oltalama | DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri

Eyvah Kripto Paralarım Çalındı!!

Şükrü Durmaz — Mon, 19 Apr 2021 08:31:17 +0000

Siber saldırganların gözü artık kripto para cüzdanlarımızda…

Şu anda internet üzerinde en popüler konulardan birisi hiç şüphesiz kripto paralar. Hemen hemen her gün kripto paralarla ilgili bir habere rastlamak mümkün.

Bitcoin hem hacim büyüklüğü hem de toplam değer olarak yine rekor kırdı!
Dünyadaki toplam kripto para borsası büyüklüğü 2 trilyon ABD Dolarını geçti!
Hızlı büyüme karşısında devletler kripto paralarla ilgili çeşitli tedbirler almaya başladı.
T.C. Resmî Gazete’de “Kripto varlıklar, ödemelerde doğrudan veya dolaylı şekilde kullanılamaz” TCMB yönetmeliği yayımlandı.
Blockchain, coin, altcoin, token, wallet, decentralized…

Hayatın olağan akışı içerisinde karşılaştığımız bu haberler hiç kuşkusuz dolandırıcılar, siber saldırganlar ve suç işlemeye meyilli kişilerin de iştahını kabartmakta, onların da ilgisinin kripto paralara yönelmesine neden olmaktadır. Bunun en çarpıcı örneği ise fidye zararlısı (CryptoLocker Ransomware) ile fidye bedelinin genelde BitCoin olarak istenmesidir.

Kurum ve kuruluşların siber güvenlik zafiyetlerinden faydalanarak BT sistemlerine sızan siber saldırganlar sistemleri ele geçirdikten sonra en değerli varlıkları (verileri) şifreleyerek bir not bırakmakta ve bıraktığı notta bir e-posta adresi üzerinden iletişim kurulmasını talep etmektedir. İletişime geçince de 0.1 BitCoin’den 50 BitCoin’e varan miktarlarda fidye talep etmektedir.

Peki neden BitCoin olarak ödeme istemektedirler?

Bir merkezi olmadığı için yapılan transferler takip edilememektedir. Bu durum suçluları teşvik etmektedir.
BitCoin işlemleri gibi cüzdan bilgileri de şifrelidir ve kimlik tespiti yapılamamaktadır.
Bir uygulama ya da web üzerinden 2 dk’a açılacak bir hesap ile BitCoin alım, satım ve gönderimi mümkün olmaktadır.
Son yıllardaki en iyi yatırım araçlarından birisidir.
Dilediğiniz zaman dilediğiniz ülkenin nakit parasına dönüştürülebilmektedir.

Siber suç işleyenler ile siber dolandırıcıların kripto para aşkının temelinde yakalanma riskinin bulunmaması yatmaktadır.

Photo by Stanislaw Zarychta on Unsplash

Peki siber suçlular ve siber dolandırıcılar eylemlerinin karşılığı olarak kripto para isterken acaba bizim kripto para cüzdanlarımıza da göz dikmiş olabilirler mi?

İnternet ortamında sosyal mühendislik ile insanları kandırarak menfaat temin etmenin sayısız yöntemleri bulunmaktadır. İşte siber dolandırıcılar da bu yöntemleri ustalıkla kullanarak kripto paralarımıza göz dikerek yeni bir haksız kazanç elde etme alanı bulmuşlardır. Peki, bu siber dolandırıcılar kripto paralarımızı nasıl ele geçirebilmektedir? Gelin biraz bu konuda yaşanan olayları ve örnekleri paylaşarak nelere dikkat edilmesi gerektiğini bu yazımızda adım adım anlatalım.

Karşılaşılan en büyük suistimallerin başında cep telefonları ve bilgisayarların suistimal edildiği olaylar gelmektedir. Çünkü, kripto para alışverişi için bir bilgisayar ya da cep telefonuna ihtiyaç duyulmaktadır. Eğer kripto para işlemleri için kullandığınız cep telefonu ve bilgisayarların güvenliğini yeterince sağlayamıyor ya da sağlama konusunda bilgili değilseniz aman dikkat edin cep telefonunuza ya da bilgisayarınıza sızmış bir siber dolandırıcı olabilir. Peki nasıl mı?

# E-posta üzerinden bir oltalama e-postası ile cep telefonunuzun ya da bilgisayarınızın kontrolünü siber dolandırıcıya kaptırmış olabilirsiniz:

Ödül, tanıtım, fatura, kargo, sipariş v.b. nedenlerle gönderilen e-postalar arasına kaynayan bir oltalama e-postasını farkına varmadan açarsanız bilgisayarınızın kontrolünü siber dolandırıcıya teslim etmiş olabilirsiniz.
Siber dolandırıcı cep telefonu ya da bilgisayarınıza sızdıktan sonra sizin tüm hareketlerinizi uzaktan gizlice izlemeye başlayacak ve en müsait zamanda ise cüzdanınızdaki kripto paraları kendi hesabına gönderecektir.
Belki burada hemen itiraz edeniniz olacak. “Olur mu canım, biz kripto para işlemi yapmak için her zaman iki faktöryel doğrulama yapıyoruz; ya kısa mesaj (SMS) ile ya da Google Authenticator kullanarak sisteme giriyoruz. Bu nedenle siber korsanın izinsiz girişine müsaade etmeyiz, ayrıca bu nedenle izinsiz giremez ki!” diyenleri duyarak biraz tebessüm ediyorum.
Şimdi, ben siber dolandırıcı olsam, sizin cep telefonunuza ya da bilgisayarınıza ruhunuz bile duymadan girmiş ve erişmiş olsam sabırla sizin ilk kripto para işlemi yapma anınızı beklerdim. Tüm işlemlerinizi adım adım izler ve cep telefonu ya da bilgisayarın başından uzaklaştığınız ya da stand-by’da beklettiğiniz zamanı gözetleyerek haberiniz dahi olmadan eylemlerimi gerçekleştirirdim.
Çünkü, iki faktöryel doğrulama ile kripto para sistemine zaten girmişsiniz ve logout (çıkış) komutunu vermediğiniz için hala sistemde online olarak kalmaya devam etmektesiniz. IP adresinizin değişmediği ya da sistem tarafından belirlenen oturum süreniz dolmadığı için hala oturumuz açık durmaktadır. Cüzdanınızda bulunan tüm kripto paranızı saniyeler içerisinde dilediğim hesaba gönderdim ve üstelik geri dönüşü olmadığı gibi hangi hesaba gittiğini de tespit edemeyeceksiniz!” geçmiş olsun!

Photo by CardMapr.nl on Unsplash

# Bir Truva atının (Trojan horse) kurbanı olabilirsiniz:

Cep telefonlarınıza “Jailbreak” ya da “root” işlemi yapıp üstelik; güvenliğinden emin olmadığınız çeşitli uygulamaları kurduysanız, Apple Store ve Google Play’de yer almayan ve güvenilir olmayan uygulamaları sürekli kurup kaldırıyorsanız, bilgisayarınıza güvenilirliği belli olmayan yazılım ve uygulamaları zaman zaman indirip kuruyorsanız ve hatta Crack’li (lisansız kırık) yazılım kullanıyorsanız kesinlikle bir zararlı yazılımın kurbanı olabilir, cep telefonunuzun ya da bilgisayarınızı kontrolünü farkına varmadan siber dolandırıcıya teslim etmiş olabilirsiniz. Sonrası mı?
Sizin cep telefonu ya da bilgisayar başında olmadığınız anı bekleyerek mümkün olan ilk fırsatta kripto paracıklarınızı saniyeler içerisinde istediği hesaba gönderecektir, hem de gönderme masrafı da size ait olacak şekilde.

# Uzak masaüstü uygulamalar gizlice cep telefonu ya da bilgisayarınıza yüklenmiş olabilir:

Farkında olmadan cep telefonunuzda ya da bilgisayarınızda arka planda otomatik olarak çalışan uzak masaüstü uygulaması olabilir. Bu uygulamayı kendiniz kurmuş ve basit bir parola vermiş olabilirsiniz ya da siz farkına varmadan bir siber saldırgan bu uygulamalardan birini kurmuş ve sistem açılışında kendi belirlediği parola ile otomatik olarak çalışacak şekilde yapılandırmış olabilir. Sonrası mı?
Yine aynı şekilde cep telefonu ve bilgisayar başında olmadığınız ve kripto para sistemine giriş yapmış olduğunuz bir anı kollamak olacak. Gerisi bildiğiniz gibi…

# Ortak kullanılan bir tablet, cep telefonu ya da bilgisayarda kripto para işlemi yapmış iseniz cüzdan bilgilerinizi kaptırmış olabilirsiniz.

Günümüzde artık internet cafeler pek tercih edilmese de kütüphane gibi ya da bazı kurum ve kuruluşlarda internet erişimi için ortak kullanılan bilgisayarlar bulunmaktadır. Şayet bu tür ortamlarda kripto para işlemi yaparsanız kripto para cüzdanınızı sizden sonraki kullanıcıya kaptırabileceğiniz gibi bilgisayarları yöneten art niyetli bir kişiye de kaptırma durumunuz olabilir.
Sonuç olarak söyleyebiliriz ki umuma açık ortamlarda bulunan bilgisayar sistemleri üzerinde kripto para işlemi yapmayınız!

# Kripto para işlemi yaptığınız cep telefonu ya da taşınabilir bilgisayarınızı kontrolsüz bir şekilde bir yerde bırakmış olabilirsiniz:

En tehlikeli durumlardan birisi de kripto para işlemlerini yaptığınız cep telefonunuzu ya da bilgisayarınızı yeterince güvenliği sağlanmamış bir halde bir yerde bırakmanız. Kötü niyetli kişiler ya da bunu fırsat bilen dolandırıcılar cep telefonunuzu kullanarak ve hatta iki faktöryel doğrulamayı da kolayca yaparak tüm kripto para cüzdanınızı boşatabilirler.
Cep telefonunuzu ve taşınabilir bilgisayarınızı kısa süreli de olsa açık halde bırakıp bir yere gitmiş olabilirsiniz. Döndüğünüzde tüm kripto para cüzdanınız boşaltılmış olabilir ve malesef bu durumdan epey zaman sonra haberdar olabilirsiniz.

# Kripto para işlemi yaptığınız cep telefonunuzu ve bilgisayarınızı çaldırdınız:

Belki de en tehlikeli senaryolardan birisi de bu olsa gerek. Eğer hırsız cep telefonunuzun güvenlik kilidi açabilir ise çok vahim bir tablo sizi bekliyor. Kısa sürede kripto para uygulamanızı açacak, iki faktöryel doğrulamayı onaylayacak ve tüm cüzdanınızdaki kripto paralar buhar olacaktır.
Çalınan bilgisayarınızın sabit diski şifreli değil ise kripto paralarınızı yine kaptırma riskiniz bulunmaktadır. Basit araçlarla kripto para cüzdanınızdaki kodlara ulaşmak ve bu kodları kullanarak sahip olduğunuz tüm birikimi kaybetme riskiniz bulunmaktadır.

Amacım sizleri korkunç senaryolarla korkutmak değil, olası riskleri sizlere anlatarak siber güvenlik farkındalığınıza katkıda bulunmak ve suçla mücadele de az da olsa bir katkı sağlamaktır.

Bilgisayar ve cep telefonu ile internette kritik işlemler yapıyorsanız;

Siber hijyeninize dikkat ediniz ve bu alandaki kurallara kesinlikle uyunuz.
Asla umuma açık yerlerdeki bilgisayar sistemlerini kullanmayınız.
Cep telefonu ve bilgisayarınızı 7/24 saat internette online şekilde bırakmayınız. Asla başında olmadığınız ve kullanmadığınız sistemi açık bırakmayınız.
Özel işlemler yapıyorsanız sırf bu işlemler için özel bilgisayar sistemleri kullanınız ve bu sistemlere emin olmadığınız hiçbir şeyi kurmayınız. Özellikle siber hijyen kurallarınız daima hatırda tutunuz.
Anti-virüs, anti-malware, anti-phishing, anti-keylogger, firewall gibi güvenlik çözümlerini kullanınız.
Son olarak kişisel herhangi bir bilgisayar sisteminizi ya da cep telefonunuzu kontrolsüz bir yerde bırakmayınız, hırsızlara ve dolandırıcılara karşı daima uyanık olunuz.

Güvenli ve güzel günler dileklerimle esen kalın.

Şükrü DURMAZ – Ankara, Turkey | Professional Profile | LinkedIn

https://www.linkedin.com/in/sdurmaz/

Photo by André François McKenzie on Unsplash

The post Eyvah Kripto Paralarım Çalındı!! first appeared on DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri.

Fidye İsteyen Zararlılar-3 (CryptoLockers-3)

Şükrü Durmaz — Mon, 29 Mar 2021 10:48:59 +0000

Fidye isteyen zararlılar (CryptoLockers) yazı dizimize kaldığımız yerden devam ediyoruz…

Siber saldırgan, siber korsan ve siber zorba olarak nitelendirilebilen bu kötü niyetli ve menfaatçi kişilerin tek amacı; önemli ve değeri yüksek kurumsal ve kişisel verilere ya sistem açıklıklarından faydalanarak ya da çeşitli siber saldırı yöntemleri (Oltalama, sosyal mühendislik v.b.) kullanarak erişmek ve bu verileri çeşitli şifreleme yöntemleri ile şifreleyip kullanılmaz hale getirdikten sonra dosyaları eski haline getirmek için fidye talep etmektir. [Bir önceki yazı için: Fidye İsteyen Zararlılar-2 (CrptoLockers-2)]

Tabi ki talep edilen fidye türü de yakalanmamak için anonim olmayı sağlayan elektronik paralarla olmakta ve bunların en başında ise kripto paraların en tanınanı BitCoin gelmektedir. Kripto paralar bu nedenle siber saldırganların ekmeğine yağ sürmekte ve suç işlemelerini teşvik etmektedir. Ayrıca tespit edilmelerini de imkansız hale getirmektedir. Bu sorunla mücadele için muhakkak bir çözüm bulunması gerekmektedir, aksi halde fidye isteyen zararlı olayları iştah kabartan bir olay olmaya devam edecektir.

Fotoğraf: https://blockpublisher.com/bitcoin-ransomware-attackers-tasted-their-own-medicine/

Bugüne kadar karşılaştığımız ve bize iletilen fidye isteyen zararlı vakalarında olayın ilk tespiti genelde aksayan bir hususun araştırılması neticesinde oluyor.

Muhasebe yazılımının çalışmaması, lojistik ve sevkiyat uygulamalarının çalışmaması, cari işlemlerle ilgili dosyalara ve uygulamalara erişememe gibi sorunlar olayın ilk belirtileri olarak karşımıza çıkmaktadır. Ancak, böyle bir olayla karşılaşınca hemen hemen her kurum ve kuruluş kendince bir keşif yapıyor, kendi bilgi ve görgüsüne göre çeşitli müdahaleler yapıyor ve neticede herkesin başına ilk kez gelmesi nedeniyle bir çuval incirin berbat olmasına neden oluyor. Burada özellikle ifade edilmelidir ki bir siber olaya müdahale ancak ve ancak siber olay müdahalesinde uzman kişiler ve uzman bir ekip tarafında yapılmalıdır. Aksi halde geri dönüşü imkansız sonuçlara katlanmak zorunda kalınmaktadır.

Fotoğraf: https://www.cybersafesolutions.com/insights/the-key-components-of-cyber-incident-response

Fidye isteyen zararlı vakası ile karşılaşıldığında yapılması ve yapılmaması gerekenleri buradan tek tek yazmak isterdik, ancak bu yazıları saldırganların da okuyor olmasından dolayı maalesef burada anlatmayacağız. Tıpkı yıllar önce şifreleme amacıyla kullanılan yazılımlardaki açıklıkları kullanarak verileri kurtardığımızı söylediğimizde ya da verileri şifrelenmiş bilgisayardaki “Volume Shadow” kopyalara erişerek kurtardığımızı çeşitli sosyal medya platformlarındaki sorulara cevap olarak belirttiğimizde saldırganların bu paylaşımları fark edip yöntemlerini değiştirmesine neden olmuştu. Bu nedenle, saldırganlarla mücadelede daha dikkatli olmak zorundayız.

Saldırganlar ele geçirdikleri sistemde kalıcılığı sağlamak amacıyla çeşitli uygulamaları sisteme yerleştirmekte, sistem açılışında (startup/boot) bu uygulamaların otomatik olarak çalıştırılmasını sağlamakta ve diledikleri zaman sisteme erişme hakkı elde etmiş olmaktadır.
Sisteme girer girmez ise ilk yaptıkları iş ise, yönetici yetkisine sahip bir kullanıcı açmak ve varsayılan yönetici hesabını fark edilmemek için o andan itibaren kullanmamak.
Sonrasında ise çeşitli tarama uygulamaları ile ağı taramak, diğer sunucu ve bilgisayarları tespit etmek ve en önemlisi ise sistemlerin yedeğinin alındığı ortamları tespit etmek amacıyla yoğun çalışmalar yapmaktadırlar.
Ve nihayetinde, kurum ve kuruluşlara ait sistemdeki en kritik verileri (muhasebe, yönetim, lojistik, sevkiyat, üretim v.b.) kırılması nerede ise imkansız şifreleme yöntemleri ile şifrelemektedir.

Verileriniz şifrelenince ilk aklınıza ne gelir?

Tabi ki, sistem ve verilerin yedekleri (backup). Saldırganlar da bunu bildiği için ve ülkemizde de maalesef yedekleme konusu sadece sistem çökmesi düşünülerek online yedekleme yöntemi ile yapıldığından sistemlere takılı halde bulunan her türlü veri depolama aygıtı içerisinde yer alan tüm dosyaları da şifreleyerek erişilmez hale getirmekte, son olarak silinmiş alanları ve sistem kayıtlarını da kurtarılamayacak şekilde özenle silerek “BununOku.txt” şeklinde notunu bırakıp sistemden ayrılmaktadırlar.

Fotoğraf: https://www.nytimes.com/wirecutter/reviews/best-network-attached-storage/

Siber saldırganların sevmedikleri yedekleme sistemleri de var ⭐ ️Özellikle ağ üzerinde yedekleme amacıyla kullanılan NAS ya da DAS adı verilen sistemlere erişmeleri her zaman kolay olmamaktadır. Ancak, bize iletilen pek çok vakada gördüğümüz üzere büyük bir çoğunluk NAS ve DAS ağ depolama aygıtlarını herhangi bir parola sormadan doğrudan sunucu üzerinden doğrudan erişilebilir olarak ayarlaması nedeniyle bu da saldırganların işini kolaylaştırmaktadır. Ancak yine de saldırganların;

NAS ve DAS sistemlere erişemeyen saldırganların bu sistemlerin marka, model ve işletim sistemi sürümünü özel tarama imkanları ile öğrendiklerini,
Her ne kadar verilere erişip şifreleme işlemini gerçekleştiremeseler de, kapatılmayan sistem açıklıklarını veya yapılmayan firmware güncellemelerini suistimal ederek, RAID yapısını bozarak ve hatta birkaç farklı RAID kurulumu gerçekleştirmek suretiyle verileri erişilmez hale getirerek mağdurları fidye ödemeye zorladıkları örneklere de rastladık.

Bu konuyu gerçek bir olay ile açıklayayım. Son zamanlarda çalıştığımız bir vakada;

8 sabit diski bulunan ve RAID 5 yapılandırılmış bir ağ depolama aygıtındaki (NAS) verilerin ve yedeklerin saldırganlar tarafından şifrelenememesi nedeniyle RAID yapısının birkaç kez değiştirilmek suretiyle bozulduğunu fark ettik.
NAS cihazı içerisindeki 8 sabit diski çıkartıp bire bir olarak kopyaladık ve veri kurtarma laboratuvarımızdaki uzmanlarımızın emek ve çabaları ile bir hafta içerisinde saldırganlar tarafından şifrelenen verileri yazmış olduğumuz özel bir script sayesinde %100 olarak kurtarıp, mağdur şirketi saldırıya maruz kaldığı güne geri döndürmeyi başardık.

Ancak, bu her zaman bu kadar kolay olmamaktadır. Bu nedenle, ağ depolama aygıtı siber saldırıya maruz kalan kurum ve kuruluşun konusundaehil uzmanlara müracaat etmesi ve veri kurtarma konusunda deneyimli uzmanların RAID sistemler üzerinden veriyi kurtarılabilmesi mümkün olmaktadır.

©DIFOSE

Son olarak ifade etmeliyim ki, ne kadar tedbir alırsanız alın, her an bir siber saldırı mağduru haline gelebilirsiniz. Dolayısıyla böyle bir saldırıyı ön görüp gerekli siber güvenlik tedbirlerini almalı ve bu tedbirlerin uygulanıp uygulanmadığını sürekli denetim ve gözetim yapmalısınız.

Unutmayın ki saldırganların erişemeyeceği dosya ve sistem yedekleri hayat kurtarır. Bu nedenle sadece çevirim içi yedek değil, çevirim dışı yedek almak ve bunu bir plan dahilinde sistematik bir şekilde yapmak karşılaşılan bir siber saldırıyı en az zararla atlatmanıza yardımcı olacaktır…

Güvenli, güzel ve aydınlık günler dileklerimle esen kalınız.

Sükrü DURMAZ – Ankara, Turkey | Professional Profile | LinkedIn

https://www.linkedin.com/in/sdurmaz/

Photo by FLY:D on Unsplash

The post Fidye İsteyen Zararlılar-3 (CryptoLockers-3) first appeared on DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri.

Fidye İsteyen Zararlılar-2 (CryptoLockers-2)

Şükrü Durmaz — Mon, 29 Mar 2021 09:26:39 +0000

İlginç örnek olaylar ile fidye yazılımlara müdahale…

Geçen haftaki yazımda fidye isteyen zararlıların (CryptoLockers) kurum ve kuruluşları nasıl hedef aldığını, bu saldırılarda kullanılan yöntem ve yaklaşımları anlatmıştım. Bu hafta ise, ülkemizde hemen hemen her gün karşılaştığımız siber olaylardan birisi hakındaki farkındalığı artırmak amacıyl aörnek bir olay üzerinde bu tür bir olaya nasıl müdahale edildiğine değineceğim. (Konuyla ilgili ilk yazım: Fidye İsteyen Zararlılar (CrptoLockers)

Kurum ve kuruluşlar sistemlerinin çalışmadığını ya bir personelden duyarlar ya da iş akışında yaşanan bir problemin tüm faaliyetleri etkilemesi nedeniyle haberdar olurlar. Şimdi aklınıza onlarca siber güvenlik çözümü geldiğini tahmin ediyorum: Anti-virüs, anti-malware, uç kullanıcı güvenlik sistemleri (EDR), SIEM, SOAR, IPS, IDS, DLP, firewall…Tıpkı bir askeri birliğin savunma amacıyla sahip olduğu silahlar gibi, tank, top, uçaksavar, GTT, havan, roketatar, bomba atar, tüfek… Peki saldırgan kışlaya her gün gelen bir erzak arabasının içerisinde silahlı ve teçhizatlı olarak geliyor ve siz bu aracı nasıl olsa her gün geliyor diye girişte kontrol etmiyorsanız? Ya da saldırganlar kışlanın aracını ele geçirip nizam karakolundaki yetersiz güvenliği geçip içeri elini kolunu sallayarak girmiş ise?Evet o kadar çok ve farklı senaryo anlatılabilir ki.

Pandemi nedeniyle son bir yılda fidye zararlısına maruz kalan şirket sayısı fark edilebilir oranda arttı. Hem de alınan onca siber güvenlik önlemlerine rağmen.

Bir Pazar sabahı kahvaltımı yaparken telefonum çaldı. Çok yakından tanıdığım bir arkadaşım arıyordu. Telefonda bahsettiğine göre bir yakının fabrikasındaki tüm bilgisayar sistemleri durmuş ve çalışamaz hale gelmiş. Önce sistemlerde bir hata ya da sorun olduğundan şüphelenmişler. Ancak bir süre sonra fabrikanın en önemli yazılım sistemi olan ERP’nin (Enterprise Resource Planning-Muhasebe, Lojistik, Sevkiyat, Satın Alma, Proje ve Risk Yönetimi… çalışmaları için hazırlanmış yazılım) çalışmadığını, ERP yazılımının tüm dosyalarının şifrelenmiş, uzantılarının değiştirilmiş olduğunu fark etmişler ayrıca masaüstüne bir not bırakılmış olduğunu da görmüşler. Notta, bir e-posta adresi belirtilmiş ve bu e-posta üzerinden iletişim kurulması isteniyormuş.

Bu haber üzerine, zaman geçirmeden hızlıca siber olay müdahale ekibimizle bir araya geldik, laboratuvardaki SOME kitlerimizi hızlıca hazırlayıp olay yerine hareket ettik. Firmanın BT yöneticisi ile kısa bir toplantı yaptıktan sonra sistem merkezine geçip siber saldırıya maruz kalan sunucu ve bilgisayarlardan olaya çözmemize imkan sağlayacak verileri toplamak için planlama yaptık.

Bu tür olaylarda en büyük sorun resmin tamamını görememek ve saldırıya uğramış ya da kirletilmiş bilgisayarları tespit etmektir.

Hele bir de şüpheli sistem sayısı 20’den fazla ise o zaman ciddi bir iş yükü ile karşı karşıya kalırsınız. Klasik adli bilişim yöntemleri artık devre dışı kalır, disk ya da RAM imajı almak, şüpheli sistemleri bu imajlar üzerinden tespit etmek hem zor hem de çok zaman alan bir sürece sizi zorlar.Bu vakaların her geçen gün artması bizleri siber olay müdahalesinde daha hızlı ve etkili çözümler kullanmaya zorlamaktadır.İşte tam da bu noktada yardımımıza Binalyze firmasının geliştirdiği Binalyze AIR (Otomatik Siber Olay Müdahale Aracı) yetişti. Binalyze AIR yönetim konsolunu bir bilgisayara iki dakika içerisinde kurup, kurumsal ağdaki tüm bilgisayarların (170 adet) RAM imajı dahil toplam (150)’den fazla artifact ve delil dosyalarını hash değerleri hesaplanmış bir şekilde bir saatten daha az bir sürede otomatik oluşturulan bir rapor ile toplamayı başardık.Fidye zararlısına maruz kalan ilk sunucuyu tespit ettiğimizde, şifrelenen dosyaların uzantılarını diğer bilgisayarlar üzerinde aramak suretiyle toplam (6) sunucu ve (3) bilgisayarın saldırgan tarafından ele geçirildiğini ve bu bilgisayar ve sunucular ile bunlara bağlı veri yedekleme aygıtlarının tamamının sabit disklerinin şifrelenmiş olduğunu tespit ettik.

Enfekte olan (6) sunucu ve (3) bilgisayar derhal ağdan izole edildi, akabinde registry ve olay günlüğü analizi, artifact analizini tamamlayıp tüm olayları bir zaman çizgisi üzerinde sıraladık. Bu çaptaki bir vakada Binalyze AIR sayesinde yaklaşık bir saat içerisinde sonucu görebilmek muazzam bir deneyim olmuştu.Yaptığımız tespite göre saldırgan fabrikanın sistemine yaklaşık (2) ay önce sızmış;

Bu iki ay içerisinde fabrikanın sistemlerini anlamak, fabrikadaki cari işleri tespit etmek ve fabrikayı fidye ödemeye zorlayacak en can alıcı noktayı tespit etmek amacıyla çeşitli çalışmalar yapmış.
Bu çalışmaları yaparken ilk ele geçirdiği sisteme bilgi toplama yazılım setlerini kopyalamış ve tek tek çalıştırarak ağdaki bilgisayar ve diğer sistemlerin envanterini tespit etmiş.
İlk etapta muhasebe ve lojistik sevkiyat bilgilerinin yönetildiği ERP yazılımının olduğu sunucuya girmiş, bu sunucudaki tüm dosyaları şifrelemiş, sonrasında sunucunun yedeğinin alındığı NAS yedekleme ünitesini şifrelemiş.
Sunucudaki daha önceki uzak masaüstü erişim kayıtlarını kontrol ederek uzak masaüstü bağlantıları tek tek denemiş, otomatik olarak eriştiği (kullanıcı adı ve parola tanımlı) sistemleri tek tek ele geçirerek tüm dosyalarını şifrelemiş.
Ağda tüm sistemleri yedekleme amacıyla kullanılan (8) disklik bir NAS cihazı tespit etmiş, ancak çeşitli sistem açıklıklarını zorlamasına rağmen içindeki verilere erişememiş. Ancak, NAS cihazının çok eski bir firmware’e sahip olduğunu görmüş ve internet üzerinde yaptığı araştırmada tespit ettiği bir zafiyeti kullanarak NAS cihazının RAID 5 yapısını bozup, RAID 0 haline getirerek sistem yedeklerini kullanılmaz hale getirip fidye notunu bırakıp bağlantıyı kesmiş.

Peki, saldırgan fabrikanın ERP yazılım sunucusuna nasıl girmişti?Hangi yöntemi kullanmıştı?

Saldırganın ele geçirdiği sunucunun tüm kayıtlarını hızlı bir şekilde inceledik ve soruların cevaplarını bulmaya başladık. Aslında saldırgan fabrikanın sunucusunu hacklememiş, sunucuya yasal olarak erişme hakkı bulunan ve firewall’dan giriş izni verilmiş IP adresini kullanan ERP yazılımını üreten firmanın teknik destek biriminin kullandığı IP adresi ile fabrikanın ERP sunucusuna giriş yapmış. (NOT: ERP yazılımı üretici firma pek çok müşterisinin kendi üzerinden hacklendiğini öğrenir öğrenmez, olayda kullanılan sunucuyu formatlamış olması nedeniyle saldırganların IP adresi tespit edilemedi. Bu durum da gösteriyor ki siber olaya müdahale ancak ve ancak yetkili ve bilgili uzmanlarca yapılmalıdır. Aksi halde bir çuvar incirin berbat edilmesi çok basittir!)Bu durum net olarak gösteriyor ki, saldırgan öncelikle ERP yazılım firmasını hacklemiş ve firmadaki teknik destek olarak kullanılan bir sistem üzerinden fabrikanın ERP sunucusuna çok rahatça erişmiş ve bu sunucu üzerinden uzak masaüstü yetkisi otomatik tanımlı olan diğer sunucu ve bilgisayarları da hackeleyerek fabrikanın tüm BT altyapısını çalışmaz hale getirmişti. Bu rahatlık sayesinde yaklaşık (2) ay fabrikanın keşfini yapmış ve fabrikayı fidye ödemeye zorlayacak tüm işlemleri yaparak ele geçirdiği sisteme not bırakıp ayrılmış.Gelecek hafta, bu fabrikanın verilerini (10) Bitcoin talep eden saldırgana 5 kuruş ödemeden nasıl kurtardığımızı ve bu olaydan çıkarılması gereken dersleri sıra ile anlatacağım. Haftaya görüşmek üzere esen kalın dostlar…

Sükrü DURMAZ – Ankara, Turkey | Professional Profile | LinkedIn

https://www.linkedin.com/in/sdurmaz/

The post Fidye İsteyen Zararlılar-2 (CryptoLockers-2) first appeared on DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri.

Fidye İsteyen Zararlılar (CryptoLockers)

Şükrü Durmaz — Mon, 29 Mar 2021 08:57:27 +0000

Fidye zararlıları bulaştığı sistemlerde, sistem kullanıcıları için kritik ya da önemli değere sahip verileri erişilmez kılmak suretiyle menfaat elde etmeyi hedeflerler. Bu veriler çoğu zaman telafisi mümkün olmayan mali, muhasebe, lojistik işlemlere ait veriler olabileceği gibi üretim ya da projelere ait veriler ve diğer ticari gizli veriler olmaktadır.

İlk geliştirilen zararlı yazılımlar (özelinde virüsler) sadece sisteme ve verilere zarar verme amacı taşırken, zaman içerisinde amaç farklılaşmış ve verilerin erişilemez kılınacağı tehdidi ile menfaat teminine yönelmiştir.

İlk fidye zararlıları kullanıcının verilerine ulaşmasını basit şekilde zorlaştırırken (örneğin ekranın açılır pencere sayısını sınırlamak, dosya adını değiştirmek veya sistemin çalışmasını engellemek gibi), yazımıza konu olan CryptoLocker zararlıları güçlü şifreleme algoritmaları kullanarak hem dosya içeriğini hem de klasörleri şifreleyerek erişilmez hale getirmekte ve sonrasında ise başta BitCoin olmak üzere kendi hesabına eMoney talep ettiği bir notu bırakarak sistemden çıkmaktadır.

CryptoLocker (Ransomware)

Burada en önemli konu saldırganların kurbanların sistemine nasıl sızdıkları ve sızmak için nasıl çalıştıklarını anlayarak bilişim sistemlerimiz üzerinde gerekli güvenlik tedbirlerini almak ya da mevcut güvenlik tedbirlerini sıkılaştırmaktır.

Peki bu saldırganlar kimler? Bu işleri nasıl ve ne şekilde yapıyorlar? Ne kazanıyorlar?

Öncelikle saldırganların profillerinden bahsetmek istiyorum. Karşılaştığım pek çok CryptoLocker vakasında saldırganlar ile sızdıkları sistemlere bırakmış oldukları notlardaki iletişim bilgileri ile haberleşme olanağı buldum. Saldırganların çoğunluğu Türkiye dışında yaşamakla beraber birkaç grup Türkiye’de yaşamaktadır. Saldırganlar bir günün büyük kısmını -uyku hariç- internette geçiren kişiler. İnternette sistem açığı tarama, sosyal mühendislik ve phishing (oltalama) saldırısı konusunda uzman ve sabırlı kişilerdir. Sistemlere sızarak, sızdıkları sistem içerisindeki değerli verileri şifrelemek suretiyle maddi menfaat elde etmeyi kendine meslek edinmiş kişilerden oluşmaktadır.

Saldırganlar öncelikle hedef alacakları kurum ve kuruluşları araştırıyorlar ve bu araştırma neticesinde sisteme sızma yöntemlerini belirliyorlar. Araştırma ortamı olarak çeşitli arama motorları ve uygulamalarını kullandıkları gibi, şirket ve kurumlara ait bilgilerin yer aldığı çeşitli veri tabanları (TOBB şirket bilgileri, en büyük 500 sanayii şirketi listesi, çeşitli meslek odaları kayıtları) kullanılmaktadırlar.

Saldırı Öncesi Hedef Belirleme Yöntemleri

Hedef olarak belirledikleri bir sistemi haftalarca araştırıp, o kurum ve kuruluşa sızmak için en ideal yöntemi belirledikten sonra çalışmalarını konsantre bir şekilde sürdürmektedirler. Daha sonrasında buldukları bir açıklık ya da kurum içerisindeki bir kurbanın bilgisayarı üzerinden sisteme sızarak amaçlarına ulaşırlar.

Sisteme sızmak amacıyla çeşitli yöntemler kullanırlar. Bu yöntemlerin başında sistemini ele geçirmeyi planladıkları şirket ya da kurumdaki çalışanların e-postalarına phishing (oltalama) saldırısı yapma en başta gelir.

Oltalama Saldırısı Yaparak Hedefi Ele Geçirme

E-posta kullanıcısı çoğu zaman e-posta içerisindeki zararlı linki tıklar ya da ekindeki zararlı dosyayı açar. Saldırgan gönderdiği e-postayı özenle hazırlar (Fatura, kargo gönderimi, sigorta, ödül kazanma, dosya paylaşımı, sosyal medya aktivitesi v.b.) bu nedenle karşı taraftaki kurban bazen meraktan, bazen bir iş gereği açmak durumunda hisseder. İşte bundan sonra saldırgan önce kurbanın bilgisayarını ele geçirir, daha sonra ise kurbanın bilgisayarı üzerinde şirket ya da kurumdaki kritik ve önemli olan sunucu ve diğer bilgisayarları sıra ile ele geçirmeye başlar.

Örnek Bir Oltalama E-Postası

Saldırganların kullandığı bir diğer yöntem ise kurbanın bilgisayarını phishing (oltalama) saldırısı ile ele geçirdikten sonra, kurbanın şirket ya da kurum bilgisayarına erişmek amacıyla kullandığı uzak masaüstü (RDP, Teamviewer, AnyDesk v.b.) ve VPN uygulamalarını kullanarak şirket ya da kurumun önemli verilerinin bulunduğu diğer sunucu ve bilgisayarlara sızmaktır.

Uzak Masaüstü Uygulamarı Üzerinden Sistemi Ele Geçirme

Üçüncü örnek ise Türkiye’de son zamanlarda sık sık karşımıza çıkmaya başlayan önemli bir örnektir. Bu örnekte ise; saldırgan ele geçireceği hedefe yasal olarak bağlanmaya yetkili bir başka şirket üzerinden gelerek sistemi ele geçirmektedir.

Bu noktada özellikle ERP yazılımı kullanan kurum ve kuruluşları buradan uyarmak istiyorum. ERP yazılımınızın bakım ve güncellemesini yapan şirketlerin siber güvenlik yetkinlik ve etkinliklerinden muhakkak emin olunuz. Onlara verdiğiniz sisteme giriş yetkisini muhakkak iki faktöriyel doğrulama ile yaptırınız, unutmayınız ki ERP hizmeti sunan şirketler saldırganlar tarafından birinci hedeftir ve ERP hizmeti veren şirketler üzerinden çok kolay bir şekilde hacklenebilirsiniz.

ERP Yazılımı Bakım ve Desteği Veren Firma Üzerinden Hacklenme

Bir dahaki yazımda, sisteme sızan bir saldırganın adım adım sızdıktan sonra içeride neler yaptığını anlatacağım. Gelecek hafta görüşmek dileğiyle esen kalınız.

The post Fidye İsteyen Zararlılar (CryptoLockers) first appeared on DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri.