Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

“Zararlı Yazılım Analizi ve APT”

Benzer bir sunumlar


... konulu sunumlar: "“Zararlı Yazılım Analizi ve APT”"— Sunum transkripti:

1 “Zararlı Yazılım Analizi ve APT”
INFORMATION & SECURITY TECHNOLOGIES BOA -Trend Micro “Zararlı Yazılım Analizi ve APT” YasinSÜRER

2 Virüsler Solucanlar Ransomware Bot Arka Kapılar Fork Bomb RAT
Zararlı Yazılımlar Virüsler Solucanlar Ransomware Bot Arka Kapılar Fork Bomb RAT BOA INFORMATION AND SECURITY TECHNOLOGIES

3 Zararlı Yazılım Tarihi
John Von Neuman “Kendini Kopyalayabilen Otomatlar” Frederic B. Cohen “Yapılan İlk virüs tanımı” 80’li yıllar ve virüsler 90’lı yıllar ve virüsler 2000 ve 2006 BOA INFORMATION AND SECURITY TECHNOLOGIES

4 Öğrenmek, Daha Fazla Öğrenmek Neler Yapabileceklerini Keşfetmek
Motivasyon Öğrenmek, Daha Fazla Öğrenmek Neler Yapabileceklerini Keşfetmek Çizilen Sınırların Ötesine Geçebilmek Kendini İfade Edebilmek Mesaj Kaygısı BOA INFORMATION AND SECURITY TECHNOLOGIES

5 Yeni Teknikler Geliştirme Polimorfik Mutasyon Motoru
Eskiden Virüs Yazarları Yeni Teknikler Geliştirme Polimorfik Mutasyon Motoru Dark Avenger (MtE) Metamorfik Virüsler Zmist Simile BOA INFORMATION AND SECURITY TECHNOLOGIES

6 Politik Görüşler ve Milliyetçilik Vb.
Günümüzde Motivasyon Para Politik Görüşler ve Milliyetçilik Vb. BOA INFORMATION AND SECURITY TECHNOLOGIES

7 Çekirdek Seviyesinde (Kernel-Land) Bootkit Rootkit
Zararlı Yazılım Türleri Hardware/Firmware Çekirdek Seviyesinde (Kernel-Land) Bootkit Rootkit Kullanıcı Seviyesinde (User-Land) BOA INFORMATION AND SECURITY TECHNOLOGIES

8 Sanal Ortamların Tespiti VirtualBox Vmware Hyper-V
Zararlı Yazılım Teknik Özellikleri Sanal Ortamların Tespiti VirtualBox Vmware Hyper-V Sıkıştırılmış Kod (Obfuscation) Şifreleme (Encryption) BOA INFORMATION AND SECURITY TECHNOLOGIES

9 Stuxnet HIKIT DuQu ZeuS Gelişmiş Zararlı Yazılımlar Stuxnet SCADA
BOA INFORMATION AND SECURITY TECHNOLOGIES

10 Görüntü Kaydetme Ortam Dinlemesi Ağ Trafiğini Dinleme Klavye Kaydetme
Zararlı Yazılımlar ve Kapasiteleri Görüntü Kaydetme Ortam Dinlemesi Ağ Trafiğini Dinleme Klavye Kaydetme Uzaktan Kontrol Vb. BOA INFORMATION AND SECURITY TECHNOLOGIES

11 Anti-Virüsleri Atlatabilirler
Zararlı Yazılımlar ve Teknik Kapasiteleri Anti-Virüsleri Atlatabilirler Firewall Cihazları/Yazılımlarını Atlatabilirler Süreçleri Gizleyebilirler Dizinleri/Dosyaları Gizleyebilirler Network Trafiğini Gizleyebilirler BOA INFORMATION AND SECURITY TECHNOLOGIES

12 Anti-Virüsleri Atlatabilirler
Zararlı Yazılımlar ve Teknik Kapasiteleri Anti-Virüsleri Atlatabilirler Firewall Cihazları/Yazılımlarını Atlatabilirler Süreçleri Gizleyebilirler Dizinleri/Dosyaları Gizleyebilirler Network Trafiğini Gizleyebilirler BOA INFORMATION AND SECURITY TECHNOLOGIES

13 Gelişmiş Kalıcı Tehditler (APT)
Veri Sızdırma Kontrol Bulaşma Keşif BOA INFORMATION AND SECURITY TECHNOLOGIES

14 Internet Yolu ile Gerçekleşen Enfeksiyonlar
APT - Bileşenleri Internet Yolu ile Gerçekleşen Enfeksiyonlar Fiziksel Unsurlar ile Gerçekleşen Enfeksiyonlar Harici Ataklar BOA INFORMATION AND SECURITY TECHNOLOGIES

15 Elektronik Posta Ekleri Dosya Paylaşım Protokolleri Phishing.
APT – Internet ve Yazılım Enfeksiyonları Drive-by Download Elektronik Posta Ekleri Dosya Paylaşım Protokolleri Phishing. Browser üzerinde tespit edilen güvenlik açıklarını kullanarak sisteme siz farketmeden indirir. BOA INFORMATION AND SECURITY TECHNOLOGIES

16 Enfekte Hafıza Kartları Enfekte Cihazlar
APT – Fiziksel Zararlı Yazılım Enfeksiyonları Enfekte USB Diskler Enfekte CD ve DVD Enfekte Hafıza Kartları Enfekte Cihazlar Arka Kapı Açılan (backdoored) IT Ekipmanları BOA INFORMATION AND SECURITY TECHNOLOGIES

17 Sunucuların Barındırıldığı Noktalar Profesyonel Ataklar vb...
APT – Harici Ataklar Wi-Fi Hacking Cloud Sunucular Sunucuların Barındırıldığı Noktalar Profesyonel Ataklar vb... BOA INFORMATION AND SECURITY TECHNOLOGIES

18 İlk Hedefli Atak Örneği “U.S. Air Force – 2006” Askeri Kurumlar
APT – Hedefler İlk Hedefli Atak Örneği “U.S. Air Force – 2006” Askeri Kurumlar Devlet Kuruluşları Bankacılık ve Finans Savunma Sanayii Herkes! BOA INFORMATION AND SECURITY TECHNOLOGIES

19 Merkez: Çin Halk Cumhuriyeti
APT1 – Unit 61398 Merkez: Çin Halk Cumhuriyeti Pudong, Shanghai 937 Komuta Kontrol Sunucusu 13 farklı ülkeden, 849 farklı IP adresi Dünyanın bir çok ülkesinden, bir çok farklı kuruluş hedef halinde. Sadece Amerika ve Kanada üzerinde bulunan ve saldırılardan etkilenen kuruluş sayısı; 141 BOA INFORMATION AND SECURITY TECHNOLOGIES

20 APT – Unit 61398 BOA INFORMATION AND SECURITY TECHNOLOGIES

21 En Çok Hedeflenen Sektörler/Kurumlar IT Havacılık Kamu Kuruluşları
APT1 – Unit 61398 En Çok Hedeflenen Sektörler/Kurumlar IT Havacılık Kamu Kuruluşları Telekomünikasyon Enerji Finans Eğitim Vb. BOA INFORMATION AND SECURITY TECHNOLOGIES

22 APT1 – Unit 61398 Tek bir kuruluştan çalınan veri boyutu (sıkıştırılmış olarak) 6.5 terabyte . Saldırganların, sızdıkları sistemde en uzun, gün, ortalama ise 356 gün kaldıkları tespit edildi. BOA INFORMATION AND SECURITY TECHNOLOGIES

23 APT1 – Unit 61398 Tek bir kuruluştan çalınan veri boyutu (sıkıştırılmış olarak) 6.5 terabyte . Saldırganların, sızdıkları sistemde en uzun, gün, ortalama ise 356 gün kaldıkları tespit edildi. BOA INFORMATION AND SECURITY TECHNOLOGIES

24 Gelişmiş Bir Zararlı Yazılımdır 2011 Yılında Keşfedilmiştir
Örnek Bir APT Saldırısı HIKIT Gelişmiş Bir Zararlı Yazılımdır 2011 Yılında Keşfedilmiştir Amaç: İstihbarat Toplamak Hedef: ABD Savunma Bakanlığı ile çalışan Müteahhit Firmalar. BOA INFORMATION AND SECURITY TECHNOLOGIES

25 Anti-Virüsler Tarafından Tespit Edilemiyor
Teknik Analiz Anti-Virüsler Tarafından Tespit Edilemiyor Firewall Cihazları tarafından tespit edilemiyor. Kendisini Sisteme (Driver) Sürücü Olarak Ekliyor. Uzaktan Kontrol Edilebiliyor BOA INFORMATION AND SECURITY TECHNOLOGIES

26 Küçük boyutlu bir “*.exe” ile sisteme bulaşır.
Biraz Daha Teknik Küçük boyutlu bir “*.exe” ile sisteme bulaşır. Çalıştırılabilir Dosya içerisinde “oci.dll” isimli bir kütüphane barındırır. Bu DLL sisteme imzalanmış driver modülü ekler. Tüm Süreçler “çekirdek modül” üzerinden işletilir. BOA INFORMATION AND SECURITY TECHNOLOGIES

27 Kod İmzalama (Code Signing)
BOA INFORMATION AND SECURITY TECHNOLOGIES

28 Kod İmzalama (Code Signing)
BOA INFORMATION AND SECURITY TECHNOLOGIES

29 HIKIT ve Saldırgan İletişimi
BOA INFORMATION AND SECURITY TECHNOLOGIES

30 HIKIT ve Saldırgan İletişimi
BOA INFORMATION AND SECURITY TECHNOLOGIES

31 HIKIT ve Saldırgan İletişimi
BOA INFORMATION AND SECURITY TECHNOLOGIES

32 HIKIT ve Saldırgan İletişimi
rutin BOA INFORMATION AND SECURITY TECHNOLOGIES

33 HIKIT ve Saldırgan İletişimi
BOA INFORMATION AND SECURITY TECHNOLOGIES

34 Red October 2007 yılından beri özellikle Avrupa, Ortadoğu ve Asya bölgesinde aktif. 2012 yılının Ekim ayında tespit edildi. Hedef: Devlet Kurumları Rusya İran Amerika Türkiye Amaç: İstihbarat BOA INFORMATION AND SECURITY TECHNOLOGIES

35 Red October BOA INFORMATION AND SECURITY TECHNOLOGIES

36 Red October BOA INFORMATION AND SECURITY TECHNOLOGIES

37 Red October BOA INFORMATION AND SECURITY TECHNOLOGIES

38 FinFisher Gamma Group Tarafından Geliştirilmiş bir zararlı yazılımdır
Merkezi İngiltere’de bulunan bir yazılım firması. Lisans anlaşması, €287,000 İlk Anlaşma örneği Hüsnü Mübarek’in ofisinde bulundu. Amaç: Siber İstihbarat / Dijital Gözetim Hedef: Herkes! Kapasite Şifreli İletişimi Monitör Edebilir Uzaktan Kontrol Edilebilir. BOA INFORMATION AND SECURITY TECHNOLOGIES

39 FinFisher BOA INFORMATION AND SECURITY TECHNOLOGIES

40 FinFisher BOA INFORMATION AND SECURITY TECHNOLOGIES

41 FinFisher – C&C BOA INFORMATION AND SECURITY TECHNOLOGIES

42 Dexter Dexter 2012 Aralık Ayından keşfedilmiştir
Windows işletim Sistemini Hedef Almaktadır Amaç: Dolandırıcılık Hedef: PoS Sistemleri Kapasite Uzaktan Kontrol Edilebilir Çaldığı verilerin tamamını tek bir noktada toplar. BOA INFORMATION AND SECURITY TECHNOLOGIES

43 Dexter BOA INFORMATION AND SECURITY TECHNOLOGIES

44 Dexter BOA INFORMATION AND SECURITY TECHNOLOGIES

45 Shamoon Shamoon yada Disttrack Amaç Hedef: Enerji Sektörü
2012 yılında tespit edilmiştir. Amaç Siber İstihbarat Sabotaj Hedef: Enerji Sektörü Saudi Aramco adet makineye bulaştı BSOD! RasGas BOA INFORMATION AND SECURITY TECHNOLOGIES

46 Shamoon BOA INFORMATION AND SECURITY TECHNOLOGIES

47 Shamoon BOA INFORMATION AND SECURITY TECHNOLOGIES

48 FatMal Fatmal Türü: Botnet Amaç: Dolandırıcılık ? Hedef: Türkiye
19 Aralık 2012 yılının sonlarında keşfedildi Türkiye’de bir çok firma etkilendi Turkcell THY Oltalama (Phising) yöntemi ile bulaşıyordu. Türü: Botnet Amaç: Dolandırıcılık ? Hedef: Türkiye BOA INFORMATION AND SECURITY TECHNOLOGIES

49 FatMal BOA INFORMATION AND SECURITY TECHNOLOGIES

50 FatMal – Atak Gelen Ülkeler
BOA INFORMATION AND SECURITY TECHNOLOGIES

51 FatMal BOA INFORMATION AND SECURITY TECHNOLOGIES

52 FatMal BOA INFORMATION AND SECURITY TECHNOLOGIES

53 Georbot Georbot Amaç: Askeri İstihbarat Hedef: Gürcistan Kapasiteleri
2012 yılının sonlarına doğru keşfedildi. İlk versiyon 2010 yılına ait. Amaç: Askeri İstihbarat Hedef: Gürcistan Zaman dilimine (Timezone) göre çalışmaktadır. Kapasiteleri Ekran Görüntüsü Ses Kayıt Tüm network’ü tarayabilme Vb.. BOA INFORMATION AND SECURITY TECHNOLOGIES

54 Georbot BOA INFORMATION AND SECURITY TECHNOLOGIES

55 Georbot Gürcistan üzerinde yayın yapan web siteleri ele geçirildi ve zararlı yazılım yüklendi. (Sadece spesifik bilgiler içeren sayfalara.) Bu haber sitelerini ziyaret edenlere zararlı yazılım bulaştırıldı. Zararlı yazılım çalıştırıldığında sistem üzerinde tam kontrol sağlıyordu. Zararlı sadece, belirli “kelimeleri” içeren döküman dosyalarını arıyordu. Video ve Audio kayıt özellikleri ile ortam dinlemesi ve görüntüleme yapabilmek mümkündür. BOA INFORMATION AND SECURITY TECHNOLOGIES

56 Georbot BOA INFORMATION AND SECURITY TECHNOLOGIES

57 Georbot BOA INFORMATION AND SECURITY TECHNOLOGIES

58 FatMal Fatmal Türü: Botnet Amaç: Dolandırıcılık ? Hedef: Türkiye
19 Aralık 2012 yılının sonlarında keşfedildi Türkiye’de bir çok firma etkilendi Turkcell THY Oltalama (Phising) yöntemi ile bulaşıyordu. Türü: Botnet Amaç: Dolandırıcılık ? Hedef: Türkiye BOA INFORMATION AND SECURITY TECHNOLOGIES

59 FatMal C&C Comm Rusya Polonya Xtreme RAT Hedef Amerika Israil
İngiltere Turkiye (Dış İşleri Bakanlığı) BOA INFORMATION AND SECURITY TECHNOLOGIES

60 DEMO BOA INFORMATION AND SECURITY TECHNOLOGIES

61 INFORMATION & SECURITY TECHNOLOGIES
Q&A EOF


"“Zararlı Yazılım Analizi ve APT”" indir ppt

Benzer bir sunumlar


Google Reklamları