sonra kendisini silerek windows/system32/wins/setup klasörü altına msmgrs.exe adı altında kopyalıyordu. Trojanın yarattığı trafiği yakından incelediğimde ise yurt dışındaki bir ftp adresine bağlandığını gördüm.
ISC2 code of ethics’in altına imza atmış bir güvenlik uzmanı olarak bu konu karşısında duyarsız kalmam mümkün değildi o nedenle keşfettiğim ve analiz ettiğim malware ile ilgili olarak insanları ve kurumları bilgilendirdim. Ön analizler neticesinde trojanın keylogger özelliğine sahip olduğunu, ek olarak 10’dan fazla Türk bankasının internet bankacılığı sayfasına girişi esnasında kullanıcının ekran görüntülerini kayıt ettiğini gördüm. İlerleyen zamanlarda malware analizi ile ilgili bir makale yayınlayarak nasıl tespit ettiğimi ve analiz ettiğimi sizlerle paylaşmayı düşünüyorum.
Code of Ethics Canons:
Protect society, the commonwealth, and the infrastructure.
Act honorably, honestly, justly, responsibly, and legally.
Provide diligent and competent service to principals.
Advance and protect the profession.
Mert SARICA
5 comments
5
Merhaba Mesut bey,
Google gibi spam konusunda çok başarılı bir hosting firmasının hizmetinden yararlandığımızda sizce bu tür iletilerden tamamiyle olmasada büyük bir kısmını son kullanıcıya ulaşmadan engellemek mümkün mü?
Selamlar
Mert :)
Pek mümkün değil çünkü öncelikle spam kategorisine girmesi lazım ve kara listeye girmiş ip bloklarından bu e-postanın gönderilmiş olması lazım. Her antivirüs yazılımının her virüsü hemen yakalaması nasıl mümkün değilse aynısı bunun içinde geçerli.
Selamar,
Geçtiğimiz günlerde müşterimin bilgisayarında bahsettiğiniz klasör yolunda dosyalar mevcutu. Problemli bilgisayar ve o yapı Eset Nod32 Smart Security ile korunuyordu. Müşteri bilgisayarının yavaşlığından şikayet ediyor. Güvenlik uygulamamız herhangi bir uyarı vermiyor ama bilgisayar yoğun bir çalışma içerisindeydi. Spybot ile taradım, combofix kullandım ve sonra, esetle görüştüm: bağlandılar, antimalware kurdular, gördüler, sildiler ve ne olduğunu anlamadılar. Bende anlamamıştım ki artık farkındayım.
Ama gördüğüm kadarıyla burda asıl problem hosting firmasından kaynaklanmakta. Çünki bu mail bilinen bir yerden gelmesi düşük bir ihtimal olduğu gibi hosting firmasının güvenliğinden bize ulaşmamalıydı diye düşünüyorum. Google’ın hosting maliyetine girerek daha güvenli bir mail alışverişi mümkün mü?
iyi çalışmalar dilerim.
Merhaba Engin Bey,
Bildiğiniz üzere antivirus/antispyware yazılımlarının bir çoğu imza tabanlı ve zararlı yazılımlar kötü niyetli kişiler tarafından paketlenerek veya şifrelenerek antivirus/antispyware gibi yazılımlar tarafından yakalanmaları engellenebiliyor bu durumda dosyayı host eden veya e-postayı gönderen firmanın çok fazla seçeneği kalmıyor.