windows temelli zararlı yazılımlarla mücadele12/01/16 1 tÜbİtak bİlgem siber güvenlik...

12/01/16

1

TÜBİTAKBİLGEMSiberGüvenlikEns7tüsü

WindowsTemelliZararlıYazılımlarlaMücadele

ZararlıYazılımAnalizveMücadeleMerkezi

•  Zararlıyazılımlarnedenolduklarıekonomikzararlarnedeniyleönemlibirproblemdir.

•  SadeceABD’dezararlıyazılımlarsonucundaoluşanfinansalkayıpmilyardolarlarseviyesindedir.

•  BununyanındaaskerivepoliGkamaçlardoğrultusundaülkelertaraKndankullanımıyaygınlaşmaktadır.

•  2015verilerinebakıldığında«bulaşmaoranının»yükseldiğigörülmektedir.

Giriş

2

12/01/16

2

3

•  Güvenliktekienzayıfhalka:kullanıcı!

•  Önemliolanzararlıyazılımınbulaşmasınınengellenmesi

•  ZararlıyazılımlarınnasılbulaşWğınınbilinmesietkilimücadeleiçinönemli

Mücadele

4

12/01/16

3

BulaşmaYöntemleri

•  OltalamaSaldırıları(Phishing)§  E-postailezararlıyazılımgönderme

§  DoğrudanEXEdosyasıveyaZIPdosyası

§  E-postailezararlıyazılımbağlanWsı(link)gönderme

SosyalMühendislik

6

12/01/16

4

SosyalMühendislik

ExploitKullananOfisDokümanıGönderme

•  ÇeşitliGpteofisdokümanlarıgönderilebilir–  Doc,Xls,Xlsx,Pdf

•  Ofisuygulamalarıkarmaşıkuygulamalardır–  Çoksayıdaaçıklıkmevcut

7

SosyalMühendislik

WebSitesindenDosyaİndirtme•  E-PostaiçerisindezararlıyazılımıiçerenwebsitesinebağlanWdaolabilir.

8

12/01/16

5

AçıklıkyerineuygulamalardakimakroözelliğikullanılarakdazararlıyazılımbulaşWrılabilmektedir.

MakroÖzelliğininKullanılması

9

Cryptolocker(TorrentLocker)

10

12/01/16

6

Cryptolocker(TorrentLocker)

11

•  Sosyalmedyaortamlarıüzerindendezararlıyazılımlarbulaşabilmektedir–  Kilim,Survivorzararlıyazılımları

SosyalMedya

12

https://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/kilim-zararli-yazilimi.html

https://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/survivor-zararli-yazilim-analizi.html

12/01/16

7

•  Dosyapaylaşımı,linkpaylaşımısağlayanherhangibirortamzararlıyazılımlarındağıWlmasıiçinkullanılabilir.–  Skype,IRC

DiğerOrtamlar

13

•  WebtarayıcıveyaeklenGlerindekiaçıklıklarıkullananwebsitelerinekullanıcınınyönlendirilmesi

•  Genellikleexploitkitadıverilentopluaçıklıkkütüphanelerikullanılır–  SweetOrange–  Angler– Magnitude–  …

•  Exploitkitlerintemelde3fonksiyonubulunmaktadır–  Hedefsisteminaçıklığınıtarar–  BulduğuaçıklarıisGsmareder–  ZararlıkoduçalışWrarakhedef(ler)inigerçekleşGrir

İs7smarKoduKullananWebSitesiİçeriğiSunma

14

12/01/16

8

İs7smarKoduKullananWebSitesiİçeriğiSunma

15https://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-evolution-of-exploit-kits.pdf

WaterholingSaldırısı

Waterholing

•  Webtabanlısaldırınınbellibir

kullanıcıgrubunuhedefalan

şekli.

•  Hedefkullanıcıgrubununziyaret

etmeihGmalininyüksekolduğu

birsiteyezararlıyazılımveya

exploitkitkonur

•  Hazırwebsitelerihacklenebilir.

•  Sırfbuişiçinözelwebsitesi

oluşturulabilir.

16

12/01/16

9

USBBellekGüvenliği

Autorun

•  AutorunyeniWindowsişleGm

sistemlerindekapalıgeliyor.

•  KlasörgörünümlüçalışWrılabilir

dosyaiçerebilirler

•  BedavadağıWlanUSBBellekler

zararlıyazılımiçerebilir.–  ÜreGmsırasındaUSB’ye

bulaşma–  ÖzelüreGlmiş

17

İndirilenDosyalarınGüvenliği

İndirilenDosyalarınGüvenliği

•  ArayagirerekdosyadeğişGrmekmümkün.

•  TorçıkışdüğümlerindedosyalarındeğişGrilmesimümkünve

praGkuygulamalarmevcut

18

12/01/16

10

DışarıAçıkServislerinGüvenliği

DışarıAçıkServislerinGüvenliği

•  Uygulamalardakiaçıklıklar

•  Zayıfparolalar–  UzakmasaüstübağlanWsı

•  İçağdayayılma

19

GüvenilirOlmayanYazılımKaynakları

GüvenilirOlmayanYazılımKaynakları

•  Crackprogramları,warezsiteleri

•  Bindernedir?

•  Yazılımkaynaklarınasızılması

•  ÜreGcilertaraKndanyüklenen

zararlıyazılımlar–  Lenovo:Superfish

•  htps://support.lenovo.com/de/de/

product_security/superfish

20

12/01/16

11

ZararlıYazılımlarınTemizlenmesi

ZararlıYazılımlarınTemizlenmesi

ZararlıYazılımlarınTemizlenmesi

•  Dosyasistemindenvekayıtdeverindensilme.

•  Zararlıyazılımlarınproseslerinivethreadlerinidurdurduktansonra

sonlandırılmasıvesonratemizlikyapılması.

22

12/01/16

12

ZararlıYazılımlarınTemizlenmesi

KalıcılığınTespi7•  Autoruns

23

ZararlıYazılımlarınTemizlenmesi

Örnek:KilimZararlıYazılımınıTespit

•  Sistemebulaşıpbulaşmadığınıanlamakiçinenbasityöntem"C:

\ProgramData\VideoPlayer"klasörününvealWndabulunandosyalarının

varolupolmadığınabakmakWr.

24

12/01/16

13

ZararlıYazılımlarınTemizlenmesi

KilimZararlıYazılımınıTemizleme

•  Chromeveyandextarayıcılarıkaldırılmalı,

•  "C:\ProgramData\VideoPlayer"klasörüsistemdensilinmeli,

•  KayıtdeverindenaltakisaWrlartemizlenmelidir.

25

Teşekkürler