Trojan Haftası

Müşterilerinden gelen ihbarlar nedeniyle bankalar geçtiğimiz haftaya hızlı başladılar. Özellikle Salı gününe MIB (Man in the mobile) saldırısı gerçekleştirebilen Zeus trojanı damgasını vurdu. Yaklaşık 1 ay önce Netsec’in 35. sayısında bu trojana değinmiş ve yakın zamanda bu yöntemi kullanan trojanlar ile karşılaşabileceğimizi belirtmiştim ki çok geçmeden Türkiye’deki bazı bankaları hedef alarak ortaya çıkıverdi.

Gelen ihbarların çoğu bankaların internet bankacılığı giriş sayfasında şüpheli bir pencerenin açıldığı, TCKN ve cep telefonu bilgilerinin istendiği yönünde oldu. Daha sonra gelen ihbarlar ise cep telefonuna bir sms gönderildiği ve mesajda bir adresin yer aldığı ve bu adresteki zararlı yazılımı kuran kişilerin internet bankacılığına girişte ve bankacılık işlemlerinde kullanmış oldukları SMS kodlarının çalındığı yönünde oldu. İlk başta işin içinde tek bir trojanın olduğunu düşünülsede çok geçmeden farklı kaynaklardan toplanan bilgiler bir araya getirilerek iki farklı trojanın olduğu ortaya çıktı.

Trojanlardan biri, kullanıcının, trojanın üzerinde tanımlı olan PTT (interaktif posta çeki sayfası), Paypal, bir hacking forumu ve 19 tane bankaya ait olan internet bankacılığı sayfalarından bir tanesine girmesi durumunda kullanıcı adı ve şifresini çalıyor, ekran görüntülerini diske kayıt ediyor ve eğer ziyaret edilen site bu 19 bankadan bir tanesinin internet bankacılığı sitesi ise ilave olarak yeni bir pencere açarak TCKN ve cep telefonu bilgilerini alıyor ve bir ftp sunucusuna gönderiyor diğeri ise, nam-ı diğer Zeus, internet bankacılığı kullanıcı adı ve şifresini çalmakla yetinmeyip kullanıcıdan cep telefonu numarası, cep telefonu marka ve model bilgilerinide isteyerek cep telefonuna zararlı bir yazılım, trojan göndererek cep telefonuna gelen SMS’leri çalıyordu.

TCKN ve cep telefonu bilgisi toplayan trojan, e-posta yolu ile yayılıyor ve bilgi güvenliğinin en zayıf halkası olan insanı istismar ediyordu.

Zeus

Rar dosyası açıldığında içinden video.haberturk.com adında bir dosya çıkıyordu. 2 Kasım tarihinde dosyayı VirusTotal sitesinde tarattığımda sadece 5 tane antivirüs (DrWeb, Sunbelt, Panda, Kaspersky, Prevx), 3 Kasım tarihinde tarattığımda ise 6 tane antivirüs (DrWeb, Sunbelt, Panda, Kaspersky, Prev, NOD32) bunu zararlı yazılım olarak tespit ediyordu. (Şu an itibariyle ise sadece 9 tane antivirüs (DrWeb, Sunbelt, Panda, Kaspersky, McAfee, McAfee-GW-Edition, Fortinet, AntiVir, NOD32) bu dosyayı tanıyor.)

TCKN ve cep telefonu bilgisi toplayan trojana ait dosyaları statik olarak analiz ettiğimde;

  • Video.haberturk.com dosyasının Delphi programlama dili ile programlandığını,
  • Son olarak 1 Kasım tarihinde değiştirildiğini,
  • ftp.my3gb.com sunucusuna (ftp şifresi değiştiği ve my3gb yöneticileri tarafından hesap silindiği için sunucu adını ifşa ediyorum) bağlanma ihtimali olduğunu,
  • Kayıt altına alınan ve sunucuya gönderilen dosyaların başkaları tarafından çalınmaması adına ftp kullanıcı adı, şifre, port ve bazı bilgileri şifreleyerek sakladığını söyleyebilirim.

Zeus

Dinamik olarak analiz ettiğimde ise;

  • Çalıştırılır çalıştırılmaz windows\system32 klasörü altında javascheds.exe adında bir dosya, windows\system32\drivers klasörü altında ise ie_plugin.exe adında başka bir dosya oluşturduğunu,
  • Windows\system32\drivers klasörü altında security adında gizli bir klasör oluşturarak içine 19 tane bankanın logosunu resim dosyası olarak kayıt ettiğini,
  • Tuş kayıt bilgilerini C:\WINDOWS\system32\wins\syskl32.sys dosyasına kayıt ettiğini,
  • İnternet bankacılığına giriş esnasında aldığı ekran görüntülerini C:\WINDOWS\system32\wins\setup klasörü altına kayıt ettiğini,
  • ie_plugin.exe dosyasının UPX ile paketlenmiş olduğunu,
  • DDE yöntemi ile bu 19 bankaya ait internet bankacılığı adreslerini izlediğini ve bu adreslere girilmesi durumunda TCKN ve cep telefonu bilgisi toplayan ve ilgili bankanın logosunu içeren bir pencere oluşturduğunu, tuş kaydı yaptığını ve ekran görüntüsü aldığını
  • Güvenlik kalkanı ve güvenli girişi devre dışı bıraktığını,
  • Sadece internet explorer ve firefox internet tarayıcılarını desteklediğini,
  • Kayıt altına aldığı ekran görüntülerini ve tuş kayıtlarını ftp.my3gb.com sunucusuna göndermeye çalıştığını (ftp şifresi değiştiği ve my3gb yöneticileri tarafından hesap silindiği için sunucu adını ifşa ediyorum),
  • TCKN bilgisi aldığı ekranda tckn algoritmasından faydalanarak doğrulama yaptığını ve hatalı tckn girilmesi durumunda hata mesajı çıkarttığını,
  • Startup klasörüne SunJavaUpdateSched kısayolu oluşturduğunu,
  • Trojan’da bug olduğunu, firefox.exe dosyasını ortam değişkenlerinden (environment variable) PATH değişkeninde yer alan tüm klasörlerde teker teker aradığını fakat hiç bir zaman bulamayacağını çünkü firefox’un kurulum esnasında klasör bilgisini PATH değişkenine eklemediğini, sürekli arama işlemi gerçekleştirmesi nedeniyle yüksek CPU tüketimine yol açtığını :p
  • Bankalara ilave olarak PTT, Paypal ve bir hacking forumuna giriş esnasında ekran görüntüleri aldığını,
  • 10 Aralık 2009 tarihinde analiz ettiğim zararlı yazılımın yeni bir varyantı olduğunu söyleyebilirim.

Güvenli girişi kaldırma girişimleri:
cmd.exe + command.com /c regsvr32 /u /s %WINDIR%/Downloaded Program Files/tebedit.ocx

Güvenlik kalkanını kaldırma girişimleri:
cmd.exe + command.com /c regsvr32 /u /s %WINDIR%/Downloaded Program Files/JaguarEditControl.dll
cmd.exe + command.com /c regsvr32 /u /s %WINDIR%/Downloaded Program Files/JaguarEdit4ISB.dl

Zeus

Zeus

Efsane Zeus trojanına gelecek olursam elimde analiz edebilecek bir numune olmadığı için duyduklarımı ve gördüklerimi sizinle paylaşabilirim.

Bana “cep telefonuna bulaşan bir trojan varmış” diye söylediklerinde hemen aklıma bunun man in the mobile yapabilen Zeus trojanı olduğu geldi ve konuyla ilgili biraz daha bilgi edindiğimde bulaşma yöntemininde aynı olduğu öğrendim. Kullanıcıdan cep telefonu numarası, marka ve model alınıyor ve daha sonrasında sms ile bir web adresi gönderiliyor ve kullanıcı bu adresteki zararlı yazılımı yükler yüklemez artık cep telefonuna gelen SMSler (amaç internet bankacılığına giriş ve işlemler esnasında kullanılan SMS kodunu çalmak) gizlice (sms geldiği zaman cep telefonu size haber vermiyor) art niyetli kişilere gönderiliyordu. Buraya kadar herşey normaldi fakat ne zaman ki Zeus bulaşmış bir kullanıcıya ait ekran görüntüsü gördüm o zaman gözlerime inanamadım çünkü basit bir html injection ile sunucudan gelen yanıta bir form eklendiğini düşünürken çok farklı bir sahne ile karşılaştım. Aklınızda canlandırabilmeniz adına her zaman girmiş olduğunuz internet bankacılığı uygulamasını düşünün ve girer girmez tasarım aynı, tüm menüler yerli yerinde, butonlar, font herşey orjinali ile aynı tek fark yeni bir mesaj ile karşılaşıyorsunuz. Mesajın içeriği oldukça başarılı kısaca sizi dolandırıcılıktan koruyacağını vaad eden bir sertifikayı cep telefonunuza yüklemeniz konusunda kandırmaya çalışıyor. Mesajı okuduğunuz zaman yazım hataları ve düşük cümleler sadece sizde şüphe uyandırıyor. Orjinal ekran görüntüsünü etik açıdan paylaşmam doğru olmayacağı için sadece mesajı sizlerle paylaşıyorum.

Zeus

Açıkçası insan bu mesajı okuduktan sonra “vay canına beni bile kandırırdı” diye düşünmeden edemiyor. Zeus’un MIB yöntemini kullanan sürümünün yurt dışında keşfedilmesinin üzerinden daha 1 ay geçmeden bu kadar kısa bir süre içinde Türkiye’de ortaya çıkmasını beklemiyordum. Tüm bankaların SMS OTP kullandığı günümüzde umarım ilerleyen zamanlarda çok daha fazla banka müşterisini hedef alan bir trojan ile karşılaşmayız.

Bir sonraki yazıda görüşmek dileğiyle herkese güvenli günler dilerim.

image_pdfShow this post in PDF formatimage_printPrint this page
14 comments
  1. merhaba, bende javascheds hatası alıyorum sürekli, güncel lisanslı virüs programım olmasına rağmen virüs bilgisayarıma girdi ve temizlenmiyor, konuyla ilgili napabiliriz acaba ?

    1. Merhaba,

      Eğer bu virus olduğundan şüphe ediyorsanız tavsiyem sisteminizi baştan kurmanızdır aksi durumda istenmeyen sonuçlarla karşılaşabilirsiniz.

  2. Acaba bu 19 bankanın ortak özelliği transaction signing yerine session signing yapmaları (session boyunca bir kere otp istemeleri) olabilir mi?

    1. Konumuz Zeus olunca 1 defa sms otp ile 10 defa sms otp istemek arasında bir fark yok zaten hepsini çalabiliyor ve internet tarayıcısı seviyesinde gelen ve giden mesajları manipüle edebiliyor. İşlem imzalamada kullanılsa trojan sunucuya giden ve gelen trafiğe müdahale ettiği için yine sosyal mühendislik yöntemi ile imzalamanız gereken bilgileri size farklı bir şekilde (misal login ekranında güvenliğiniz için cihazınıza şunları tuşlayın şeklinde) sunarak amacına ulaşabiliyor. Ne kullanırsanız kullanın sosyal mühendislik ile hepsi ne yazıkki aşılıyor belki flickering teknolojisi kullanan otp cihazları sosyal mühendisliğe karşı daha başarılı olabilir.

  3. Detaylı bir analiz, elinize sağlık. peki neden 19 banka acaba? Bu bankaların ortak bir özelliği var mıdır?

    1. Bildiğim kadarıyla Türkiye’de yaklaşık 30 tane banka var, büyüklüğe göre 19 tanesini hedef almış olabilir.

  4. Banker.trojan yanlış hatırlamıyorsam bundan aylar önce -trojanda trafiğe müdahale edip başka bir hesaba gitmesini sağlıyordu paraların.Pc düzeyinde bunların önüne geçmek münkün gibi gözükmüyor.Ama telefon olayına bulaşınca durum vahim hale gelmeye başladı.Bunların hiç hukuki yaptırımı yok mu?

  5. yani burayı okuyan gençler varsa tavsiyem verimli çağlarında sebarlarını kaybetmesinler. döküman forum okuyum öyle gereksiz arkadaş sitelerinde zaman harcamayın. 18-24 arası altın çağınız. üniversiteye girdim tamam yatıyım geziyim yapmayın. çok pişman olursunuz sonra benim gibi

  6. ben şahsen iyi bir üniversiteden yüksek lisans yaptığım halde böyle şeyleri yapamadığım ve yapanları yakalayamadığım için utanıyorum kendimden. lisede hack e başlamıştım. o zamanlar dial up bağlı PC ile ne uğraşırdım. günlerce şifre denediğimi hazırlarım. ingilizce bilmeden hacksitelerinden kodlama öğrenirdim günlerce çalışarak. şimdi hiç sebat, çalışma azmi kalmadı. üniversite ve iş hayatı harcadı beni. yani bu (rus) hakcerların bizim bankalarımızı maymuna çevirmesi canımıı sıkıyor. yarın ülkenin tüm internet sistemimizide kolayca kitlerler.

  7. zeus versiyonu 3 aslında.
    zeus 3
    olarak google da aratınca yabancı bankalara verdiği zararı görüyoruz. Türkiyede bankacılık kanunu yüzünden banka ile ilgili haber yapılamıyor ama çok bankanın canı yandı.
    Zeus 3 ün en can alıcı özelliği online şubede işlem yaparken ekrana gelen kişi ile işlem yapılan kişi bilgilerini değiştirmesi olduğunu söyledi bir arkadaş. Mesela ekrandan A kişisine EFT yapıyorsun sen hep ekranda A yı görüyorsun ama zeus3 banka sistemine B bilgilerini gönderiyor. neticede para B ye gidiyor ama sen A ya gitti sanıyorsun. bu durum bilmiyorum ne derece doğru ama para kayıplarına bakılırsa doğru gibi.

  8. güzel bir makale olmuş eline sağlık. bu vesile ile mobil imzanın ne kadar önemli olduğunu tekrar hatırlatmak isterim

Leave a Reply

Your email address will not be published. Required fields are marked *

You May Also Like
Read More

e-Devlet Hacklendi mi?

If you are looking for an English version of this article, please visit here. Öncelikle yazının sonunda söyleyeceğimi başta söyleyeyim, “Hayır, hack-len-me-di!” Peki bu durumda vatandaş olarak rahat bir nefes alabilir misiniz ? Maalesef hayır. Bunun sebebini de yazının devamında okuyabilirsiniz. Zaman zaman hortlayan “e-Devlet Hacklendi!”, “e-Devlet verileri çalındı!”, “85…
Read More
Read More

LinkedIn Dolandırıcıları

If you are looking for an English version of this article, please visit here. Uzun yıllardan beri sosyal ağları ve medyayı etkin kullanan bir siber güvenlik araştırmacısı olarak bağlantılarım arasında yer alanlarınız özellikle hafta içi LinkedIn ve Twitter üzerinden okuduğum ve beğendiğim siber güvenlik makalelerini, haberleri paylaştıklarımı farkediyorlardır. Twitter hesabımın…
Read More
Read More

WhatsApp Dolandırıcıları

If you are looking for an English version of this article, please visit here. Başlangıç Son günlerde hemen hemen WhatsApp uygulaması kullanan herkesi rahatsız eden yabancı cep telefonu numaralarından gelen çağrılardan, mesajlardan ben de yakın zamanda nasibimi aldım ve tabii ki diğer dolandırıcılıklarla ilgili yazılarımda (Kripto Para Dolandırıcıları, LinkedIn Dolandırıcıları,…
Read More
Read More

Profilime Kim Baktı?

If you are looking for an English version of this article, please visit here. 23 Eylül 2020 tarihinde Twitter’da siber güvenlik ile ilgili haberlere göz gezdirirken gündem olan başlıklarda #profilimekimbaktı etiketi dikkatimi çekti. Beni oldukça şüphelendiren bu etiketin gündem olmasının arkasında yatan sebebi bulmak için bu etiketi paylaşan hesaplara göz…
Read More