görünmez web’in maskesi düştü€¦ · kötü amaçlı yazılım teknikleri emniyet...

TrendLabsSM 3Ç 2013 Güvenlik Özeti

Görünmez Web’in Maskesi Düştü

TREND MICRO | TrendLabs 3Ç 2013 Güvenlik Özeti

İçindekiler

1 | SİBER SUÇ:

Kapanmalar, Bankacılık Truva Atları, Riskli Siteler ve İncelikli Kötü Amaçlı Yazılım Teknikleri

6 | MOBİL:

Kötü Amaçlı Mobil Yazılımlar ve Yüksek Riskli Uygulamalar: 1 Milyona Ulaştı

10 | DİJİTAL YAŞAM GÜVENLİK SORUNLARI:

Gizlilik ve Veri Hırsızlığı Üzerine: Yeni Bir “Kimlik Krizi”

12 | SUİSTİMALLER VE ZAYIFLIKLAR:

Java Açıkları Hala Büyük Bir Sorun

13 | HEDEFLİ SALDIRILAR:

Sykipot Havacılık Verilerini Hedefliyor

15 | Ek


Giriş

Siber suçlarla ilgili haberler son aylarda fazlaca gündeme geldi. Yasadışı dijital para sistemi Liberty Reserve’ün kapatılması ve çevrimiçi karaborsa alışveriş platformu Silk Road’a el konulması, bu çeyrekte daha çok sayıda kişinin çevrimiçi tehditlerin farkına varmasına neden olan pek çok olay arasında bulunuyor.1 Ayrıca, Blackhole Exploit Kit’in yaratıcısı olduğu iddia edilen kişinin Ekim ayında yakalanması da siber suçun gerçekten gözümüzün önünde büyüyen bir ticari faaliyet olduğunu ortaya koydu.2

Siber suçlular, tekniklerini iyileştirmeyi bu çeyrekte de sürdürdüler. Kötü amaçlı çevrimiçi bankacılık yazılımlarının bulaşma sayısı ABD ve Japonya gibi birkaç bölgede arttı. Risk altında olan site sayısının ne kadar fazla olduğu da gözümüze çarptı. BKDR_FIDOBOT’a ilişkin araştırmalarımız, bu arka kapının bir günde 17.000’den fazla etki alanına saldırı için kullanıldığını ortaya koydu.

Ayrıca, kötü amaçlı yazılımların çalışmasında EXPIRO’nun Styx Exploit Kit’i ve MEVADE kötü amaçlı yazılımının Onion Router (TOR) ağını kullanması gibi iyileştirmeler yapıldığını gözlemledik.

Mobil cephesinde ise kötü amaçlı ve yüksek riskli Android™ uygulamaların sayısı tahmin ettiğimiz gibi 1 milyonu aştı. Bu tehlikeli uygulamaların önemli kısmı, sahte veya Truva Atı haline getirilmiş popüler uygulama versiyonlarında gizlenmiştir. Bunların çoğu uygulama mağazalarının dışında pusu kurup beklemektedir.

Internet Explorer® ve Java güvenlik sorunları bilgisayarları risk altında bırakmaya devam ediyor; bu çeyrekte birkaç sıfırıncı gün saldırısı keşfedildi. Belge suiistimalleri, hedefli saldırılarla ilişkili hedefe yönelik kimlik avı e-postalarının ayrılmaz parçası olmaya devam ediyor, bununla birlikte, artık sivil havacılıkla ilgili bilgileri hedefleyen Sykipot kötü amaçlı yazılım ailesinde gelişmeler saptadık.


1 | Siber Suç

SİBER SUÇ

Kapanmalar, Bankacılık Truva Atları, Riskli Siteler ve İncelikli Kötü Amaçlı Yazılım TeknikleriEmniyet güçleri, mevcut tehdit manzarasını etkileyen birkaç kazanım elde etti. Liberty Reserve’ün kapatılması, siber suçluların alternatif para birimlerinin peşine düşmesine neden oldu. Faaliyetlerine devam etmek için Bitcoins kullanmak gibi diğer araçlara yönelmek zorunda kaldılar. Kötü bir üne sahip olan Silk Road’un kapanması da siber suçun gizli ve bir o kadar da kötü tarafını

gösterdi; özellikle yasadışı site ağlarını saklamak için Deep Web’in kullanılması gibi. En son, Blackhole Exploit Kit’in yazdığı iddiasıyla “Paunch” olarak bilinen kişi Ekim başında yakalandığında manşet oldu.3 Emniyet güçlerinin kaydettiği bu pozitif gelişmeler, bilgisi olmayan çoğu Internet kullanıcısının siber suç dünyasının yeraltında kalan taraflarının farkına varmasını sağladı.4

Toplam Trend Micro™ Smart Protection Network™ Sayısı

Bu çeyrekte Trend Micro müşterilerini saniyede ortalama 2.797 tehdide karşı koruduk.

EYLAĞUTEM0

1 mlr

2 mlr

3 mlr

4 mlr

5 mlr

6 mlr

7 mlr

8 mlr

SANİYEDE ENGELLENENTEHDİT SAYISI

ENGELLENEN TOPLAMTEHDİT SAYISI

ENGELLENEN KÖTÜAMAÇLI DOSYA SAYISI

ENGELLENEN KÖTÜAMAÇLI URL SAYISI

ENGELLENEN İSTENMEYENE-POSTA GÖNDEREN IP SAYISI

6.4 mlr

495 mil574 mil

6.5 mlr

414 mil606 mil

6.2 mlr

7.5 mlr 7.5 mlr7.2 mlr

392 mil586 mil

2,876 2,8172,697


2 | Siber Suç

DOWNAD/Conficker bu çeyrekte de en fazla tehdit oluşturan kötü amaçlı yazılım oldu. Sahte yazılım teklifleriyle paketlenen reklam destekli yazılımlar Internet kullanıcılarını mağdur etmeye devam etti. En fazla tehdit oluşturan kötü amaçlı yazılım

olmasına karşın DOWNAD/Conficker bulaşmalarının bir önceki çeyrekte 509.000 olan sayısı bu çeyrekte 345.000’e geriledi. Olasılıkla, işletim sistemlerini yükseltmek için Windows® XP desteği alan kullanıcıların sayısının azalması bunu sağladı.

İlk 3 Kötü Amaçlı Yazılım

DOWNAD/Conficker art arda üç çeyrektir en fazla tehdit oluşturan kötü amaçlı yazılım olmaya devam ederken, reklam destekli kötü amaçlı yazılım onu takip ediyor.

100.000 1.000 100 10 1

WORM_DOWNAD.AD

ADW_BPROTECT

ADW_BHO

345.000

246.000

238.000


3 | Siber Suç

Segmentlere Göre İlk 3 Kötü Amaçlı Yazılım

Tüketiciler genellikle ücretsiz sahte yazılımlarla paketlendikleri için daha çok reklam destekli kötü amaçlı yazılımları indirirler. Bu arada, büyük işletmeler ve küçük ve orta büyüklükte işletmeler (KOBİ’ler), daha çok DOWNAD/Conficker’den etkilendiler

Bankacılık Truva Atı Hacminde ArtışBu çeyrekte kötü amaçlı çevrimiçi bankacılık yazılımı hacmi arttı. Artık Avrupa ve Amerika gibi belirli bölgelere yoğunlaşmış

durumda değil, dünya geneline yayıldılar. Bu trendi görmeye devam ettik ve bulaşma sayısı 2002’den bu yana en yüksek düzeye, 200.000’in üzerine çıktı.

Kötü Amaçlı Çevrimiçi Bankacılık Enfeksiyonları

Bu çeyrekte 200.000’den fazla kötü amaçlı çevrimiçi bankacılık yazılımı açıklandı. Bu 2002’den bu yana kaydedilen en yüksek miktar.

BÜYÜK İŞLETME KOBİ TÜKETİCİ

AD HACİM AD HACİM AD HACİM

WORM_DOWNAD.AD 205.000 WORM_DOWNAD.AD 33.000 ADW_BHO 158.000

ADW_BPROTECT 28.000 HKTL_PASSVIEW 7.000 ADW_BPROTECT 138.000

PE_SALITY.RL 17.000 TROJ_FAKEAV.BMC 5.000 TROJ_FAKEAV.BMC 87.000

Ç4Ç3Ç2Ç1

0

50.000

100.000

150.000

200.000

250.000

2013

2012

131.000113.000

110.000

146.000132.000

202.000

125.000


4 | Siber Suç

Kötü amaçlı çevrimiçi bankacılık yazılımı bulaşmalarının büyük kısmı ZeuS/ZBOT Truva Atları’ndan kaynaklandı. Aslında bu çeyrekte istenmeyen e-posta yoluyla en fazla dağıtılan kötü amaçlı yazılım ZeuS/ZBOT varyantları oldu. Ayıklama karşıtı ve analiz karşıtı rutinlerle güçlenen KINS kötü amaçlı yazılımı gibi yeni ZBOT varyantları ortaya çıktı.

Citadel varyantları, Japonya’ya sorun çıkarmaya devam etti. Özellikle mali kurumları ve Yahoo!® Japan ve Gmail™ gibi Webmail servislerini hedef aldı.5

Çevrimiçi Bankacılık Kurbanı Ülkeler

ÜLKE PAYI

ABD %23Brezilya %16Japonya %12Hindistan %6Avustralya %3Fransa %3Almanya %2Viyetnam %2Tayvan %2Meksika %2Diğerleri %29

ABD ve Brezilya, kötü amaçlı çevrimiçi bankacılık yazılımlarından en fazla etkilenen ülkeler olmayı sürdürdüler. Bu arada, son çeyrekte beşinci sırada olan Japonya, büyük oranda Citadel kötü amaçlı yazılım bulaşmasındaki

artıştan kaynaklı, üçüncü sıraya yükseldi.

Riskli Siteler: Bir Kural mı?Siber suçlular, yollarını saklamak ve kötü amaçlı yazılımları, istenmeyen e-posta şablonlarını ve yönlendirme araçlarını yerleştirmek için rutin olarak riskli siteleri

kullanır. Stealrat gibi Spambot’lar ağırlıklı olarak, kötü amaçlı operasyonları gizlemek için riskli siteleri kullanma gibi tekniklere bel başladılar.6

Kullanıcılar Riskli Sitelere Nasıl Düşüyor?

Riskli site 1'e gönderilen veriler e-posta şablonu oluşturmak için kullanılır

Kurban istenmeyen e-posta verilerini* istenmeyen e-posta sunucusundan toplar ve daha sonra riskli site 1'e gönderir

Kullanıcı riskli site 2 bağlantılarını içeren istenmeyen e-posta alır

* İstenmeyen e-posta verileri, yedeklenen e-posta sunucusunun URL'sini, gönderenin adını, alıcının adresini ve e-posta şablonunu içerir.


5 | Siber Suç

BKDR_ FIDOBOT’u inceleyerek site risklerinin boyutuna göz attık. Bu arka kapı, Joomla!™ veya WordPress ile çalışan sitelere giriş yolunu zorluyor ve tek bir günde 17.000’den fazla etki alanına saldırmak için

İncelikli Kötü Amaçlı Yazılım Teknikleri ve Saklı AğlarBu çeyrekte dikkat çeken diğer kötü amaçlı yazılım EXPIRO oldu.8 Bu kötü amaçlı yazılım ilk olarak 2010 yılında ortaya çıktı ve dosyalara virüs bulaştıran bir yazılım olarak tanındı. Ancak, bu çeyrekte ortaya çıkan son varyantları FTP kimlik bilgilerini çaldı. Geçen Temmuz ayında saldırılarda kullanılan EXPIRO varyantlarının dağıtımı için Styx Saldırı Kiti de kullanıldı.9

Ağustos ayının ikinci yarısında, MEVADE kötü amaçlı yazılımının, belirli sitelere

yaygın bağlantılar başlatmak için bir TOR bileşeni indirdiğini gözlemledik.10 TOR kullanıcılarının sayısındaki artışa ilişkin raporların ardında yatan gerekçe budur.11 TOR siber suçluların komuta ve kontrol (C&C) sunucularını daha etkin şekilde saklamalarına olanak sağlıyor. TOR ağında gizli bir servisin kaldırılması da neredeyse imkansızdır. MEVADE kötü amaçlı yazılımı belli reklam yazılımı varyantların yanı sıra, Adobe® Flash® Player güncellemesi gibi saklanarak da yayılıyor.12

kullanıldı.7 Etkilenen sitelerin büyük bölümü ABD’de yer alan bireylerin veya küçük işletmelerin siteleri oldu.

Çevrimiçi Bankacılık Suç İzleme Aileleri

2006 2007 2009 20112010 2013

ZeuS Gozi

Carberpve

SpyEye

Cridex,Shylock,Tatanga,

Ice IXve

Citadel

Tinba,Zitmo

veSpitmo KINS

2006 yılında karşılaştığımız ZeUS zararlı yazılımının araçkitlerinin bu çeyrekte de bankacılık zararlı yazılımları olarak yeniden canlandığını gördük.


6 | MOBIL

MOBİL

Kötü Amaçlı Mobil Yazılımlar ve Yüksek Riskli Uygulamalar: 1 Milyona UlaştıAndroid platformu hedefleyen kötü amaçlı ve yüksek riskli uygulamaların sayısı 2013 bitmeden 1 milyona ulaştı. Bunların %80’inin niteliği kötü amaçlıdır ve özel hizmet suiistimalleriyle doludur. Özel hizmet suiistimalleri, belli numaralara yetkisiz metin mesajları gönderir ve kullanıcıları özel tarifeli hizmetlere kaydeder. Bu tür kötü amaçlı uygulamalar, büyük olasılıkla ülkede “standart” uygulama mağazalarının bulunmamasından dolayı özellikle Rusya’da oldukça popüler.13

Kalan %20 yüksek riskli uygulamalar olarak kabul edilir. Kullanıcılara yoğun şekilde reklam gönderen ve “reklam yazılımı” olarak da bilinen kötü amaçlı yazılım bu grupta yer alır. Reklam yazılımı bulaşmaları, sonunda aygıt bilgilerinin çalınmasına neden olur.

Kötü amaçlı ve yüksek riskli uygulamaların sayısı Temmuz’dan Ağustos’a adım adım arttı ancak,

Eylül ayına gelindiğinde 1 milyona ulaştı.

Android Tehdit Hacmindeki Gelişim

0

0,5mil

1mil 820.000TEM

851.000AĞU 1 mil

EYL

Önemli Tehdit Türlerinin Dağılımı

0

%20

%40

%60

ÖZEL HİZMETSUİSTİMALİ

REKLAMYAZILIMI

VERİHIRSIZLIĞI

UZAKTANKONTROL

KÖTÜ AMAÇLIYAZILIM İNDİRME

SALDIRIARAÇLARI

%55

%27%22 %12

%9%2

Geçen çeyrekte olduğu gibi bu çeyrekte de özel hizmet suiistimali mobil tehditlerin yarısından fazlasını oluşturdu. Mobil reklam yazılımı gönderimi de ilk 2 sıraya yerleşecek şekilde arttı.


7 | MOBIL

Önemli Kötü Amaçlı Android Yazılımı Aileleri

Platformlar Arası Tehditler Mobil Güvenlik Riskleri YaratıyorKötü amaçlı uygulamaların yarattığı tehlikelerin ötesinde, mobil aygıtlar ayrıca platformları aşan tehditlerden de zarar gördü. Bunlar arasında, mobil bir aygıt kullanılarak tıklandığında özel hizmet suiistimali barındıran bir siteye yönlendirebilen bir bağlantının bulunduğu sahte WhatsApp e-postaları bulunuyor.14

Çoklu platform tehditlerinin mobil aygıtları hedeflemesi ilk defa gerçekleşmiyor. Bu olayda saldırganlar, kurcalanmış arama motoru optimizasyonu (SEO) veya sosyal medya suiistimali gibi daha “doğrudan”

yaklaşımlara bel bağlamak yerine, virüs dağıtıcısı olarak istenmeyen e-posta kullanmayı tercih ettiler.

Diğer bir platformlar arası sorun da özellikle mobil aygıtlar için tasarlanmış kimlik avı sitelerinin sayısındaki artış oldu. Bu yıl Ocak - Eylül dönemine ilişkin topladığımız veriler ışığında, kimlik avı sitelerinin sayısının geçen yılın aynı dönemine göre %53 arttığını tespit ettik. Bu çeyrekte, söz konusu sitelerin %42’si bankaları ve diğer mali kurumları dolandırdı.15

OPFAKE

FAKEINST

GOYEAR

GINMASTER

JIFAKE

MSEG

ADPANDA

ADTGPTT

BOXER

SMSREG

Diğerleri

%27

%24

%10

%7

%6

%4

%3

%3

%2

%2

%12

1.

2.

3.

4.

5.

6.

7.

8.

9.

10.


8 | MOBIL

Zayıflıklar ve Suiistimaller Mobil Güvenlik Sorunlarını ArtırıyorGeçtiğimiz çeyrekte “ana anahtar” açığının keşfedilmesi, siber suçluların hemen hemen her Android aygıtı etkilemek için yasal uygulamaları kötü amaçlı kodlarla “güncellemenin” yollarını bulmasını sağladı. Bu çeyrekte, tanınmış çevrimiçi bankacılık uygulamalarının Truva Atı haline getirilmiş versiyonlarını seri şekilde üretmek için bu açıklara yönelik sürekli saldırılara tanıklık ettik.16 Geçen Temmuz’da gerçekleşen Siyah

Şapka siber güvenlik konferansında mobil güvenlikle ilgili diğer noktalara da değinildi. Örneğin, bir SIM kartı kusurunun, saldırganların dijital anahtarı ele geçirmelerini sağlayacağı keşfedildi. Konferansta ayrıca, Georgia Teknoloji Kurumu’ndan araştırmacılar, en son iOS sürümü yüklü aygıtlarda saldırganların kötü amaçlı kodları çalıştırmasına olanak sağlayan bir kavram kanıtı (POC) yükleyicisini gösterdiler.17

Kullanıcılar Kötü Amaçlı ve Yüksek Riskli Uygulamalara Nerede Rastlıyorlar

Kötü amaçlı ve yüksek riskli uygulamaların %25’i uygulama mağazalarından kaynaklanırken, kötü amaçlı siteler gibi diğer kaynaklarda da görüldüler.

Bu toplamın uygulama kaynaklı toplam sayının yalnızca %42’sini oluşturduğuna dikkat edin.

SİTELER

%80UYGULAMA

MAĞAZALARI

%27DİĞER

%1


9 | MOBIL

erişebilir%96 VERİLERİ SİLME

okuyabilir%92MESAJLARI GÖRME

konumunuzutakip edebilir%14

KONUM TAKİBİ YAPMA

erişebilir%48KİŞİLERİ GÖRME

mesajlargönderebilir%86

VARSAYILAN MESAJLAR GÖNDERME

Özel Hizmet Suiistimalleri Neler Yapar

Mobil aygıtlar, özel hizmet suiistimalleri tarafından virüs bulaştırıldığında bilgi hırsızlığı gibi tehditlere açıktır. Veriler yalnızca Kasım 2012–Mayıs 2013 dönemini kapsamaktadır.


10 | Dijital Yaşam

DİJİTAL YAŞAM

Gizlilik ve Veri Hırsızlığı Üzerine: Yeni Bir “Kimlik Krizi”Sosyal medya ve kişisel bilgileri çevreleyen son olaylar ve tehditler, “kimlik krizi”nin yeni bir türü olarak da bilinen veri güvenliği sorularının yeniden su yüzüne çıkmasını sağladı. Internet kullanıcıları, siber suçluların eline geçmemesi için kişisel bilgilerini hala sürekli olarak yönetmeye ve korumaya çabalıyorlar.

Kişisel bilgileri çalmayı amaçlayan sayısız tehdit arasında, Apple bağlantılı kimlik avı sitelerinin sayısındaki yoğun artıştan kaynaklı olarak kimlik avı dolandırıcılığı bu çeyrekte dikkat çekici bir etki yaptı.18

Bu artış muhtemelen iOS 7’nin piyasaya çıkacağına ilişkin geçen Mayıs ayındaki dedikodular dahil olmak üzere, son birkaç aydır en son Apple ürünlerine ve iyileştirmelerine ilişkin koparılan yaygaralardan kaynaklandı. Geçen Haziran ve Temmuz aylarında iPhone 5c ile ilgili dedikodular yayıldığında da kimlik avı sitelerinin hacminde artış görülmüştü. Geçtiğimiz Eylül ayında, kişisel olarak tanımlanabilen bilgileri (PII) çalmak için yem olarak kullanılan ve yeni çıkan iPhone modellerini kullanın diyen istenmeyen bir e-postanın dolaştığını gördük.19

Apple ile İlgili Kimlik Avı Sayfalarının Hacminin Gelişimi

6.000

5.000

4.000

3.000

2.000

1.000

0

OCA ŞUB MAR NİS MAY HAZ TEM AĞU EYL

2.500

1.900

4.100

1.800

5.800

300100500

300

Apple ile ilgili kimlik avı sayfalarındaki artış, geçen Mayıs ayındaki büyük çıkıştan sonra bile devam etti.


11 | Dijital Yaşam

Mobil bankacılık kullanıcıları, benzer sosyal mühendislik tekniklerini kullanan saldırılardan kaçamadılar. Oturum açma kimlik bilgileri, e-posta adresleri ve hatta nüfus cüzdanı kimlik bilgilerini toplama üzere tasarlanmış, tanınmış bir mali kurumu taklit eden bir kimlik avlama sitesi saptadık.20

Sosyal medyaya ilişkin güvenlik tehditleri bu çeyrekte de sürdü. Daha çok zengin bir dijital yaşamı olan kullanıcılardan faydalanıldığı dikkat çekti. Bir “ücretsiz takipçi” dolandırıcılığı, ilgilenen alıcılara sahte takipçiler, “beğenmeler” ve retweet’ler önererek siber suçluların nasıl bir hızlı sıçrama yaptığını gösterdi.21

Sosyal medyayı hedefleyen tehditler bu çeyrekte “ücretsiz takipçi” dolandırıcılığıyla sınırlı kalmadı. Sahte video oynatıcısı güncellemelerine saklanmış kötü amaçlı yazılımların sosyal ağ sitelerinde dolaştığını

gördük. Kurulduklarında,

kullanıcıların özellikle Facebook, Google+ ve Twitter hesap bilgilerini çaldılar.22 Bu çeyrekte, takipçilerini hem Facebook ve hem de Twitter için saldırı araçları barındıran anket dolandırıcılığına yönlendiren sahte Twitter hesapları da sorun yarattı.23

Bu tür güvenlik sorunlarına karşın, çevrimiçi hesapların yönetimiyle ilgili bazı olumlu gelişmeler de yaşandı. Bunlardan biri, iPhone 5s’de bulunan Touch ID parmak izi sensörüdür.

Bu özellik, PIN kodu kullanımıyla karşılaştırıldığında kullanıcıların telefon kilitlerini açmalarını kolaylaştıran bir güvenlik aracıdır.24 Apple’ın kullanıcıların çevrimiçi hesaplarının güvenliğini korumaya yönelik çabaları takdire değer olsa da tek başına yeterli değildir. Çünkü kullanıcı davranışları hala kritik önem taşıyan bir güvenlik faktörü.

Kullanılan Önemli Sosyal Mühendislik Yemleri

YAZFİLMLERİ

BİTKİLER ZOMBİLERE KARŞI

WHATSAPPKRALİYET AİLESİNİN BEBEĞİ

ENDER’İN OYUNU

iPHONE 5s ve 5c

OBAMACARE


12 | Suiistimaller ve Açıklar

SUİSTİMALLER VE AÇIKLAR

Java Açıkları Hala Büyük Bir SorunYılın başında yaşanan birçok sıfırıncı gün olayından sonra Java açıkları önemli bir sorun olmaya devam ediyor. Bir çeyrekte, bir Java 6 açığı saldırısı Neutrino Exploit Kit’te yer aldı.25, 26 Çünkü Oracle bu sürümü desteklemeyi bıraktı. Etkilenen tüm yazılım artık güvenlik güncellemeleri ve düzeltmeleri almayacak (son tanımlanan hata dahil olmak üzere). Daha da kötüsü, Oracle’ın duyurusu son açılan yaklaşık 31 açığın asla yamanmayacağı anlamına geliyor. Eylül Yamasından sadece bir hafta sonra, en son sürümü bile etkileyen bir sıfırıncı gün Internet Explorer saldırısı keşfedildi.27

Microsoft, anında sorunu işaret eden bir düzeltme yayınladı.

Apache Struts üzerine yaptığımız araştırmalar eski açıkların siber suçların favori hedefi olmaya devam ettiğini gösteriyor.28 Araştırmamız, kusurlar halka duyurulduktan yalnızca üç gün sonra Çin yer altı dünyasının, Apache Struts’un eski sürümünün hatalarına saldırıları için otomatik araçlar oluşturduğunu ortaya koydu.

ARAŞTIRMACI ARKA UÇ VERİTABANI

MALICIOUS SITE B

KÖTÜ AMAÇLI SİTE A

Hatalı URL A1 IP adresinin veritabanında bulunup bulunmadığını kontrol eder

2

IP adresi veritabanında yoksa

*Saldırganlar IP Adres listelerini tuttular.Çünkü araştırmacıların IP adres listelerinikullarak erişimi engellediklerini inandılar.

3Site yüklenir4

Hatalı URL B5

IP adresinin veritabanında bulunup bulunmadığını kontrol eder

6

IP adresi veritabanında varsa

7Site yüklenmez8

Saldırılar Güvenliği Nasıl Aşıyor?

TREND MICRO | TrendLabs 3Q 2013 Security Roundup

13 | Hedefli Saldırılar

HEDEFLİ SALDIRILAR

Sykipot Havacılık Verilerini HedefliyorHedefli saldırı kampanyaları, devlet daireleri, büyük kurum ve şirketler gibi çeşitli hedefleri takip etmeye devam ediyor. Saldırganlar tipik olarak hedeflerden veri çekmeyi veya çalmayı amaçlıyor. Bu kampanyalardan biri, yakın zamanda bazı modifikasyonlar geçirmiş olan Sykipot oldu.

Sykipot ilk olarak 2007’de görüldü. Öncelikli olarak telekomünikasyon, bilgisayar, devlet ve havacılık gibi sektörleri hedefledi ve bugüne kadar aktif kalmaya devam etti.29 Kampanyanın son dönemdeki faaliyetlerinde, güncel tanıtıcıların, kontrollü saldırıların ve dinamik bağlantı arşivinin (DLL) / işlem sırasında virüs bulağtırmanın kullanılması gibi bazı değişiklikler gözlemledik. şimdi sivil havacılık bilgilerini hedefliyor.

Hedefli saldırıları takip ederken, hedefe yönelik kimlik avı saldırılarında eski yamalı zayıflıkların kullanılmaya devam ettiğini

gördük Geniş çaplı saldırıya uğrayan açıklardan biri “CVE-2012-0158” olarak da bilinen MSCOMCTL.OCX RCE Açığı oldu. Buna geçen yıl Nisan ayında Microsoft tarafından MS12-027 ile işaret edilmişti.30

En son Apache Struts sürümünün piyasaya çıkışının ardından, yazılımın eski sürümlerinde bulunan açıklara saldıran otomatik araçların yeraltı dünyasında satıldığını tespit ettik. Asya’da söylenen böceklere saldıran bazı hedefli saldırılar da gördük.

.PKZIP ve .MIME dosyaları, hedefe yönelik kimlik avı aracılığıyla belirlenen kurbanlara saldırmak için kullanılan en önemli iki dosya türü tehdit unsuru oldu. Belgeler ve hesap tabloları gibi yaygın dosya türleri de hedef ağlara giriş sağlamak için kullanıldı.

TREND MICRO | TrendLabs 3Q 2013 Security Roundup

14 | Hedefli Saldırılar

Hedefli Saldırılarla İlgili Hedefe Yönelik Kimlik Avı E-Postalarında Kullanılan Dosya Türleri

Bu çeyrekte, devlet kurumları en fazla saldırıya uğrayan hedefler oldu, bunu telekomünikasyon ve BT/yazılım

şirketleri izledi. Büyük şirketler, hedefli saldırıların kurbanı olmamak için ağlarını güçlendirmeliler.

0 %10 %20 %30 %40 %50

TEM

AĞU

EYL

MIME

PKZIP

RAR

RTF

PPS/PPT

DOC

EXE/DLL

XLS

ZIP

PDF


15 | Ek

Ek

İlk 10 İstenmeyen E-posta Dili

İngilizce

Çince

Japonca

Almanca

Rusça

Portekizce

İspanyolca

Fransızca

İzlandaca

Türkçe

Diğerleri

%89,39

%2,49

%1,88

%0,95

%0,70

%0,24

%0,16

%0,08

%0,07

%0,05

%3,99

1.

2.

3.

4.

5.

6.

7.

8.

9.

10.

En Çok İstenmeyen E-posta Gönderen Ülkeler

ABD

Arjantin

İtalya

İspanya

Hindistan

Tayvan

Kolombiya

Peru

Meksika

Almanya

Diğerleri

%9,16

%6,71

%6,69

%6,45

%6,16

%4,31

%4,26

%3,97

%3,82

%3,27

%45,20

1.

2.

3.

4.

5.

6.

7.

8.

9.

10.

Dünya genelinde daha çok kullanıldığı için İngilizce istenmeyen e-posta göndericilerinin en çok tercih ettiği dil olmayı sürdürdü

İlk sıradaki istenmeyen e-posta diliyle uyumlu olarak ABD en fazla istenmeyen e-posta gönderen ülke oldu. Arjantin, İspanya, Kolombiya, Meksika ve Peru gibi Latin Amerika ülkeleri ilk 10’daki yerlerini korudular.


16 | Ek

Engellenen Önemli Kötü Amaçlı Etki Alanları

Aylık Botnet Bağlantıları Sayısı

TEMMUZ

AĞUSTOS

EYLÜL

2 mil0 4 mil 6 mil 8 mil 10 mil 12 mil 14 mil

13,9 mil

12,7 mil

10,7 mil

Botnet bağlantılarının sayısı Temmuz’da artıp Ağustos’ta düştü ve Eylül’de tekrar artışa geçti.

DOMAINS REASONS

ads.alpha00001.com Kullanıcıları reklam siteleri gibi sahte sitelere yönlendirmek için tanınmış Web tarayıcılarını ele geçirirler

trafficconverter.biz Solucanlar barındırır ve dağıtır, özellikle de DOWNAD/Conficker

http :// adsgangsta . com Saldırı kiti faaliyetleriyle ilgili

http :// www . ody . cc BKDR_HPGN.B-CN barındıran sitelerle ilgili

az7t8.com Trafiği yoğun sitelere saldırıda kullanılır

ckstatic.com Trafiği yoğun sitelere saldırıda kullanılır

announce.opensharing.org Saldırı yazılımı barındırır ve eşdüzey (P2P) ağlardakullanılır

promos.fling.com Bir yetişkin randevu sitesiyle ilgili bir zombi ağının parçasıdır

http :// labambaka . com İstenmeyen e-posta ile ilgili, kötü amaçlı yazılım barındırır ve dağıtır

international-spcsz.ru İstenmeyen e-posta ile ilgili, kötü amaçlı yazılım barındırır ve dağıtır

Bu çeyrekte en önemli kötü amaçlı etki alanları, kullanıcıları sahte reklam sitelerine yönlendirmek için web tarayıcılarını ele geçiren siteleri barındırdılar. Bu durum, bu çeyrekte kötü amaçlı reklam yazılımlarında artışa neden oldu.


17 | Ek

Kötü Amaçlı URL Ülke Kaynakları

ÜLKE PAYI

1 ABD %24

2 Hollanda %3

3 Çin %3

4 Almanya %3

5 Fransa %3

6 Güney Kore %2

7 İngiltere %2

8 Rusya %1

9 Japonya %1

10 Kanada %1

Diğerleri %57

Geçen çeyrekte olduğu gibi bu çeyrekte de kötü amaçlı URL’leri barındırma açısından en yüksek paya yine ABD sahip oldu.

En Çok Kötü Amaçlı URL’lere Erişen Ülkeler

ÜLKE PAYI

1 ABD %35

2 Japonya %14

3 Çin %7

4 Hindistan %4

5 Tayvan %4

6 Güney Kore %4

7 Almanya %3

8 Avustralya %3

9 Rusya %2

10 İngiltere %2

Diğerleri %22

Bu çeyrekte kötü amaçlı URL’lere en fazla erişim ABD’den sağlandı.


18 | Ek

En Çok Botnet Bağlantısı Olan Ülkeler

ÜLKE PAYI

1 ABD %25

2 Malezya %19

3 Portekiz %4

4 Rusya %4

5 Kanada %4

6 Güney Kore %4

7 Belçika %3

8 Kolombiya %2

9 Almanya %2

10 Hollanda %2

Diğerleri %31

Kötü Amaçlı Android Uygulama İndirme Hacmi En Yüksek Olan Ülkeler

1

23

5

6

7

9

104

8

%13

%10

%9

%7

%5

%4

%4

%4

%3

%3

Ukrayna

Myanmar [Burma]

Libya

Nijerya

Vietnam

Rusya

Arjantin

Antigua ve Barbuda

Kanada

Hindistan

1.

2.

3.

4.

5.

6.

7.

8.

9.

10.

Ukrayna, liste dışı kalan BAE’nin yerini alarak en yüksek kötü amaçlı uygulama indirme hacmini kaydetti. Bu, akıllı telefonların Doğu Avrupa’da popüleritesinin artışından kaynaklanıyor olabilir. Nijerya ve Arjantin’deki mobil aygıtların gelişimi de bu ülkelerin listeye girişinin nedeni olabilir. Sıralama, “kötü amaçlı” olarak kategorize edilen

uygulamaların, her ülkede taranan toplam uygulama sayısı üzerinden yüzdesi baz alınarak yapıldı. Ancak, sıralama en az 10.000 tarama yapan ülkelerle sınırlandırıldı.

Bu çeyrekte en fazla botnet bağlantısı sayısını ABD kaydetti. Politik gerilimlerin çökerttiği Malezya, ikinci sıraya geriledi.


19 | Ek

Uygulama Kullanımından Dolayı Gizliliğin En Fazla Risk Altında Olduğu Ülkeler

1

2

3

5

67

9

104 8

%26

%20

%11

%10

%9

%7

%7

%7

%7

%6

Kazakistan

Uganda

Ukrayna

Hindistan

Arjantin

Filipinler

Antigua ve Barbuda

Tayland

Kanada

Myanmar [Burma]

1.

2.

3.

4.

5.

6.

7.

8.

9.

10.

Listeye yeni giren Kazakistan, Uganda ve Ukrayna gizliliğin en fazla risk altında olduğu ülkeler arasında ilk sıralara yerleşti. Bu durum, kısmen bu ülkelerde akıllı telefonların popüleritesinin artmasından kaynaklanıyor olabilir. Sıralama, “gizlilik riski uyarıcıları” olarak kategorize edilen uygulamaların, her ülkede taranan toplam

uygulama sayısı üzerinden yüzdesi baz alınarak yapıldı. Ancak, sıralama en az 10.000 tarama yapan ülkelerle sınırlandırıldı.


20 | Referanslar

Referanslar

1. Trend Micro Incorporated. (16 Temmuz 2013). TrendLabs Security Intelligence Blog. “Post Liberty Reserve Shutdown—What Is Next?” Son erişim tarihi: 29 Ekim 2013, http://blog.trendmicro.com/trendlabs-security-intelligence/post-liberty-reserve-shutdown-whats-next/.

2. Charlie Osborne. (9 Ekim 2013). ZDNet. “Blackhole Malware Toolkit Creator ‘Paunch’ Suspect Arrested.” Son erişim tarihi: 29 Ekim 2013, http://www.zdnet.com/blackhole-malware-toolkit-creator-paunch-arrested-7000021740/.

3. Merianne Polintan. (16 Eylül 2013). TrendLabs Security Intelligence Blog. “ZeuS/ZBOT Most Distributed Malware by Spam in August.” Son erişim tarihi: 29 Ekim 2013, http://blog.trendmicro.com/trendlabs-security-intelligence/zeuszbot-most-distributed-malware-by-spam-in-august/.

4. Gelo Abendan. (20 Ağustos 2013). TrendLabs Security Intelligence Blog. “Can KINS Be the Next ZeuS?” Son erişim tarihi: 29 Ekim 2013, http://blog. trendmicro.com/trendlabs-security-intelligence/can-kins-be-the-next-zeus/.

5. Trend Micro Incorporated. (2 Eylül 2013). TrendLabs Security Intelligence Blog. “Citadel Makes a Comeback, Targets Japan Users.” Son erişim tarihi: 29 Ekim 2013, http://blog.trendmicro.com/trendlabs-security-intelligence/citadel-makes-a-comeback-targets-japan-users/.

6. Jessa De La Torre. (5 Ağustos 2013). TrendLabs Security Intelligence Blog. “How to Check If Your Website Is Part of the Stealrat Botnet.” Son erişim tarihi: 29 Ekim 2013, http://blog.trendmicro.com/trendlabs-security-intelligence/how-to-check-if-your-website-is-part-of-the-stealrat-botnet/.

7. Philippe Lin. (5 Eylül 2013). TrendLabs Security Intelligence Blog. “Joomla! and WordPress Sites Under Constant Attack from Botnets.” Son erişim tarihi: 29 Ekim 2013, http://blog.trendmicro.com/trendlabs-security-intelligence/joomla-and-wordpress-sites-under-constant-attack-from- botnets/.

8. Rhena Inocencio. (15 Temmuz 2013). TrendLabs Security Intelligence Blog. “File Infector EXPIRO Hits U.S., Steals FTP Credentials.” Son erişim tarihi: 29 Ekim 2013, http://blog.trendmicro.com/trendlabs-security-intelligence/file-infector-expiro-hits-us-steals-ftp-credentials/.

9. Trend Micro Incorporated. (19 Temmuz 2013). TrendLabs Security Intelligence Blog. “More Details on EXPIRO File Infectors.” Son erişim tarihi: 29 Ekim 2013, http://blog.trendmicro.com/trendlabs-security-intelligence/more-details-on-expiro-file-infectors/.

10. Feike Hacquebord. (5 Eylül 2013). TrendLabs Security Intelligence Blog. “The Mysterious MEVADE Malware.” Son erişim tarihi: 29 Ekim 2013, http://blog.trendmicro.com/trendlabs-security-intelligence/the-mysterious-mevade-malware/.

11. Roger Dingledine. (27 Ağustos 2013). Tor Project. “Many More TOR Users in the Past Week?” Son erişim tarihi: 29 Ekim 2013, https://lists.torproject.org/pipermail/tor-talk/2013-August/029582.html

12. Roddell Santos. (6 Eylül 2013). TrendLabs Security Intelligence Blog. “Adware Spread Alongside MEVADE Variants, Hits Japan and U.S.” Son erişim tarihi: 29 Ekim 2013, http://blog.trendmicro.com/trendlabs-security-intelligence/us-taiwan-most-affected-by-mevade-malware/.

13. Rowena Diocton. (17 Eylül 2013). TrendLabs Security Intelligence Blog. “Connecting the Dots: Fake Apps, Russia, and the Mobile Web.” Son erişim tarihi: 29 Ekim 2013, http://blog.trendmicro.com/trendlabs-security-intelligence/connecting-the-dots-fake-apps-russia-and-the-mobile-web/.

14. Peter Yan. (13 Eylül 2013). TrendLabs Security Intelligence Blog. “Spam Leads to Multi-Platform Mobile Threat.” Son erişim tarihi: 29 Ekim 2013, http://blog.trendmicro.com/trendlabs-security-intelligence/spam-leads-to-multi-platform-mobile-threat/.

15. Trend Micro Incorporated. (2013). Monthly Mobile Review. “A Look at Mobile Banking Threats.” Son erişim tarihi: 29 Ekim 2013, http://about-threats. trendmicro.com/us/mobile/monthly-mobile-review/2013-08-mobile-banking-threats

16. Peter Yan. (2 Ağustos 2013). TrendLabs Security Intelligence Blog. “Master Key Android Vulnerability Used to Trojanize Banking App.” Son erişim tarihi: 29 Ekim 2013, http://blog.trendmicro.com/trendlabs-security-intelligence/master-key-android-vulnerability-used-to-trojanize-banking-app/.

17. Gelo Abendan. (8 Ağustos 2013). TrendLabs Security Intelligence Blog. “Exploiting Vulnerabilities: The Other Side of Mobile Threats.” Son erişim tarihi: 29 Ekim 2013, http://blog.trendmicro.com/trendlabs-security-intelligence/exploiting-vulnerabilities-the-other-side-of-mobile-threats/.

18. Paul Pajares. (1 Ekim 2013). TrendLabs Security Intelligence Blog. “Apple Spikes as Phishing Target.” Son erişim tarihi: 29 Ekim 2013, http://blog. trendmicro.com/trendlabs-security-intelligence/apple-spikes-as-phishing-target/.

19. Merianne Polintan. (10 Eylül 2013). TrendLabs Security Intelligence Blog. “iPhone 5s Phishing Mail Arrives in Time for Launch.” Son erişim tarihi: 29 Ekim 2013, http://blog.trendmicro.com/trendlabs-security-intelligence/iphone-5s-phishing-mail-arrives-in-time-for-launch/.


21 | Referanslar

20. Arabelle Ebora. (13 Ağustos 2013). TrendLabs Security Intelligence Blog. “Mobile Phishing Attack Asks for Government IDs.” Son erişim tarihi: 29 Ekim 2013, http://blog.trendmicro.com/trendlabs-security-intelligence/mobile-phishing-attack-asks-for-users-government-ids/.

21. Karla Agregado. (1 Ağustos 2013). TrendLabs Security Intelligence Blog. “From Fame to Shame: Busting the ‘Free Followers’ Myth in Social Media.” Son erişim tarihi: 29 Ekim 2013, http://blog.trendmicro.com/trendlabs-security-intelligence/from-fame-to-shame-busting-the-free-followers-myth-in-social-media/.

22. Don Ladrones. (30 Temmuz 2013). TrendLabs Security Intelligence Blog. “Malware Hijacks Social Media Accounts Via Browser Add-Ons.” Son erişim tarihi: 29 Ekim 2013, http://blog.trendmicro.com/trendlabs-security-intelligence/malware-hijacks-social-media-accounts-via-browser-add-ons/.

23. Jonathan Leopando. (20 Ekim 2013). TrendLabs Security Intelligence Blog. “Twitter Still Being Used by Shady Hackers.” Son erişim tarihi: 29 Ekim 2013, http://blog.trendmicro.com/trendlabs-security-intelligence/twitter-still-being-used-by-shady-hackers/.

24. Paul Oliveria. (17 Eylül 2013). TrendLabs Security Intelligence Blog. “Fingerprint Scans, Passwords, and Managing Online Accounts.” Son erişim tarihi: 29 Ekim 2013, http://blog.trendmicro.com/trendlabs-security-intelligence/fingerprint-scans-passwords-and-managing-online-accounts/.

25. Gelo Abendan. (27 Ağustos 2013). TrendLabs Security Intelligence Blog. “Java 6 Zero-Day Exploit Pushes Users to Shift to Latest Java Version.” Son erişim tarihi: 29 Ekim 2013, http://blog.trendmicro.com/trendlabs-security-intelligence/java-6-zero-day-exploit-pushes-users-to-shift-to-latest-java-version/.

26. Anthony Melgarejo. (12 Mart 2013). TrendLabs Security Intelligence Blog. “A New Exploit Kit in Neutrino.” Son erişim tarihi: 29 Ekim 2013, http://blog.trendmicro.com/trendlabs-security-intelligence/a-new-exploit-kit-in-neutrino/.

27. Pavan Thorat. (18 Eylül 2013). TrendLabs Security Intelligence Blog. “New IE Zero Day Is Actively Exploited in Targeted Attacks.” Son erişim tarihi: 29 Ekim 2013, http://blog.trendmicro.com/trendlabs-security-intelligence/new-ie-zero-day-is-actively-exploited-in-targeted-attacks/.

28. Noriyaki Hayashi. (14 Ağustos 2013). TrendLabs Security Intelligence Blog. “Chinese Underground Creates Tool Exploiting Apache Struts Vulnerability.” Son erişim tarihi: 29 Ekim 2013, http://blog.trendmicro.com/trendlabs-security-intelligence/chinese-underground-creates-tool-exploiting-apache- struts-vulnerability/.

29. Darin Dutcher. (4 Eylül 2013). TrendLabs Security Intelligence Blog. “Sykipot Now Targeting U.S. Civil Aviation Sector Information.” Son erişim tarihi: 29 Ekim 2013, http://blog.trendmicro.com/trendlabs-security-intelligence/sykipot-now-targeting-us-civil-aviation-sector-information/.

30. Trend Micro Incorporated. (2012) Threat Encyclopedia. “MSCOMCTL.OCX RCE Vulnerability (CVE-2012-0158).” Son erişim tarihi: 29 Ekim 2013, http://about-threats.trendmicro.com/us/vulnerability/2580/mscomctlocx%20rce%20vulnerability%20cve20120158.

TREND MICRO YASAL UYARI

Burada yer alan bilgiler genel bilgilerdir ve sadece eğitim amaçlı olarak verilmektedir. Yasal öneri teşkil etmesi amaçlanmamış olup bu şekilde değerlendirilmemelidir. Burada yer alan bilgiler her durum için geçerli olmayabilir ve en güncel durumu yansıtmıyor olabilir. Burada yer alan hiçbir şeye güvenilmemeli ya da sunulan belirli gerçeklere ve durumlara dayalı yasal öneri alınmadan hareket edilmemeli ve burada yer alan bilgiler aksi yönde değerlendirilmemelidir. Trend Micro önceden haber vermeksizin, istediği zaman bu belgenin içeriğini değiştirme hakkını saklı tutar.

Materyalin diğer dillere çevrilmesi sadece kolaylık sağlama amacı taşır. Çevirinin doğruluğu garanti edilmez ya da zımnen ifade edilmez. Bir çevirinin doğruluğu ile ilgili sorular ortaya çıkarsa, lütfen belgenin orijinal dildeki resmi sürümüne başvurun. Çevirideki tutarsızlıklar ya da farklar bağlayıcı olmayıp uyum ya da uygulama amaçları üzerinde herhangi bir yasal etkisi yoktur.

Trend Micro bu belgeye doğru ve güncel bilgileri dahil etmek için elinden geleni yapsa da, Trend Micro belgenin doğruluğu, kesinliği ya da eksiksizliği konusunda herhangi bir garanti vermez ya da beyanatta bulunmaz. Bu belgeye ve içeriğine olan erişiminiz, kullanımınız ve güvenmenizden kaynaklanan riski kabul etmiş oluyorsunuz. Trend Micro açık ya da zımni, her türlü garantiyi reddeder. Trend Micro ya da bu belgenin hazırlanması, üretilmesi ya da sunulması süreçlerine dahil olan taraflar bu belgeye erişim, belgenin kullanılması ya da kullanılamaması ya da kullanılması ile bağlantılı olarak ya da içerikteki hata ya da ihmallerden doğan doğrudan, dolaylı, özel, risk sebebiyle oluşan, kar kaybı ya da özel hasarlar da dahil olmak üzere, herhangi bir sonuç, kayıp ya da zarardan sorumlu olmayacaktır. Bu bilgilerin kullanılması bilgilerin “olduğu gibi” kullanılmasının kabul edildiğini gösterir.

Güvenlik yazılımı ve çözümlerinin global lideri Trend Micro Incorporated, dijital bilgilerin alınıp verilmesinde daha güvenli bir dünya yaratmak için çabalamaktadır. Daha fazla bilgi için: www.trendmicro.com.

©2013 Trend Micro, Incorporated. Tüm hakları saklıdır. Trend Micro ve Trend Micro t-ball logosu, Trend Micro, Incorporated’in ticari markaları ya da tescilli ticari markalarıdır. Tüm diğer şirket veya ürün isimleri sahiplerinin ticari markaları ya da tescilli ticari markaları olabilirler.

Hazırlayan:

TREND MICRO Küresel Teknik Destek ve Ar-Ge Merkezi

görünmez web’in maskesi düştü€¦ · kötü amaçlı yazılım teknikleri emniyet...

Documents