![Page 1: Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yöntemleri)](https://reader033.vdocuments.pub/reader033/viewer/2022052507/5584c4bdd8b42ae5138b46ea/html5/thumbnails/1.jpg)
www.zemana.com 1 / 31
Emre TINAZTEPELead Software Architect
Ransomcrypt ZararlılarıÇalışma Mantıkları ve Analiz Yöntemleri
![Page 2: Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yöntemleri)](https://reader033.vdocuments.pub/reader033/viewer/2022052507/5584c4bdd8b42ae5138b46ea/html5/thumbnails/2.jpg)
www.zemana.com 2 / 31
Zemana Hakkında• 2007 yılında kurulan global bir internet güvenliği şirketi,
• Proaktif güvenlik çözümleri sağlayıcısı,
• Finansal hedefli saldırılar konusunda uzmanlaşmış kadro,
• Dünya çapında korunan 10 milyon son kullanıcı,
• Bağımsız test kuruluşları tarafından onaylanmış ürünler.
![Page 3: Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yöntemleri)](https://reader033.vdocuments.pub/reader033/viewer/2022052507/5584c4bdd8b42ae5138b46ea/html5/thumbnails/3.jpg)
www.zemana.com 3 / 31
Hakkımda• Maltepe Askeri Lisesi ve Kara Harp Okulu Mezunu,• 15 yıla yakın bir süredir programlama ile ilgileniyor,• 7 yıldır zararlı yazılımlar alanında çalışıyor,• Sistem programcısı, meraklı ve iyi bir okuyucu.
![Page 4: Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yöntemleri)](https://reader033.vdocuments.pub/reader033/viewer/2022052507/5584c4bdd8b42ae5138b46ea/html5/thumbnails/4.jpg)
www.zemana.com 4 / 31
Kızın Elimizde
![Page 5: Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yöntemleri)](https://reader033.vdocuments.pub/reader033/viewer/2022052507/5584c4bdd8b42ae5138b46ea/html5/thumbnails/5.jpg)
www.zemana.com 5 / 31
RDP Sapığı Mağdur Profilleri• Sunucu sistemlerine izinsiz erişilen şirketlerin mağdur profiline bakıldığında:
– Sunucuların internete bağlı olduğu ve uzak masaüstü bağlantısının açık olduğu,– Kullanıcı adlarının genellikle “Admin, Administrator, Şirket Adı” olduğu,– Sunucu şifrelerinin ise genellikle “123456, Server, Password veya Şirket Adı” olduğu,– Sunucu erişim yetkisine sahip farklı kişilerde düşük güvenlikli çeşitli kullanıcı adı ve şifrelerinin bulunduğu,– Herhangi bir güvenlik önlemi veya yetkilendirme olmadan şifreye sahip herkesin sunucuya erişebildiği,– Sunucuda bulunan verilerin yedeğinin bulunmadığı anlaşılmıştır.
![Page 6: Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yöntemleri)](https://reader033.vdocuments.pub/reader033/viewer/2022052507/5584c4bdd8b42ae5138b46ea/html5/thumbnails/6.jpg)
www.zemana.com 6 / 31
Mağdur Şirket
![Page 7: Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yöntemleri)](https://reader033.vdocuments.pub/reader033/viewer/2022052507/5584c4bdd8b42ae5138b46ea/html5/thumbnails/7.jpg)
www.zemana.com 7 / 31
Helal-i hoş olsun?• Büyük çaplı bir dizayn firması, satışlarının büyük bir kısmını internetten yapıyor,
• Logo muhasebe yazılımını tek bir bilgisayarda kullanıyor ve yedek almıyor,
• Bu ay tahsil etmesi gereken 170.000 TL bu programda kayıtlı
• 10 bilgisayarcı çağırmış (4 kutu AV ile gelen var),
• 16 Nisan 2014’de mail yoluyla gelen bir faturaya tıklıyor ama bir türlü açamıyor
• Bir kaç gün sonra hiç bir program açılmıyor,
• Günün sonunda bizzat şirket sahibinden duyduğum cümle:
“Emre Bey, benim dosyalarım açılsın da, virüsü yazan adama verdiğimiz para helal-i hoş olsun”
![Page 8: Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yöntemleri)](https://reader033.vdocuments.pub/reader033/viewer/2022052507/5584c4bdd8b42ae5138b46ea/html5/thumbnails/8.jpg)
www.zemana.com 8 / 31
Saldırı Çeşitleri• Dosyaları kısmi şifreleme,
• Tamamen şifreleme,
• Login ekranını şifreleme,
• İşletim sistemini tamamen şifreleme (BIOS Boot Locker).
![Page 9: Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yöntemleri)](https://reader033.vdocuments.pub/reader033/viewer/2022052507/5584c4bdd8b42ae5138b46ea/html5/thumbnails/9.jpg)
www.zemana.com 9 / 31
İş Modeli
Spam Mail
Dosyaları Şifrele
Not Bırak
Para para para
![Page 10: Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yöntemleri)](https://reader033.vdocuments.pub/reader033/viewer/2022052507/5584c4bdd8b42ae5138b46ea/html5/thumbnails/10.jpg)
www.zemana.com 10 / 31
İş Modeli
![Page 11: Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yöntemleri)](https://reader033.vdocuments.pub/reader033/viewer/2022052507/5584c4bdd8b42ae5138b46ea/html5/thumbnails/11.jpg)
www.zemana.com 11 / 31
Koskoca AntiVirüs• Malware analiz laboratuarı nedir?
• Packer nedir? Ne işe yarar?
• AV Bypass nedir? Nasıl yapılır?
• Katmanlı güvenlik ve önemi.
• Basit önlemler:– Dosya uzantılarını göster,
– Dosya türünü göster,
– Zoom trick,
– Virus Total Uploader.
![Page 12: Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yöntemleri)](https://reader033.vdocuments.pub/reader033/viewer/2022052507/5584c4bdd8b42ae5138b46ea/html5/thumbnails/12.jpg)
www.zemana.com 12 / 31
Semptomlar• Açılmayan faturalar,
• Yüksek bilet tutarları,
• Yazım hataları olan mailler,
• Papua Yeni Gine Prensi’nden gelen mektuplar,
• Klasör görünümlü dosyalar (eski XP klasörlerine benzer),
• Çirkin PDF ikonları,
• Onay ya da giriş isteyen sayfalar (captcha gibi güven verici).
![Page 13: Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yöntemleri)](https://reader033.vdocuments.pub/reader033/viewer/2022052507/5584c4bdd8b42ae5138b46ea/html5/thumbnails/13.jpg)
www.zemana.com 13 / 31
5 Dosya Gönderdim Geldi Mi?• Yaşanmış bir olay :
- 5 malware örneği gönderdim, geldi mi?
- Hmmmm, az önce geldi, 4 dosya 1 dizin.
- Ne dizini?
- Valla dizine tıkladım açılmadı.
- Aferin
![Page 14: Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yöntemleri)](https://reader033.vdocuments.pub/reader033/viewer/2022052507/5584c4bdd8b42ae5138b46ea/html5/thumbnails/14.jpg)
www.zemana.com 14 / 31
Dosya Yapısı• Her dosya !crypted! kelimesi ile başlıyor,
• Hemen arkasından bilgisayara ait unique id
geliyor,
• Dosyanın kalanında ise veri şifrelenmiş bir
şekilde tutuluyor,
• RSA 2048 ile şifrelendiği için brute force
saldırıları ile sonuç almak mümkün değil.
![Page 15: Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yöntemleri)](https://reader033.vdocuments.pub/reader033/viewer/2022052507/5584c4bdd8b42ae5138b46ea/html5/thumbnails/15.jpg)
www.zemana.com 15 / 31
Çözüm Sürecinde Yapılan Hatalar
• Anti virüs ile tarama yapmak ve zararlıyı silmek,
• Bilgisayarcı çağırmak
• Dosyaları bir bilgisayardan alarak başka bir bilgisayara kopyalamak (bedava decryption
denemeleri )
![Page 16: Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yöntemleri)](https://reader033.vdocuments.pub/reader033/viewer/2022052507/5584c4bdd8b42ae5138b46ea/html5/thumbnails/16.jpg)
www.zemana.com 16 / 31
Çözüm
• Harici bir boot disk ile sistemi başlatmak,
• Hardcoded şifre kullanan zararlıları reverse ederek şifreyi elde etmek,
• Brute force saldırısına açık dosyaları brute force ile kurtarmak,
• Known Plain Text Attack ile şifreyi elde etmek,
• Saldırgana fidye ödemek.
![Page 17: Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yöntemleri)](https://reader033.vdocuments.pub/reader033/viewer/2022052507/5584c4bdd8b42ae5138b46ea/html5/thumbnails/17.jpg)
www.zemana.com 17 / 31
Amatör Saldırganlar
• Şifreleme algoritmasını yanlış kullanmak,
• Üretilen rasgele sayıları sadece «Rakam» ile sınırlamak ve brute
force saldırısını mümkün kılmak.
![Page 18: Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yöntemleri)](https://reader033.vdocuments.pub/reader033/viewer/2022052507/5584c4bdd8b42ae5138b46ea/html5/thumbnails/18.jpg)
www.zemana.com 18 / 31
Fatmal
• Fatura Zararlısı,
• 3-4 aylık periyotlarla saldırılar düzenleyen bir çete,
• Genellikle aynı packerı kullanarak AV Bypass yapılıyor (Run PE),
• Genel olarak hedef kredi kartı ve kişisel veri hırsızlığı,
• Daha önce RDP açığı bulunan sistemlere yaptıkları saldırılarda
çok sayıda şirketi zarara uğrattılar.
![Page 19: Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yöntemleri)](https://reader033.vdocuments.pub/reader033/viewer/2022052507/5584c4bdd8b42ae5138b46ea/html5/thumbnails/19.jpg)
www.zemana.com 19 / 31
Run PE
• AV Bypass için gayet etkili bir yöntem,
• Hala bir çok antivirüs rahatlıkla bypass edilebiliyor,
• Manuel unpacking zaman alıcı.Orijinal Dosya
Kendini Tekrar Çalıştır
Unpackİşlemini
Gerçekleştir
Enfeksiyona Başla
![Page 20: Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yöntemleri)](https://reader033.vdocuments.pub/reader033/viewer/2022052507/5584c4bdd8b42ae5138b46ea/html5/thumbnails/20.jpg)
www.zemana.com 20 / 31
Run PE
Zararlı Dosya (Packed) Zararlı Dosya (Unpacked)
Şifreli Kısım Çalışabilir Kısım
![Page 21: Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yöntemleri)](https://reader033.vdocuments.pub/reader033/viewer/2022052507/5584c4bdd8b42ae5138b46ea/html5/thumbnails/21.jpg)
www.zemana.com 21 / 31
XOR Nedir?• Artı, eksi gibi bir operatör,
• Oyun programlama gibi alanlarda imleç görünürlüğü için kullanılır,
• Neredeyse bütün şifreleme algoritmalarının temelini oluşturur,
• Kullanımı çok basittir ve encrypted zararlıların neredeyse tamamında kullanılır.
A xor B = CB xor C = AA xor C = B
ise
![Page 22: Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yöntemleri)](https://reader033.vdocuments.pub/reader033/viewer/2022052507/5584c4bdd8b42ae5138b46ea/html5/thumbnails/22.jpg)
www.zemana.com 22 / 31
Initialization Vector ve AES• Her blok (CBC) bir önceki blok ile XOR’lanır. Zincirleme kelimesinin buradan gelmektedir.,
• İlk blok için IV kullanılarak sanki bir önceki blokmuş gibi işleme sokulur,
• Normal XOR’un aksine, şifrelenen dosyada aynı olan blokların farklı şifrelenmesine olanak
sağlar,
• Genellikle kullanılan şifrenin uzunluğunda olur,
• Kullanılmaz ise şifreyi known plain text attack ile elde şansınız yüksektir.
![Page 23: Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yöntemleri)](https://reader033.vdocuments.pub/reader033/viewer/2022052507/5584c4bdd8b42ae5138b46ea/html5/thumbnails/23.jpg)
www.zemana.com 23 / 31
CBC ve IV
![Page 24: Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yöntemleri)](https://reader033.vdocuments.pub/reader033/viewer/2022052507/5584c4bdd8b42ae5138b46ea/html5/thumbnails/24.jpg)
www.zemana.com 24 / 31
2 MB limiti• Hız kazanmak için her dosyanın ilk 2 MB’lık kısmı şifrelenir,
• Dosyanın başlık kısmı dahil ilk 2 MB’ı bozulduğu için dosya açılamaz,
• Şifreleme algoritması düzgün kullanıldığında gayet efektiftir.
![Page 25: Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yöntemleri)](https://reader033.vdocuments.pub/reader033/viewer/2022052507/5584c4bdd8b42ae5138b46ea/html5/thumbnails/25.jpg)
www.zemana.com 25 / 31
Dosyayı Çalıştıralım
![Page 26: Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yöntemleri)](https://reader033.vdocuments.pub/reader033/viewer/2022052507/5584c4bdd8b42ae5138b46ea/html5/thumbnails/26.jpg)
www.zemana.com 26 / 31
Şifreleme Algoritması• Dosyalar AES ile şifrelenmiş ve anahtar rasgele üretiliyor,
• Rasgele üretilen anahtar ise RSA 2048 ile şifrelenerek kullanıcıya gösteriliyor,
• AES’de kullanılan mode’un CTR modu olduğunu kodu reverse ederek anlıyoruz,
• Tüm dosyalarda kullanılan IV sabit ise tüm dosyalar çözülebilir.
![Page 27: Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yöntemleri)](https://reader033.vdocuments.pub/reader033/viewer/2022052507/5584c4bdd8b42ae5138b46ea/html5/thumbnails/27.jpg)
www.zemana.com 27 / 31
CTR Mode
![Page 28: Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yöntemleri)](https://reader033.vdocuments.pub/reader033/viewer/2022052507/5584c4bdd8b42ae5138b46ea/html5/thumbnails/28.jpg)
www.zemana.com 28 / 31
Zemana Fatmal Decryptor
![Page 29: Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yöntemleri)](https://reader033.vdocuments.pub/reader033/viewer/2022052507/5584c4bdd8b42ae5138b46ea/html5/thumbnails/29.jpg)
www.zemana.com 29 / 31
Zemana Fatmal Decryptor
• Şifre : Vahşi Yaşam
![Page 30: Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yöntemleri)](https://reader033.vdocuments.pub/reader033/viewer/2022052507/5584c4bdd8b42ae5138b46ea/html5/thumbnails/30.jpg)
www.zemana.com 30 / 31
Zemana Fatmal Decryptor
XOR = XOR Cipher(2MB Boyutunda)
![Page 31: Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yöntemleri)](https://reader033.vdocuments.pub/reader033/viewer/2022052507/5584c4bdd8b42ae5138b46ea/html5/thumbnails/31.jpg)
www.zemana.com 31 / 31
Teşekkürler