Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

INFORMATION & SECURITY TECHNOLOGIES BOA -Trend Micro “Zararlı Yazılım Analizi ve APT” YasinSÜRER

Benzer bir sunumlar


... konulu sunumlar: "INFORMATION & SECURITY TECHNOLOGIES BOA -Trend Micro “Zararlı Yazılım Analizi ve APT” YasinSÜRER"— Sunum transkripti:

1 INFORMATION & SECURITY TECHNOLOGIES BOA -Trend Micro “Zararlı Yazılım Analizi ve APT” YasinSÜRER

2 BOA INFORMATION AND SECURITY TECHNOLOGIES Zararlı Yazılımlar • Virüsler • Solucanlar • Ransomware • Bot • Arka Kapılar • Fork Bomb • RAT

3 BOA INFORMATION AND SECURITY TECHNOLOGIES Zararlı Yazılım Tarihi • John Von Neuman • “Kendini Kopyalayabilen Otomatlar” • Frederic B. Cohen • “Yapılan İlk virüs tanımı” • 80’li yıllar ve virüsler • 90’lı yıllar ve virüsler • 2000 ve 2006

4 BOA INFORMATION AND SECURITY TECHNOLOGIES Motivasyon • Öğrenmek, Daha Fazla Öğrenmek • Neler Yapabileceklerini Keşfetmek • Çizilen Sınırların Ötesine Geçebilmek • Kendini İfade Edebilmek • Mesaj Kaygısı

5 BOA INFORMATION AND SECURITY TECHNOLOGIES Eskiden Virüs Yazarları • Yeni Teknikler Geliştirme • Polimorfik Mutasyon Motoru • Dark Avenger (MtE) • Metamorfik Virüsler • Zmist • Simile

6 BOA INFORMATION AND SECURITY TECHNOLOGIES Günümüzde Motivasyon • Para • Politik Görüşler ve Milliyetçilik • Vb.

7 BOA INFORMATION AND SECURITY TECHNOLOGIES Zararlı Yazılım Türleri • Hardware/Firmware • Çekirdek Seviyesinde (Kernel-Land) • Bootkit • Rootkit • Kullanıcı Seviyesinde (User-Land)

8 BOA INFORMATION AND SECURITY TECHNOLOGIES Zararlı Yazılım Teknik Özellikleri • Sanal Ortamların Tespiti • VirtualBox • Vmware • Hyper-V • Sıkıştırılmış Kod (Obfuscation) • Şifreleme (Encryption)

9 BOA INFORMATION AND SECURITY TECHNOLOGIES Gelişmiş Zararlı Yazılımlar • Stuxnet • HIKIT • DuQu • ZeuS

10 BOA INFORMATION AND SECURITY TECHNOLOGIES Zararlı Yazılımlar ve Kapasiteleri • Görüntü Kaydetme • Ortam Dinlemesi • Ağ Trafiğini Dinleme • Klavye Kaydetme • Uzaktan Kontrol • Vb.

11 BOA INFORMATION AND SECURITY TECHNOLOGIES Zararlı Yazılımlar ve Teknik Kapasiteleri • Anti-Virüsleri Atlatabilirler • Firewall Cihazları/Yazılımlarını Atlatabilirler • Süreçleri Gizleyebilirler • Dizinleri/Dosyaları Gizleyebilirler • Network Trafiğini Gizleyebilirler

12 BOA INFORMATION AND SECURITY TECHNOLOGIES Zararlı Yazılımlar ve Teknik Kapasiteleri • Anti-Virüsleri Atlatabilirler • Firewall Cihazları/Yazılımlarını Atlatabilirler • Süreçleri Gizleyebilirler • Dizinleri/Dosyaları Gizleyebilirler • Network Trafiğini Gizleyebilirler

13 BOA INFORMATION AND SECURITY TECHNOLOGIES Gelişmiş Kalıcı Tehditler (APT) Bulaşma Kontrol Keşif Veri Sızdırma

14 BOA INFORMATION AND SECURITY TECHNOLOGIES APT - Bileşenleri • Internet Yolu ile Gerçekleşen Enfeksiyonlar • Fiziksel Unsurlar ile Gerçekleşen Enfeksiyonlar • Harici Ataklar

15 BOA INFORMATION AND SECURITY TECHNOLOGIES APT – Internet ve Yazılım Enfeksiyonları • Drive-by Download • Elektronik Posta Ekleri • Dosya Paylaşım Protokolleri • Phishing.

16 BOA INFORMATION AND SECURITY TECHNOLOGIES APT – Fiziksel Zararlı Yazılım Enfeksiyonları • Enfekte USB Diskler • Enfekte CD ve DVD • Enfekte Hafıza Kartları • Enfekte Cihazlar • Arka Kapı Açılan (backdoored) IT Ekipmanları

17 BOA INFORMATION AND SECURITY TECHNOLOGIES APT – Harici Ataklar • Wi-Fi Hacking • Cloud Sunucular • Sunucuların Barındırıldığı Noktalar • Profesyonel Ataklar • vb...

18 BOA INFORMATION AND SECURITY TECHNOLOGIES APT – Hedefler • İlk Hedefli Atak Örneği • “U.S. Air Force – 2006” • Askeri Kurumlar • Devlet Kuruluşları • Bankacılık ve Finans • Savunma Sanayii • Herkes!

19 BOA INFORMATION AND SECURITY TECHNOLOGIES APT1 – Unit • Merkez: Çin Halk Cumhuriyeti • Pudong, Shanghai • 937 Komuta Kontrol Sunucusu • 13 farklı ülkeden, 849 farklı IP adresi • Dünyanın bir çok ülkesinden, bir çok farklı kuruluş hedef halinde. • Sadece Amerika ve Kanada üzerinde bulunan ve saldırılardan etkilenen kuruluş sayısı; 141

20 BOA INFORMATION AND SECURITY TECHNOLOGIES APT – Unit 61398

21 BOA INFORMATION AND SECURITY TECHNOLOGIES APT1 – Unit • En Çok Hedeflenen Sektörler/Kurumlar • IT • Havacılık • Kamu Kuruluşları • Telekomünikasyon • Enerji • Finans • Eğitim • Vb.

22 BOA INFORMATION AND SECURITY TECHNOLOGIES APT1 – Unit • Tek bir kuruluştan çalınan veri boyutu (sıkıştırılmış olarak) 6.5 terabyte. • Saldırganların, sızdıkları sistemde en uzun, gün, ortalama ise 356 gün kaldıkları tespit edildi.

23 BOA INFORMATION AND SECURITY TECHNOLOGIES APT1 – Unit • Tek bir kuruluştan çalınan veri boyutu (sıkıştırılmış olarak) 6.5 terabyte. • Saldırganların, sızdıkları sistemde en uzun, gün, ortalama ise 356 gün kaldıkları tespit edildi.

24 BOA INFORMATION AND SECURITY TECHNOLOGIES Örnek Bir APT Saldırısı • HIKIT • Gelişmiş Bir Zararlı Yazılımdır • 2011 Yılında Keşfedilmiştir • Amaç: İstihbarat Toplamak • Hedef: ABD Savunma Bakanlığı ile çalışan Müteahhit Firmalar.

25 BOA INFORMATION AND SECURITY TECHNOLOGIES Teknik Analiz • Anti-Virüsler Tarafından Tespit Edilemiyor • Firewall Cihazları tarafından tespit edilemiyor. • Kendisini Sisteme (Driver) Sürücü Olarak Ekliyor. • Uzaktan Kontrol Edilebiliyor

26 BOA INFORMATION AND SECURITY TECHNOLOGIES Biraz Daha Teknik • Küçük boyutlu bir “*.exe” ile sisteme bulaşır. • Çalıştırılabilir Dosya içerisinde “oci.dll” isimli bir kütüphane barındırır. • Bu DLL sisteme imzalanmış driver modülü ekler. • Tüm Süreçler “çekirdek modül” üzerinden işletilir.

27 BOA INFORMATION AND SECURITY TECHNOLOGIES Kod İmzalama (Code Signing)

28 BOA INFORMATION AND SECURITY TECHNOLOGIES Kod İmzalama (Code Signing)

29 BOA INFORMATION AND SECURITY TECHNOLOGIES HIKIT ve Saldırgan İletişimi

30 BOA INFORMATION AND SECURITY TECHNOLOGIES HIKIT ve Saldırgan İletişimi

31 BOA INFORMATION AND SECURITY TECHNOLOGIES HIKIT ve Saldırgan İletişimi

32 BOA INFORMATION AND SECURITY TECHNOLOGIES HIKIT ve Saldırgan İletişimi

33 BOA INFORMATION AND SECURITY TECHNOLOGIES HIKIT ve Saldırgan İletişimi

34 BOA INFORMATION AND SECURITY TECHNOLOGIES Red October • 2007 yılından beri özellikle Avrupa, Ortadoğu ve Asya bölgesinde aktif. • 2012 yılının Ekim ayında tespit edildi. • Hedef: Devlet Kurumları • Rusya • İran • Amerika • Türkiye • Amaç: İstihbarat

35 BOA INFORMATION AND SECURITY TECHNOLOGIES Red October

36 BOA INFORMATION AND SECURITY TECHNOLOGIES Red October

37 BOA INFORMATION AND SECURITY TECHNOLOGIES Red October

38 BOA INFORMATION AND SECURITY TECHNOLOGIES FinFisher • Gamma Group Tarafından Geliştirilmiş bir zararlı yazılımdır • Merkezi İngiltere’de bulunan bir yazılım firması. • Lisans anlaşması, €287,000 • İlk Anlaşma örneği Hüsnü Mübarek’in ofisinde bulundu. • Amaç: Siber İstihbarat / Dijital Gözetim • Hedef: Herkes! • Kapasite • Şifreli İletişimi Monitör Edebilir • Uzaktan Kontrol Edilebilir.

39 BOA INFORMATION AND SECURITY TECHNOLOGIES FinFisher

40 BOA INFORMATION AND SECURITY TECHNOLOGIES FinFisher

41 BOA INFORMATION AND SECURITY TECHNOLOGIES FinFisher – C&C

42 BOA INFORMATION AND SECURITY TECHNOLOGIES Dexter • Dexter • 2012 Aralık Ayından keşfedilmiştir • Windows işletim Sistemini Hedef Almaktadır • Amaç: Dolandırıcılık • Hedef: PoS Sistemleri • Kapasite • Uzaktan Kontrol Edilebilir • Çaldığı verilerin tamamını tek bir noktada toplar.

43 BOA INFORMATION AND SECURITY TECHNOLOGIES Dexter

44 BOA INFORMATION AND SECURITY TECHNOLOGIES Dexter

45 BOA INFORMATION AND SECURITY TECHNOLOGIES Shamoon • Shamoon yada Disttrack • 2012 yılında tespit edilmiştir. • Amaç • Siber İstihbarat • Sabotaj • Hedef: Enerji Sektörü • Saudi Aramco • adet makineye bulaştı • BSOD! • RasGas

46 BOA INFORMATION AND SECURITY TECHNOLOGIES Shamoon

47 BOA INFORMATION AND SECURITY TECHNOLOGIES Shamoon

48 BOA INFORMATION AND SECURITY TECHNOLOGIES FatMal • Fatmal • 19 Aralık 2012 yılının sonlarında keşfedildi • Türkiye’de bir çok firma etkilendi • Turkcell • THY • Oltalama (Phising) yöntemi ile bulaşıyordu. • Türü: Botnet • Amaç: Dolandırıcılık ? • Hedef: Türkiye

49 BOA INFORMATION AND SECURITY TECHNOLOGIES FatMal

50 BOA INFORMATION AND SECURITY TECHNOLOGIES FatMal – Atak Gelen Ülkeler

51 BOA INFORMATION AND SECURITY TECHNOLOGIES FatMal

52 BOA INFORMATION AND SECURITY TECHNOLOGIES FatMal

53 BOA INFORMATION AND SECURITY TECHNOLOGIES Georbot • Georbot • 2012 yılının sonlarına doğru keşfedildi. • İlk versiyon 2010 yılına ait. • Amaç: Askeri İstihbarat • Hedef: Gürcistan • Zaman dilimine (Timezone) göre çalışmaktadır. • Kapasiteleri • Ekran Görüntüsü • Ses Kayıt • Tüm network’ü tarayabilme • Vb..

54 BOA INFORMATION AND SECURITY TECHNOLOGIES Georbot

55 BOA INFORMATION AND SECURITY TECHNOLOGIES Georbot 1.Gürcistan üzerinde yayın yapan web siteleri ele geçirildi ve zararlı yazılım yüklendi. (Sadece spesifik bilgiler içeren sayfalara.) 2.Bu haber sitelerini ziyaret edenlere zararlı yazılım bulaştırıldı. 3.Zararlı yazılım çalıştırıldığında sistem üzerinde tam kontrol sağlıyordu. 4.Zararlı sadece, belirli “kelimeleri” içeren döküman dosyalarını arıyordu. 5.Video ve Audio kayıt özellikleri ile ortam dinlemesi ve görüntüleme yapabilmek mümkündür.

56 BOA INFORMATION AND SECURITY TECHNOLOGIES Georbot

57 BOA INFORMATION AND SECURITY TECHNOLOGIES Georbot

58 BOA INFORMATION AND SECURITY TECHNOLOGIES FatMal • Fatmal • 19 Aralık 2012 yılının sonlarında keşfedildi • Türkiye’de bir çok firma etkilendi • Turkcell • THY • Oltalama (Phising) yöntemi ile bulaşıyordu. • Türü: Botnet • Amaç: Dolandırıcılık ? • Hedef: Türkiye

59 BOA INFORMATION AND SECURITY TECHNOLOGIES FatMal • C&C Comm • Rusya • Polonya • Xtreme RAT • Hedef • Amerika • Israil • İngiltere • Turkiye (Dış İşleri Bakanlığı)

60 BOA INFORMATION AND SECURITY TECHNOLOGIES DEMO

61 INFORMATION & SECURITY TECHNOLOGIES Q&A EOF


"INFORMATION & SECURITY TECHNOLOGIES BOA -Trend Micro “Zararlı Yazılım Analizi ve APT” YasinSÜRER" indir ppt

Benzer bir sunumlar


Google Reklamları