Dikkat Malware!!!

Bugün öğlen saatlerinde bir arkadaşım, kendisine gelen şüpheli bir e-postayı benimle paylaştı. E-posta, popüler bir kariyer sitesindeki iş ilanına yanıt şeklinde hazırlanmıştı ve bu e-postada adı geçen adaya ait C.V detaylarının bir web sitesinden indirilebileceği belirtilmişti. İlk izlenimim bu kariyer sitesindeki iş verenlerin hedef alındığı yönündeydi. Malum mesai saatleri içerisinde bu sitede yer alan şüpheli dosyayı detaylı inceleme fırsatım olmadığı için evde inceleyebilmek için diskime kayıt edip işimin başına döndüm.

Akşam saatlerinde dosyayı incelemeye başladığımda ve dosyanın içerisinde Türkçe stringlerin yer alması, yerli yapımı olduğu ihtimalini güçlendirdi. Dosyayı debugger ile incelemeye devam ettiğimde zararlı koda ait payload’un blowfish ile encrypt edildiğini bu nedenle antivirüsler tarafından tespit edilmesinin pek mümkün olmadığını (3/41 başarı ve 7/41) gördüm.

Trojan çalıştırıldıktan hemen sonra kendisini silerek windows/system32/wins/setup klasörü altına msmgrs.exe adı altında kopyalıyordu. Trojanın yarattığı trafiği yakından incelediğimde ise yurt dışındaki bir ftp adresine bağlandığını gördüm.

ISC2 code of ethics’in altına imza atmış bir güvenlik uzmanı olarak bu konu karşısında duyarsız kalmam mümkün değildi o nedenle keşfettiğim ve analiz ettiğim malware ile ilgili olarak insanları ve kurumları bilgilendirdim. Ön analizler neticesinde trojanın keylogger özelliğine sahip olduğunu, ek olarak 10’dan fazla Türk bankasının internet bankacılığı sayfasına girişi esnasında kullanıcının ekran görüntülerini kayıt ettiğini gördüm. İlerleyen zamanlarda malware analizi ile ilgili bir makale yayınlayarak nasıl tespit ettiğimi ve analiz ettiğimi sizlerle paylaşmayı düşünüyorum.

Code of Ethics Canons:
Protect society, the commonwealth, and the infrastructure.
Act honorably, honestly, justly, responsibly, and legally.
Provide diligent and competent service to principals.
Advance and protect the profession.

image_pdfShow this post in PDF formatimage_printPrint this page
5 comments
  1. Merhaba Mesut bey,

    Google gibi spam konusunda çok başarılı bir hosting firmasının hizmetinden yararlandığımızda sizce bu tür iletilerden tamamiyle olmasada büyük bir kısmını son kullanıcıya ulaşmadan engellemek mümkün mü?

    Selamlar

    1. Mert :)

      Pek mümkün değil çünkü öncelikle spam kategorisine girmesi lazım ve kara listeye girmiş ip bloklarından bu e-postanın gönderilmiş olması lazım. Her antivirüs yazılımının her virüsü hemen yakalaması nasıl mümkün değilse aynısı bunun içinde geçerli.

  2. Selamar,

    Geçtiğimiz günlerde müşterimin bilgisayarında bahsettiğiniz klasör yolunda dosyalar mevcutu. Problemli bilgisayar ve o yapı Eset Nod32 Smart Security ile korunuyordu. Müşteri bilgisayarının yavaşlığından şikayet ediyor. Güvenlik uygulamamız herhangi bir uyarı vermiyor ama bilgisayar yoğun bir çalışma içerisindeydi. Spybot ile taradım, combofix kullandım ve sonra, esetle görüştüm: bağlandılar, antimalware kurdular, gördüler, sildiler ve ne olduğunu anlamadılar. Bende anlamamıştım ki artık farkındayım.
    Ama gördüğüm kadarıyla burda asıl problem hosting firmasından kaynaklanmakta. Çünki bu mail bilinen bir yerden gelmesi düşük bir ihtimal olduğu gibi hosting firmasının güvenliğinden bize ulaşmamalıydı diye düşünüyorum. Google’ın hosting maliyetine girerek daha güvenli bir mail alışverişi mümkün mü?

    iyi çalışmalar dilerim.

    1. Merhaba Engin Bey,

      Bildiğiniz üzere antivirus/antispyware yazılımlarının bir çoğu imza tabanlı ve zararlı yazılımlar kötü niyetli kişiler tarafından paketlenerek veya şifrelenerek antivirus/antispyware gibi yazılımlar tarafından yakalanmaları engellenebiliyor bu durumda dosyayı host eden veya e-postayı gönderen firmanın çok fazla seçeneği kalmıyor.

Leave a Reply

Your email address will not be published. Required fields are marked *

You May Also Like
Read More

e-Devlet Hacklendi mi?

If you are looking for an English version of this article, please visit here. Öncelikle yazının sonunda söyleyeceğimi başta söyleyeyim, “Hayır, hack-len-me-di!” Peki bu durumda vatandaş olarak rahat bir nefes alabilir misiniz ? Maalesef hayır. Bunun sebebini de yazının devamında okuyabilirsiniz. Zaman zaman hortlayan “e-Devlet Hacklendi!”, “e-Devlet verileri çalındı!”, “85…
Read More
Read More

WhatsApp Dolandırıcıları

If you are looking for an English version of this article, please visit here. Başlangıç Son günlerde hemen hemen WhatsApp uygulaması kullanan herkesi rahatsız eden yabancı cep telefonu numaralarından gelen çağrılardan, mesajlardan ben de yakın zamanda nasibimi aldım ve tabii ki diğer dolandırıcılıklarla ilgili yazılarımda (Kripto Para Dolandırıcıları, LinkedIn Dolandırıcıları,…
Read More
Read More

LinkedIn Dolandırıcıları

If you are looking for an English version of this article, please visit here. Uzun yıllardan beri sosyal ağları ve medyayı etkin kullanan bir siber güvenlik araştırmacısı olarak bağlantılarım arasında yer alanlarınız özellikle hafta içi LinkedIn ve Twitter üzerinden okuduğum ve beğendiğim siber güvenlik makalelerini, haberleri paylaştıklarımı farkediyorlardır. Twitter hesabımın…
Read More
Read More

Profilime Kim Baktı?

If you are looking for an English version of this article, please visit here. 23 Eylül 2020 tarihinde Twitter’da siber güvenlik ile ilgili haberlere göz gezdirirken gündem olan başlıklarda #profilimekimbaktı etiketi dikkatimi çekti. Beni oldukça şüphelendiren bu etiketin gündem olmasının arkasında yatan sebebi bulmak için bu etiketi paylaşan hesaplara göz…
Read More