“Zararlı Yazılım Analizi ve APT” INFORMATION & SECURITY TECHNOLOGIES BOA -Trend Micro “Zararlı Yazılım Analizi ve APT” YasinSÜRER twitter@yasinsurer

Virüsler Solucanlar Ransomware Bot Arka Kapılar Fork Bomb RAT Zararlı Yazılımlar Virüsler Solucanlar Ransomware Bot Arka Kapılar Fork Bomb RAT BOA INFORMATION AND SECURITY TECHNOLOGIES

Zararlı Yazılım Tarihi John Von Neuman “Kendini Kopyalayabilen Otomatlar” Frederic B. Cohen “Yapılan İlk virüs tanımı” 80’li yıllar ve virüsler 90’lı yıllar ve virüsler 2000 ve 2006 BOA INFORMATION AND SECURITY TECHNOLOGIES

Öğrenmek, Daha Fazla Öğrenmek Neler Yapabileceklerini Keşfetmek Motivasyon Öğrenmek, Daha Fazla Öğrenmek Neler Yapabileceklerini Keşfetmek Çizilen Sınırların Ötesine Geçebilmek Kendini İfade Edebilmek Mesaj Kaygısı BOA INFORMATION AND SECURITY TECHNOLOGIES

Yeni Teknikler Geliştirme Polimorfik Mutasyon Motoru Eskiden Virüs Yazarları Yeni Teknikler Geliştirme Polimorfik Mutasyon Motoru Dark Avenger (MtE) Metamorfik Virüsler Zmist Simile BOA INFORMATION AND SECURITY TECHNOLOGIES

Politik Görüşler ve Milliyetçilik Vb. Günümüzde Motivasyon Para Politik Görüşler ve Milliyetçilik Vb. BOA INFORMATION AND SECURITY TECHNOLOGIES

Çekirdek Seviyesinde (Kernel-Land) Bootkit Rootkit Zararlı Yazılım Türleri Hardware/Firmware Çekirdek Seviyesinde (Kernel-Land) Bootkit Rootkit Kullanıcı Seviyesinde (User-Land) BOA INFORMATION AND SECURITY TECHNOLOGIES

Sanal Ortamların Tespiti VirtualBox Vmware Hyper-V Zararlı Yazılım Teknik Özellikleri Sanal Ortamların Tespiti VirtualBox Vmware Hyper-V Sıkıştırılmış Kod (Obfuscation) Şifreleme (Encryption) BOA INFORMATION AND SECURITY TECHNOLOGIES

Stuxnet HIKIT DuQu ZeuS Gelişmiş Zararlı Yazılımlar Stuxnet SCADA BOA INFORMATION AND SECURITY TECHNOLOGIES

Görüntü Kaydetme Ortam Dinlemesi Ağ Trafiğini Dinleme Klavye Kaydetme Zararlı Yazılımlar ve Kapasiteleri Görüntü Kaydetme Ortam Dinlemesi Ağ Trafiğini Dinleme Klavye Kaydetme Uzaktan Kontrol Vb. BOA INFORMATION AND SECURITY TECHNOLOGIES

Anti-Virüsleri Atlatabilirler Zararlı Yazılımlar ve Teknik Kapasiteleri Anti-Virüsleri Atlatabilirler Firewall Cihazları/Yazılımlarını Atlatabilirler Süreçleri Gizleyebilirler Dizinleri/Dosyaları Gizleyebilirler Network Trafiğini Gizleyebilirler BOA INFORMATION AND SECURITY TECHNOLOGIES

Anti-Virüsleri Atlatabilirler Zararlı Yazılımlar ve Teknik Kapasiteleri Anti-Virüsleri Atlatabilirler Firewall Cihazları/Yazılımlarını Atlatabilirler Süreçleri Gizleyebilirler Dizinleri/Dosyaları Gizleyebilirler Network Trafiğini Gizleyebilirler BOA INFORMATION AND SECURITY TECHNOLOGIES

Gelişmiş Kalıcı Tehditler (APT) Veri Sızdırma Kontrol Bulaşma Keşif BOA INFORMATION AND SECURITY TECHNOLOGIES

Internet Yolu ile Gerçekleşen Enfeksiyonlar APT - Bileşenleri Internet Yolu ile Gerçekleşen Enfeksiyonlar Fiziksel Unsurlar ile Gerçekleşen Enfeksiyonlar Harici Ataklar BOA INFORMATION AND SECURITY TECHNOLOGIES

Elektronik Posta Ekleri Dosya Paylaşım Protokolleri Phishing. APT – Internet ve Yazılım Enfeksiyonları Drive-by Download Elektronik Posta Ekleri Dosya Paylaşım Protokolleri Phishing. Browser üzerinde tespit edilen güvenlik açıklarını kullanarak sisteme siz farketmeden indirir. BOA INFORMATION AND SECURITY TECHNOLOGIES

Enfekte Hafıza Kartları Enfekte Cihazlar APT – Fiziksel Zararlı Yazılım Enfeksiyonları Enfekte USB Diskler Enfekte CD ve DVD Enfekte Hafıza Kartları Enfekte Cihazlar Arka Kapı Açılan (backdoored) IT Ekipmanları BOA INFORMATION AND SECURITY TECHNOLOGIES

Sunucuların Barındırıldığı Noktalar Profesyonel Ataklar vb... APT – Harici Ataklar Wi-Fi Hacking Cloud Sunucular Sunucuların Barındırıldığı Noktalar Profesyonel Ataklar vb... BOA INFORMATION AND SECURITY TECHNOLOGIES

İlk Hedefli Atak Örneği “U.S. Air Force – 2006” Askeri Kurumlar APT – Hedefler İlk Hedefli Atak Örneği “U.S. Air Force – 2006” Askeri Kurumlar Devlet Kuruluşları Bankacılık ve Finans Savunma Sanayii Herkes! BOA INFORMATION AND SECURITY TECHNOLOGIES

Merkez: Çin Halk Cumhuriyeti APT1 – Unit 61398 Merkez: Çin Halk Cumhuriyeti Pudong, Shanghai 937 Komuta Kontrol Sunucusu 13 farklı ülkeden, 849 farklı IP adresi Dünyanın bir çok ülkesinden, bir çok farklı kuruluş hedef halinde. Sadece Amerika ve Kanada üzerinde bulunan ve saldırılardan etkilenen kuruluş sayısı; 141 BOA INFORMATION AND SECURITY TECHNOLOGIES

APT – Unit 61398 BOA INFORMATION AND SECURITY TECHNOLOGIES

En Çok Hedeflenen Sektörler/Kurumlar IT Havacılık Kamu Kuruluşları APT1 – Unit 61398 En Çok Hedeflenen Sektörler/Kurumlar IT Havacılık Kamu Kuruluşları Telekomünikasyon Enerji Finans Eğitim Vb. BOA INFORMATION AND SECURITY TECHNOLOGIES

APT1 – Unit 61398 Tek bir kuruluştan çalınan veri boyutu (sıkıştırılmış olarak) 6.5 terabyte . Saldırganların, sızdıkları sistemde en uzun, 1.764 gün, ortalama ise 356 gün kaldıkları tespit edildi. BOA INFORMATION AND SECURITY TECHNOLOGIES

APT1 – Unit 61398 Tek bir kuruluştan çalınan veri boyutu (sıkıştırılmış olarak) 6.5 terabyte . Saldırganların, sızdıkları sistemde en uzun, 1.764 gün, ortalama ise 356 gün kaldıkları tespit edildi. BOA INFORMATION AND SECURITY TECHNOLOGIES

Gelişmiş Bir Zararlı Yazılımdır 2011 Yılında Keşfedilmiştir Örnek Bir APT Saldırısı HIKIT Gelişmiş Bir Zararlı Yazılımdır 2011 Yılında Keşfedilmiştir Amaç: İstihbarat Toplamak Hedef: ABD Savunma Bakanlığı ile çalışan Müteahhit Firmalar. BOA INFORMATION AND SECURITY TECHNOLOGIES

Anti-Virüsler Tarafından Tespit Edilemiyor Teknik Analiz Anti-Virüsler Tarafından Tespit Edilemiyor Firewall Cihazları tarafından tespit edilemiyor. Kendisini Sisteme (Driver) Sürücü Olarak Ekliyor. Uzaktan Kontrol Edilebiliyor BOA INFORMATION AND SECURITY TECHNOLOGIES

Küçük boyutlu bir “*.exe” ile sisteme bulaşır. Biraz Daha Teknik Küçük boyutlu bir “*.exe” ile sisteme bulaşır. Çalıştırılabilir Dosya içerisinde “oci.dll” isimli bir kütüphane barındırır. Bu DLL sisteme imzalanmış driver modülü ekler. Tüm Süreçler “çekirdek modül” üzerinden işletilir. BOA INFORMATION AND SECURITY TECHNOLOGIES

Kod İmzalama (Code Signing) BOA INFORMATION AND SECURITY TECHNOLOGIES

Kod İmzalama (Code Signing) BOA INFORMATION AND SECURITY TECHNOLOGIES

HIKIT ve Saldırgan İletişimi BOA INFORMATION AND SECURITY TECHNOLOGIES

HIKIT ve Saldırgan İletişimi BOA INFORMATION AND SECURITY TECHNOLOGIES

HIKIT ve Saldırgan İletişimi BOA INFORMATION AND SECURITY TECHNOLOGIES

HIKIT ve Saldırgan İletişimi rutin BOA INFORMATION AND SECURITY TECHNOLOGIES

HIKIT ve Saldırgan İletişimi BOA INFORMATION AND SECURITY TECHNOLOGIES

Red October 2007 yılından beri özellikle Avrupa, Ortadoğu ve Asya bölgesinde aktif. 2012 yılının Ekim ayında tespit edildi. Hedef: Devlet Kurumları Rusya İran Amerika Türkiye Amaç: İstihbarat BOA INFORMATION AND SECURITY TECHNOLOGIES

Red October BOA INFORMATION AND SECURITY TECHNOLOGIES

Red October BOA INFORMATION AND SECURITY TECHNOLOGIES

Red October BOA INFORMATION AND SECURITY TECHNOLOGIES

FinFisher Gamma Group Tarafından Geliştirilmiş bir zararlı yazılımdır Merkezi İngiltere’de bulunan bir yazılım firması. Lisans anlaşması, €287,000 İlk Anlaşma örneği Hüsnü Mübarek’in ofisinde bulundu. Amaç: Siber İstihbarat / Dijital Gözetim Hedef: Herkes! Kapasite Şifreli İletişimi Monitör Edebilir Uzaktan Kontrol Edilebilir. BOA INFORMATION AND SECURITY TECHNOLOGIES

FinFisher BOA INFORMATION AND SECURITY TECHNOLOGIES

FinFisher BOA INFORMATION AND SECURITY TECHNOLOGIES

FinFisher – C&C BOA INFORMATION AND SECURITY TECHNOLOGIES

Dexter Dexter 2012 Aralık Ayından keşfedilmiştir Windows işletim Sistemini Hedef Almaktadır Amaç: Dolandırıcılık Hedef: PoS Sistemleri Kapasite Uzaktan Kontrol Edilebilir Çaldığı verilerin tamamını tek bir noktada toplar. BOA INFORMATION AND SECURITY TECHNOLOGIES

Dexter BOA INFORMATION AND SECURITY TECHNOLOGIES

Dexter BOA INFORMATION AND SECURITY TECHNOLOGIES

Shamoon Shamoon yada Disttrack Amaç Hedef: Enerji Sektörü 2012 yılında tespit edilmiştir. Amaç Siber İstihbarat Sabotaj Hedef: Enerji Sektörü Saudi Aramco 30.000 adet makineye bulaştı BSOD! RasGas BOA INFORMATION AND SECURITY TECHNOLOGIES

Shamoon BOA INFORMATION AND SECURITY TECHNOLOGIES

Shamoon BOA INFORMATION AND SECURITY TECHNOLOGIES

FatMal Fatmal Türü: Botnet Amaç: Dolandırıcılık ? Hedef: Türkiye 19 Aralık 2012 yılının sonlarında keşfedildi Türkiye’de bir çok firma etkilendi Turkcell THY Oltalama (Phising) yöntemi ile bulaşıyordu. Türü: Botnet Amaç: Dolandırıcılık ? Hedef: Türkiye BOA INFORMATION AND SECURITY TECHNOLOGIES

FatMal BOA INFORMATION AND SECURITY TECHNOLOGIES

FatMal – Atak Gelen Ülkeler BOA INFORMATION AND SECURITY TECHNOLOGIES

FatMal BOA INFORMATION AND SECURITY TECHNOLOGIES

FatMal BOA INFORMATION AND SECURITY TECHNOLOGIES

Georbot Georbot Amaç: Askeri İstihbarat Hedef: Gürcistan Kapasiteleri 2012 yılının sonlarına doğru keşfedildi. İlk versiyon 2010 yılına ait. Amaç: Askeri İstihbarat Hedef: Gürcistan Zaman dilimine (Timezone) göre çalışmaktadır. Kapasiteleri Ekran Görüntüsü Ses Kayıt Tüm network’ü tarayabilme Vb.. BOA INFORMATION AND SECURITY TECHNOLOGIES

Georbot BOA INFORMATION AND SECURITY TECHNOLOGIES

Georbot Gürcistan üzerinde yayın yapan web siteleri ele geçirildi ve zararlı yazılım yüklendi. (Sadece spesifik bilgiler içeren sayfalara.) Bu haber sitelerini ziyaret edenlere zararlı yazılım bulaştırıldı. Zararlı yazılım çalıştırıldığında sistem üzerinde tam kontrol sağlıyordu. Zararlı sadece, belirli “kelimeleri” içeren döküman dosyalarını arıyordu. Video ve Audio kayıt özellikleri ile ortam dinlemesi ve görüntüleme yapabilmek mümkündür. BOA INFORMATION AND SECURITY TECHNOLOGIES

Georbot BOA INFORMATION AND SECURITY TECHNOLOGIES

Georbot BOA INFORMATION AND SECURITY TECHNOLOGIES

FatMal Fatmal Türü: Botnet Amaç: Dolandırıcılık ? Hedef: Türkiye 19 Aralık 2012 yılının sonlarında keşfedildi Türkiye’de bir çok firma etkilendi Turkcell THY Oltalama (Phising) yöntemi ile bulaşıyordu. Türü: Botnet Amaç: Dolandırıcılık ? Hedef: Türkiye BOA INFORMATION AND SECURITY TECHNOLOGIES

FatMal C&C Comm Rusya Polonya Xtreme RAT Hedef Amerika Israil İngiltere Turkiye (Dış İşleri Bakanlığı) BOA INFORMATION AND SECURITY TECHNOLOGIES

DEMO BOA INFORMATION AND SECURITY TECHNOLOGIES

INFORMATION & SECURITY TECHNOLOGIES Q&A EOF