Sunuyu indir
Sunum yükleniyor. Lütfen bekleyiniz
1
“Zararlı Yazılım Analizi ve APT”
INFORMATION & SECURITY TECHNOLOGIES BOA -Trend Micro “Zararlı Yazılım Analizi ve APT” YasinSÜRER
2
Virüsler Solucanlar Ransomware Bot Arka Kapılar Fork Bomb RAT
Zararlı Yazılımlar Virüsler Solucanlar Ransomware Bot Arka Kapılar Fork Bomb RAT BOA INFORMATION AND SECURITY TECHNOLOGIES
3
Zararlı Yazılım Tarihi
John Von Neuman “Kendini Kopyalayabilen Otomatlar” Frederic B. Cohen “Yapılan İlk virüs tanımı” 80’li yıllar ve virüsler 90’lı yıllar ve virüsler 2000 ve 2006 BOA INFORMATION AND SECURITY TECHNOLOGIES
4
Öğrenmek, Daha Fazla Öğrenmek Neler Yapabileceklerini Keşfetmek
Motivasyon Öğrenmek, Daha Fazla Öğrenmek Neler Yapabileceklerini Keşfetmek Çizilen Sınırların Ötesine Geçebilmek Kendini İfade Edebilmek Mesaj Kaygısı BOA INFORMATION AND SECURITY TECHNOLOGIES
5
Yeni Teknikler Geliştirme Polimorfik Mutasyon Motoru
Eskiden Virüs Yazarları Yeni Teknikler Geliştirme Polimorfik Mutasyon Motoru Dark Avenger (MtE) Metamorfik Virüsler Zmist Simile BOA INFORMATION AND SECURITY TECHNOLOGIES
6
Politik Görüşler ve Milliyetçilik Vb.
Günümüzde Motivasyon Para Politik Görüşler ve Milliyetçilik Vb. BOA INFORMATION AND SECURITY TECHNOLOGIES
7
Çekirdek Seviyesinde (Kernel-Land) Bootkit Rootkit
Zararlı Yazılım Türleri Hardware/Firmware Çekirdek Seviyesinde (Kernel-Land) Bootkit Rootkit Kullanıcı Seviyesinde (User-Land) BOA INFORMATION AND SECURITY TECHNOLOGIES
8
Sanal Ortamların Tespiti VirtualBox Vmware Hyper-V
Zararlı Yazılım Teknik Özellikleri Sanal Ortamların Tespiti VirtualBox Vmware Hyper-V Sıkıştırılmış Kod (Obfuscation) Şifreleme (Encryption) BOA INFORMATION AND SECURITY TECHNOLOGIES
9
Stuxnet HIKIT DuQu ZeuS Gelişmiş Zararlı Yazılımlar Stuxnet SCADA
BOA INFORMATION AND SECURITY TECHNOLOGIES
10
Görüntü Kaydetme Ortam Dinlemesi Ağ Trafiğini Dinleme Klavye Kaydetme
Zararlı Yazılımlar ve Kapasiteleri Görüntü Kaydetme Ortam Dinlemesi Ağ Trafiğini Dinleme Klavye Kaydetme Uzaktan Kontrol Vb. BOA INFORMATION AND SECURITY TECHNOLOGIES
11
Anti-Virüsleri Atlatabilirler
Zararlı Yazılımlar ve Teknik Kapasiteleri Anti-Virüsleri Atlatabilirler Firewall Cihazları/Yazılımlarını Atlatabilirler Süreçleri Gizleyebilirler Dizinleri/Dosyaları Gizleyebilirler Network Trafiğini Gizleyebilirler BOA INFORMATION AND SECURITY TECHNOLOGIES
12
Anti-Virüsleri Atlatabilirler
Zararlı Yazılımlar ve Teknik Kapasiteleri Anti-Virüsleri Atlatabilirler Firewall Cihazları/Yazılımlarını Atlatabilirler Süreçleri Gizleyebilirler Dizinleri/Dosyaları Gizleyebilirler Network Trafiğini Gizleyebilirler BOA INFORMATION AND SECURITY TECHNOLOGIES
13
Gelişmiş Kalıcı Tehditler (APT)
Veri Sızdırma Kontrol Bulaşma Keşif BOA INFORMATION AND SECURITY TECHNOLOGIES
14
Internet Yolu ile Gerçekleşen Enfeksiyonlar
APT - Bileşenleri Internet Yolu ile Gerçekleşen Enfeksiyonlar Fiziksel Unsurlar ile Gerçekleşen Enfeksiyonlar Harici Ataklar BOA INFORMATION AND SECURITY TECHNOLOGIES
15
Elektronik Posta Ekleri Dosya Paylaşım Protokolleri Phishing.
APT – Internet ve Yazılım Enfeksiyonları Drive-by Download Elektronik Posta Ekleri Dosya Paylaşım Protokolleri Phishing. Browser üzerinde tespit edilen güvenlik açıklarını kullanarak sisteme siz farketmeden indirir. BOA INFORMATION AND SECURITY TECHNOLOGIES
16
Enfekte Hafıza Kartları Enfekte Cihazlar
APT – Fiziksel Zararlı Yazılım Enfeksiyonları Enfekte USB Diskler Enfekte CD ve DVD Enfekte Hafıza Kartları Enfekte Cihazlar Arka Kapı Açılan (backdoored) IT Ekipmanları BOA INFORMATION AND SECURITY TECHNOLOGIES
17
Sunucuların Barındırıldığı Noktalar Profesyonel Ataklar vb...
APT – Harici Ataklar Wi-Fi Hacking Cloud Sunucular Sunucuların Barındırıldığı Noktalar Profesyonel Ataklar vb... BOA INFORMATION AND SECURITY TECHNOLOGIES
18
İlk Hedefli Atak Örneği “U.S. Air Force – 2006” Askeri Kurumlar
APT – Hedefler İlk Hedefli Atak Örneği “U.S. Air Force – 2006” Askeri Kurumlar Devlet Kuruluşları Bankacılık ve Finans Savunma Sanayii Herkes! BOA INFORMATION AND SECURITY TECHNOLOGIES
19
Merkez: Çin Halk Cumhuriyeti
APT1 – Unit 61398 Merkez: Çin Halk Cumhuriyeti Pudong, Shanghai 937 Komuta Kontrol Sunucusu 13 farklı ülkeden, 849 farklı IP adresi Dünyanın bir çok ülkesinden, bir çok farklı kuruluş hedef halinde. Sadece Amerika ve Kanada üzerinde bulunan ve saldırılardan etkilenen kuruluş sayısı; 141 BOA INFORMATION AND SECURITY TECHNOLOGIES
20
APT – Unit 61398 BOA INFORMATION AND SECURITY TECHNOLOGIES
21
En Çok Hedeflenen Sektörler/Kurumlar IT Havacılık Kamu Kuruluşları
APT1 – Unit 61398 En Çok Hedeflenen Sektörler/Kurumlar IT Havacılık Kamu Kuruluşları Telekomünikasyon Enerji Finans Eğitim Vb. BOA INFORMATION AND SECURITY TECHNOLOGIES
22
APT1 – Unit 61398 Tek bir kuruluştan çalınan veri boyutu (sıkıştırılmış olarak) 6.5 terabyte . Saldırganların, sızdıkları sistemde en uzun, gün, ortalama ise 356 gün kaldıkları tespit edildi. BOA INFORMATION AND SECURITY TECHNOLOGIES
23
APT1 – Unit 61398 Tek bir kuruluştan çalınan veri boyutu (sıkıştırılmış olarak) 6.5 terabyte . Saldırganların, sızdıkları sistemde en uzun, gün, ortalama ise 356 gün kaldıkları tespit edildi. BOA INFORMATION AND SECURITY TECHNOLOGIES
24
Gelişmiş Bir Zararlı Yazılımdır 2011 Yılında Keşfedilmiştir
Örnek Bir APT Saldırısı HIKIT Gelişmiş Bir Zararlı Yazılımdır 2011 Yılında Keşfedilmiştir Amaç: İstihbarat Toplamak Hedef: ABD Savunma Bakanlığı ile çalışan Müteahhit Firmalar. BOA INFORMATION AND SECURITY TECHNOLOGIES
25
Anti-Virüsler Tarafından Tespit Edilemiyor
Teknik Analiz Anti-Virüsler Tarafından Tespit Edilemiyor Firewall Cihazları tarafından tespit edilemiyor. Kendisini Sisteme (Driver) Sürücü Olarak Ekliyor. Uzaktan Kontrol Edilebiliyor BOA INFORMATION AND SECURITY TECHNOLOGIES
26
Küçük boyutlu bir “*.exe” ile sisteme bulaşır.
Biraz Daha Teknik Küçük boyutlu bir “*.exe” ile sisteme bulaşır. Çalıştırılabilir Dosya içerisinde “oci.dll” isimli bir kütüphane barındırır. Bu DLL sisteme imzalanmış driver modülü ekler. Tüm Süreçler “çekirdek modül” üzerinden işletilir. BOA INFORMATION AND SECURITY TECHNOLOGIES
27
Kod İmzalama (Code Signing)
BOA INFORMATION AND SECURITY TECHNOLOGIES
28
Kod İmzalama (Code Signing)
BOA INFORMATION AND SECURITY TECHNOLOGIES
29
HIKIT ve Saldırgan İletişimi
BOA INFORMATION AND SECURITY TECHNOLOGIES
30
HIKIT ve Saldırgan İletişimi
BOA INFORMATION AND SECURITY TECHNOLOGIES
31
HIKIT ve Saldırgan İletişimi
BOA INFORMATION AND SECURITY TECHNOLOGIES
32
HIKIT ve Saldırgan İletişimi
rutin BOA INFORMATION AND SECURITY TECHNOLOGIES
33
HIKIT ve Saldırgan İletişimi
BOA INFORMATION AND SECURITY TECHNOLOGIES
34
Red October 2007 yılından beri özellikle Avrupa, Ortadoğu ve Asya bölgesinde aktif. 2012 yılının Ekim ayında tespit edildi. Hedef: Devlet Kurumları Rusya İran Amerika Türkiye Amaç: İstihbarat BOA INFORMATION AND SECURITY TECHNOLOGIES
35
Red October BOA INFORMATION AND SECURITY TECHNOLOGIES
36
Red October BOA INFORMATION AND SECURITY TECHNOLOGIES
37
Red October BOA INFORMATION AND SECURITY TECHNOLOGIES
38
FinFisher Gamma Group Tarafından Geliştirilmiş bir zararlı yazılımdır
Merkezi İngiltere’de bulunan bir yazılım firması. Lisans anlaşması, €287,000 İlk Anlaşma örneği Hüsnü Mübarek’in ofisinde bulundu. Amaç: Siber İstihbarat / Dijital Gözetim Hedef: Herkes! Kapasite Şifreli İletişimi Monitör Edebilir Uzaktan Kontrol Edilebilir. BOA INFORMATION AND SECURITY TECHNOLOGIES
39
FinFisher BOA INFORMATION AND SECURITY TECHNOLOGIES
40
FinFisher BOA INFORMATION AND SECURITY TECHNOLOGIES
41
FinFisher – C&C BOA INFORMATION AND SECURITY TECHNOLOGIES
42
Dexter Dexter 2012 Aralık Ayından keşfedilmiştir
Windows işletim Sistemini Hedef Almaktadır Amaç: Dolandırıcılık Hedef: PoS Sistemleri Kapasite Uzaktan Kontrol Edilebilir Çaldığı verilerin tamamını tek bir noktada toplar. BOA INFORMATION AND SECURITY TECHNOLOGIES
43
Dexter BOA INFORMATION AND SECURITY TECHNOLOGIES
44
Dexter BOA INFORMATION AND SECURITY TECHNOLOGIES
45
Shamoon Shamoon yada Disttrack Amaç Hedef: Enerji Sektörü
2012 yılında tespit edilmiştir. Amaç Siber İstihbarat Sabotaj Hedef: Enerji Sektörü Saudi Aramco adet makineye bulaştı BSOD! RasGas BOA INFORMATION AND SECURITY TECHNOLOGIES
46
Shamoon BOA INFORMATION AND SECURITY TECHNOLOGIES
47
Shamoon BOA INFORMATION AND SECURITY TECHNOLOGIES
48
FatMal Fatmal Türü: Botnet Amaç: Dolandırıcılık ? Hedef: Türkiye
19 Aralık 2012 yılının sonlarında keşfedildi Türkiye’de bir çok firma etkilendi Turkcell THY Oltalama (Phising) yöntemi ile bulaşıyordu. Türü: Botnet Amaç: Dolandırıcılık ? Hedef: Türkiye BOA INFORMATION AND SECURITY TECHNOLOGIES
49
FatMal BOA INFORMATION AND SECURITY TECHNOLOGIES
50
FatMal – Atak Gelen Ülkeler
BOA INFORMATION AND SECURITY TECHNOLOGIES
51
FatMal BOA INFORMATION AND SECURITY TECHNOLOGIES
52
FatMal BOA INFORMATION AND SECURITY TECHNOLOGIES
53
Georbot Georbot Amaç: Askeri İstihbarat Hedef: Gürcistan Kapasiteleri
2012 yılının sonlarına doğru keşfedildi. İlk versiyon 2010 yılına ait. Amaç: Askeri İstihbarat Hedef: Gürcistan Zaman dilimine (Timezone) göre çalışmaktadır. Kapasiteleri Ekran Görüntüsü Ses Kayıt Tüm network’ü tarayabilme Vb.. BOA INFORMATION AND SECURITY TECHNOLOGIES
54
Georbot BOA INFORMATION AND SECURITY TECHNOLOGIES
55
Georbot Gürcistan üzerinde yayın yapan web siteleri ele geçirildi ve zararlı yazılım yüklendi. (Sadece spesifik bilgiler içeren sayfalara.) Bu haber sitelerini ziyaret edenlere zararlı yazılım bulaştırıldı. Zararlı yazılım çalıştırıldığında sistem üzerinde tam kontrol sağlıyordu. Zararlı sadece, belirli “kelimeleri” içeren döküman dosyalarını arıyordu. Video ve Audio kayıt özellikleri ile ortam dinlemesi ve görüntüleme yapabilmek mümkündür. BOA INFORMATION AND SECURITY TECHNOLOGIES
56
Georbot BOA INFORMATION AND SECURITY TECHNOLOGIES
57
Georbot BOA INFORMATION AND SECURITY TECHNOLOGIES
58
FatMal Fatmal Türü: Botnet Amaç: Dolandırıcılık ? Hedef: Türkiye
19 Aralık 2012 yılının sonlarında keşfedildi Türkiye’de bir çok firma etkilendi Turkcell THY Oltalama (Phising) yöntemi ile bulaşıyordu. Türü: Botnet Amaç: Dolandırıcılık ? Hedef: Türkiye BOA INFORMATION AND SECURITY TECHNOLOGIES
59
FatMal C&C Comm Rusya Polonya Xtreme RAT Hedef Amerika Israil
İngiltere Turkiye (Dış İşleri Bakanlığı) BOA INFORMATION AND SECURITY TECHNOLOGIES
60
DEMO BOA INFORMATION AND SECURITY TECHNOLOGIES
61
INFORMATION & SECURITY TECHNOLOGIES
Q&A EOF
Benzer bir sunumlar
© 2024 SlidePlayer.biz.tr Inc.
All rights reserved.