Kaspersky Lab’in Yeni Keşfi: MiniDuke

Kaspersky Lab’in Yeni Keşfi: MiniDuke

Kaspersky Lab, dünyadaki çeşitli devlet kurum ve kuruluşlarında casusluk yapmak için tasarlanan yeni bir zararlı program “MiniDuke”yi keşfetti.

Kaspersky Lab, dünyadaki çeşitli devlet kurum ve kuruluşlarında casusluk yapmak için tasarlanan yeni bir zararlı program “MiniDuke”yi keşfetti. Bu zararlı yazılımın arka kapısı, saldırganlardan talimat almak için birisi Panama’da diğeri ise Türkiye’de bulunan iki sunucuya bağlanıyor. Kaspersky Lab’in uzman ekibi bugün yeni bir araştırma raporu yayınladı. Raporda, yeni keşfedilen ve Adobe Reader’da etkinleşen açıklardan yararlanma amaçlı PDF kodunun (CVE-2013-6040) ve “MiniDuke” olarak bilinen, yüksek düzeyde özelleştirilmiş yeni bir zararlı yazılımın kullanımıyla ilgili bir dizi ciddi güvenlik olayının analiz edildiği yayınlandı. MiniDuke arka kapısının, geçtiğimiz hafta içinde tüm dünyada birden çok devlet kurum ve kuruluşuna saldırıda bulunmak amacıyla kullanıldığı da belirtildi. CrySys Lab ile işbirliği içinde çalışan Kaspersky Lab uzmanları, saldırıları ayrıntılı olarak analiz ettiler ve elde ettikleri bulguları yayınladılar.

Kaspersky Lab’in analizine göre, Ukrayna, Belçika, Portekiz, Romanya, Çek Cumhuriyeti ve İrlanda’daki devlet kurumları dahil, bazı yüksek profilli hedefler MiniDuke saldırılarından etkilenmiş bulunuyor.

  Kaspersky Lab’in Araştırmada Elde Ettiği Önemli Bulgular:   MiniDuke saldırılarını gerçekleştirenler şu anda hala aktif durumda ve zararlı yazılım üretmeye 20 Şubat 2013 tarihi itibarıyla devam ediyorlar. Saldırganlar, kurbanlarını tehdit altında bırakmak için, hedeflere zararlı kod içeren PDF belgelerinin gönderildiği çok etkili sosyal mühendislik teknikleri kullandılar. İnsan hakları semineri bilgileri (ASEM) ile Ukrayna’nın dış politikası ve NATO üyeliği planlarının uydurma versiyonlarının yer aldığı PDF belgelerinin içeriği, seçilen hedeflerle çok alakalıydı. Bu kötü amaçlı PDF dosyaları, sandbox denetimini atlayarak Adobe Reader’ın 9, 10 ve 11 sürümlerine saldıran açıklardan yararlanma amaçlı kodlarla donatılmıştı. İstismar amaçlı bu kodları yaratmak için bir araç seti kullanıldı ve bu araç setinin FireEye tarafından raporlanan son saldırıda kullanılanla aynı olduğu görülüyor. Bununla birlikte, MiniDuke saldırılarında kullanılan açıklardan yararlanma amaçlı kodlar farklı amaçlarla yaratılmıştı ve kendi özelleştirilmiş zararlı yazılımları vardı.  Açıklarından yararlanılarak sisteme erişildiğinde, yalnızca 20kb büyüklüğünde olan çok küçük bir indirme programcığı kurbanın diskine bırakılıyor. Her sistem için özel olarak hazırlanan bu indirme programcığı, Assembler’da yazılan özelleştirilmiş bir arka kapı içeriyor. Sistem başlatılırken yüklendiğinde, indirme programcığı bir dizi matematiksel hesaplama kullanarak bilgisayarın benzersiz parmak izini belirliyor ve daha sonraki iletişimlerini benzersiz şekilde şifrelemek için bu verilerden yararlanıyor. Ayrıca, VMware gibi belirli ortamlarda sabit olarak kodlanmış bir araç seti kullanılarak yapılacak analizlerden de kurtulacak şekilde programlanıyor. Bu göstergelerden herhangi birini bulması durumunda, diğer bir aşamaya geçip kendisini daha da açarak işlevselliğini daha fazla sergilemek yerine, ortamda etkinlikte bulunmayacağı bir şekilde çalışmaya yöneliyor; bu özellik, zararlı yazılımı yazanların, antivirüs ve BT uzmanlarının zararlı yazılımları analiz etmek ve belirlemek için neler yaptığını bildiklerini gösteriyor.  Hedefin sistemi önceden tanımlanan gereksinimleri karşılarsa, zararlı yazılım Twitter’ı (kullanıcı tarafından bilinmeden) kullanıyor ve önceden hazırlanan hesaplardan gelecek belirli tweet’leri aramaya başlıyor. Bu hesaplar MiniDuke’nin Komuta ve Kontrol (C2) operatörleri tarafından yaratılmış oluyor ve tweet’ler arka kapılar için şifrelenmiş URL’leri işaretleyen özel etiketleri sağlıyor. Bu URL’ler C2’lere erişim sağlıyor ve onlar da potansiyel komutları ve GIF dosyaları yoluyla ek arka kapıların şifrelenmiş olarak sisteme aktarılmasını sağlıyor.  Yapılan analizlere göre, MiniDuke’nin yaratıcıları ayrıca radara yakalanmadan uçabilen dinamik bir yedekleme sistemi de sağlıyorlar. Twitter çalışmıyorsa veya hesaplar kapalıysa, zararlı yazılım sonraki C2’ye ilişkin şifrelenmiş dizeleri bulmak için Google Arama özelliğini kullanabiliyor. Bu esnek bir model ve operatörlerin, gerektiğinde daha fazla komutun veya zararlı kodun arka kapılar üzerinden nasıl alınacağını sürekli olarak değiştirebilmelerine olanak tanıyor.  Zararlı yazılımın bulaştığı sistem C2’nin yerini belirlediğinde, GIF dosyaları içine gizlenen ve kurbanın makinesinde resim olarak görünen şifrelenmiş arka kapıları alıyor. Arka kapılar makineye indirildiğinde, onlar da, dosya kopyalama, dosya taşıma, dosya yeniden adlandırma, dizin oluşturma, işlem sonlandırma ve tabii ki yeni zararlı yazılımları indirme ve çalıştırma gibi çeşitli temel işlemleri gerçekleştiren daha büyük bir arka kapıyı indirebiliyorlar.  Zararlı yazılımın arka kapısı, saldırganlardan talimat almak için birisi Panama’da diğeri ise Türkiye’de bulunan iki sunucuya bağlanıyor.  >>Sony A-mount Lensler GüncellendiYazıya ulaşmak için tıklayın
Görüntülenme : 396 Güncelleme Tarihi: 04/03/2013 10:07:58
Yayınlanma Tarihi: 04/03/2013 10:02:33

Haber Yorumları (0)

500

    Acunn.com'u Facebook'ta takip et.

    Acunn.com'un eğlenceli dünyasını yakından takip etmek için Facebook sayfamızı beğenin