McAfee Labs, Tehditler Raporu Haziran 2017’de güvenlik sistemlerinin aşılmasında kullanılan ve son yıllarda önemli bir artış gösteren atlatma tekniklerinin 30 yıllık geçmişine odaklanıyor. Aynı zamanda 2016 yılı ABD Başkanlık seçimindeki siber saldırı sonucu oluşan bilgi sızıntısından da sorumlu olduğu düşünülen Fareit hakkında önemli bulguları açıklıyor.
McAfee, McAfee Labs Tehditler Raporu’nun Haziran 2017 çalışması ile zararlı yazılım geliştiricilerinin güvenlik sistemlerini aşmak için kullandığı atlatma (evasion) tekniklerinin 30 yıllık geçmişini ve bir atlatma tekniği olan steganografiyi ele alıyor. Rapor aynı zamanda şifre hırsızlığı için geliştirilen Fareit’in iç dinamiklerine ışık tutuyor. Raporda, sektör bazında siber saldırılara dair bir değerlendirmenin yanı sıra, 2017 yılının 1. çeyrek dönemine dair zararlı yazılımlar, fidye yazılımları ve mobil zararlı yazılımların büyüme trendleri de yer alıyor.
Atlatma tekniklerinin son dönemde önemli bir değişim geçirdiğini vurgulayan McAfee Türkiye ve Azerbaycan Bölge Direktörü İlkem Özar; “Hacker’lar ve zararlı yazılım geliştiriciler tarafından kullanılan yüzlerce, hatta binlerce anti-güvenlik, anti-sandbox ve anti-analist tekniği var. Bunların çoğu Dark Web’ten satın alınabiliyor. Yeni raporumuz dolandırıcılığın basit bir sistem üzerindeki basit bir tehdit olmaktan çıkıp makine öğrenimi gibi yeni paradigmalara dek uzanan geniş çaplı sistemler üzerinden yayılan kompleks tehditlere dönüştüğünü gözler önüne seriyor” dedi.
Atlatma tekniklerinin 30 yılı
Zararlı yazılım geliştiriciler güvenlik ürünlerinin sağladığı önlemleri aşmak üzere 1980’li yıllardan bu yana çalışıyor. İlk geliştirilen atlatma tekniği kendi kodunu kısmen şifreleyerek güvenlik analistleri tarafından okunmasını engellemek üzerine kurulu bir yönteme sahipti.
Bugün atlatma (evasion) terimi, zararlı yazılımların tespit, analiz ve algılamayı engellemek üzere kullandığı yöntemlerin tümü anlamına geliyor. McAfee Labs, atlatma tekniklerini 3 temel kategori altında sınıflandırıyor:
- Anti-güvenlik teknikleri: Anti-zararlı yazılım motorları, güvenlik duvarları, uygulama tedbirleri gibi güvenlik araçlarını aşmak üzere kullanılır.
- Anti-sandbox teknikleri: Otomatik analizi tespit etmek ve zararlı yazılımın hareketlerini rapor eden motorları atlatmak üzere kullanılır. Sanal alanlarla ilgili kayıt anahtarı, dosya ya da süreçlerin tespiti zararlı yazılımın hedef alanın sandbox üzerinde çalışıp çalışmadığını anlamasını sağlar.
- Anti-analist teknikleri: Process Explorer ya da Wireshark gibi izleme araçlarını tespit ederek ya da süreç-izleme hileleri, packer’lar veya gizleme yöntemleri ile tersine mühendisliği önleyerek zararlı yazılım analistlerini kandırmak için kullanılır.
Haziran 2017 McAfee Labs raporu, bugünün en güçlü atlatma tekniklerini, yasa dışı olarak satılan atlatma teknolojisini, bu teknikleri güçlendiren zararlı güncel yazılım ailelerini ve makine öğrenimi ve donanım tabanlı atlatma başta olmak üzere gelecekte bu alanda ne gibi gelişmeler yaşanabileceğini inceliyor.
Steganografi, gizli yöntemlerle dijital dünyayı tehdit ediyor
Steganografi gizli mesajları saklama sanatı ve bilimidir. Dijital dünyada imaj, audio, video klip ya da metinler içerisine mesajları gizleme pratiği olarak uygulanıyor. Genellikle dijital steganografi, güvenlik sistemleri tarafından tespit edilmeyi engellemek üzere zararlı yazılım geliştiriciler tarafından kullanılıyor.
Steganografi ilk kez 2011 yılında gerçekleştirilen Duqu zararlı yazılımı ile bir siber saldırıda kullanıldı. Dijital bir imaj kullanımında, gizli bilgi gömülü bir algoritma ile imajın içine yerleştiriliyor, bu imaj hedef sisteme gönderiliyor ve burada zararlı bir yazılım aracılığıyla bu gizli bilgi ortaya çıkartılıyor. Modifiye edilmiş imajın insan gözüyle ya da güvenlik teknolojisiyle tespit edilmesi oldukça zor oluyor.
McAfee Labs, TCP/IP protokol bağlantılarındaki kullanılmayan alanların veri saklamak üzere kullanıldığı ağ steganografisinin bu yöntemin en yeni formu olduğunu belirtiyor. Bu şekilde ağ üzerinden sınırsız sayıda bilgi gönderilmesi mümkün olduğu için bu yöntemin kullanımı gittikçe artıyor.
Fareit: Dünyanın en tehlikeli şifre hırsızı
Fareit, 2011 yılında ortaya çıktığından bu yana yeni saldırı vektörleri, geliştirilmiş mimari ve iç çalışma dinamikleri ile tespit edilmesini önleyen yeni yöntemler gibi gelişmiş özellikler kazanarak evrim geçirdi. Bugün şifre çalan zararlı yazılımların en ünlüsü olarak adlandırılan Fareit’in 2016 yılında ABD’de gerçekleştirilen Başkanlık seçiminden önce Demokratik Ulusal Komitesi’ndeki üst düzey bilgi sızıntısında da kullanıldığına dair artan bir görüş birliği mevcut.
Fareit, e-posta üzerinden dolandırıcılık, DNS sahteciliği ve exploit kit gibi mekanizmalarla yayılıyor. Kullanıcı dosya ekinde Word dokümanı, JavaScript ya da arşiv dosyası içeren spam bir e-posta ile zararlı yazılımı alabiliyor. Bu eki açtığında ise Fareit sisteme sızıyor, kontrol sunucusuna çalıntı kimlik doğrulama bilgisi gönderiyor ve ardından mevcut içeriğine göre farklı zararlı yazılımları sisteme indiriyor.
2016 yılında Amerika’da gerçekleştirilen bilgi sızıntısı, Grizzly Steppe adlı zararlı yazılım ile ilişkilendirilmişti. McAfee Labs, ABD hükümetinin yayınladığı Grizzly Steppe raporunda yer alan iş birliğine dair göstergeler listesinde Fareit’in izini buldu. Bulgular Fareit’in Demokratik Ulusal Komitesi saldırısında farklı yöntemler kullandığını ve e-posta dolandırıcılığı yöntemi sayesinde zararlı yazılım içeren bir Word dokümanıyla saldırının gerçekleştirildiğini gösteriyor.
Bu saldırıda kullanılan zararlı yazılım daha önce kullanılan Fareit örneklerinden farklı olarak birden fazla kontrol sunucu adresini kullanıyor. E-posta, FTP (Dosya Transfer Protokolü) ve diğer önemli kimlik doğrulama verilerini çalmak üzere Fareit’in bu saldırıda farklı tekniklerle güçlendirilmiş olması mümkün. McAfee Labs, Fareit’in aynı zamanda daha sonra başka saldırılar gerçekleştirilebilmesi için Onion Duke ve Vawtrak gibi gelişmiş tehditleri de indirdiğinden şüpheleniyor.
Şifre hırsızlığı ile gerçekleştirilen saldırılara dair bir değerlendirmede bulunan Weafer, “Kişiler, şirketler ve devletler her geçen gün dijital sistemlere ve cihazlara daha fazla bağlı hale geliyor. Bu sistem ve cihazların kolaylıkla çalınabilen, zayıf şifrelerle korunuyor olması da siber suçlular için bu alanı çekici hale getiriyor. McAfee Labs olarak şifre hırsızlığı taktikleriyle yapılan saldırıların sayısının artmaya devam edeceğine inanıyoruz. Bunun önüne geçebilmek ise ancak iki faktörlü kimlik doğrulama yöntemlerine geçiş yapmakla mümkün. Grizzly Steppe saldırısı bizler için yeni nesil siber saldırı taktiklerinin bir öngösterimi niteliği taşıyor” dedi.
2017 yılının ilk çeyreğinde her 1 saniyede en az 4 yeni tehdit ortaya çıktı
McAfee Labs Küresel Tehdit İstihbarat Ağı, 2017 yılının ilk 3 ayına dair yaptığı araştırma ve analizlerde siber saldırıların gelişimi hakkında önemli trendler tespit etti:
- Yeni tehditler: Yılın ilk çeyreğinde her 1 dakikada 244, her 1 saniyede 4’ü aşkın tehdit ortaya çıktı.
- Güvenlik olayları: 2016 yılının 4. çeyreğine kıyasla ilk çeyrekte yüzde 53 artışla halka açıklanan güvenlik olaylarının sayısı 301 oldu.
- Zararlı yazılım: Yeni zararlı yazılım örnekleri, 1. çeyrekte 32 milyona yükseldi. Toplam zararlı yazılım örneği sayısı son bir yılda yüzde 22 artışla 670 milyona ulaştı. Yeni zararlı yazılım sayısında son 4 yılın en yüksek artışı yaşandı.
- Mobil zararlı yazılım: Mobil zararlı yazılımlar yılın ilk çeyreğinde Asya’da iki katına çıktı, bu artış küresel oranlara yüzde 57’lik bir artış olarak yansıdı. Son bir yılda toplam mobil zararlı yazılım yüzde 79’luk bir artışla 16,7 milyon adete yükseldi. Bu artışa en çok etki eden ise istenmeyen program virüsü yayan Android/ SMSreg oldu.
- Mac OS zararlı yazılımı: Son 3 çeyrek dönemde yeni Mac OS zararlı yazılımı, reklam yazılımı (adware) sayesinde çok yoğun bir şekilde yayıldı. Windows’a yönelik tehditlere kıyasla halen az sayıda olsa da Mac OS zararlı yazılımı 1. çeyrekte yüzde 53 büyüdü.
- Fidye yazılımı: çeyrekte yeni fidye yazılımı örnekleri, Android OS cihazlarını hedefleyen Congur fidye yazılımı nedeniyle hızlı bir yükseliş yaşadı. Son bir yılda toplam fidye yazılımı örnekleri yüzde 59 büyümeyle 9,6 milyon adede ulaştı.
- Spam botnet’ler: Nisan ayında Kelihos botnet’inin yaratıcısı İspanya’da tutuklandı. Kelihos uzun yıllardır zararlı yazılım ve fidye yazılımı yayan milyonlarca spam mesajdan sorumluydu. ABD Adalet Bakanlığı, ABD ile yabancı otoritelerin, Shadowserver Vakfı’nın ve endüstri teknoloji sağlayıcılarının bu süreçte iş birliği yaptığını açıkladı.