12/01/16
1
TÜBİTAKBİLGEMSiberGüvenlikEns7tüsü
WindowsTemelliZararlıYazılımlarlaMücadele
ZararlıYazılımAnalizveMücadeleMerkezi
• Zararlıyazılımlarnedenolduklarıekonomikzararlarnedeniyleönemlibirproblemdir.
• SadeceABD’dezararlıyazılımlarsonucundaoluşanfinansalkayıpmilyardolarlarseviyesindedir.
• BununyanındaaskerivepoliGkamaçlardoğrultusundaülkelertaraKndankullanımıyaygınlaşmaktadır.
• 2015verilerinebakıldığında«bulaşmaoranının»yükseldiğigörülmektedir.
Giriş
2
12/01/16
2
3
• Güvenliktekienzayıfhalka:kullanıcı!
• Önemliolanzararlıyazılımınbulaşmasınınengellenmesi
• ZararlıyazılımlarınnasılbulaşWğınınbilinmesietkilimücadeleiçinönemli
Mücadele
4
12/01/16
3
BulaşmaYöntemleri
• OltalamaSaldırıları(Phishing)§ E-postailezararlıyazılımgönderme
§ DoğrudanEXEdosyasıveyaZIPdosyası
§ E-postailezararlıyazılımbağlanWsı(link)gönderme
SosyalMühendislik
6
12/01/16
4
SosyalMühendislik
ExploitKullananOfisDokümanıGönderme
• ÇeşitliGpteofisdokümanlarıgönderilebilir– Doc,Xls,Xlsx,Pdf
• Ofisuygulamalarıkarmaşıkuygulamalardır– Çoksayıdaaçıklıkmevcut
7
SosyalMühendislik
WebSitesindenDosyaİndirtme• E-PostaiçerisindezararlıyazılımıiçerenwebsitesinebağlanWdaolabilir.
8
12/01/16
5
AçıklıkyerineuygulamalardakimakroözelliğikullanılarakdazararlıyazılımbulaşWrılabilmektedir.
MakroÖzelliğininKullanılması
9
Cryptolocker(TorrentLocker)
10
12/01/16
6
Cryptolocker(TorrentLocker)
11
• Sosyalmedyaortamlarıüzerindendezararlıyazılımlarbulaşabilmektedir– Kilim,Survivorzararlıyazılımları
SosyalMedya
12
https://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/kilim-zararli-yazilimi.html
https://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/survivor-zararli-yazilim-analizi.html
12/01/16
7
• Dosyapaylaşımı,linkpaylaşımısağlayanherhangibirortamzararlıyazılımlarındağıWlmasıiçinkullanılabilir.– Skype,IRC
DiğerOrtamlar
13
• WebtarayıcıveyaeklenGlerindekiaçıklıklarıkullananwebsitelerinekullanıcınınyönlendirilmesi
• Genellikleexploitkitadıverilentopluaçıklıkkütüphanelerikullanılır– SweetOrange– Angler– Magnitude– …
• Exploitkitlerintemelde3fonksiyonubulunmaktadır– Hedefsisteminaçıklığınıtarar– BulduğuaçıklarıisGsmareder– ZararlıkoduçalışWrarakhedef(ler)inigerçekleşGrir
İs7smarKoduKullananWebSitesiİçeriğiSunma
14
12/01/16
8
İs7smarKoduKullananWebSitesiİçeriğiSunma
15https://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-evolution-of-exploit-kits.pdf
WaterholingSaldırısı
Waterholing
• Webtabanlısaldırınınbellibir
kullanıcıgrubunuhedefalan
şekli.
• Hedefkullanıcıgrubununziyaret
etmeihGmalininyüksekolduğu
birsiteyezararlıyazılımveya
exploitkitkonur
• Hazırwebsitelerihacklenebilir.
• Sırfbuişiçinözelwebsitesi
oluşturulabilir.
16
12/01/16
9
USBBellekGüvenliği
Autorun
• AutorunyeniWindowsişleGm
sistemlerindekapalıgeliyor.
• KlasörgörünümlüçalışWrılabilir
dosyaiçerebilirler
• BedavadağıWlanUSBBellekler
zararlıyazılımiçerebilir.– ÜreGmsırasındaUSB’ye
bulaşma– ÖzelüreGlmiş
17
İndirilenDosyalarınGüvenliği
İndirilenDosyalarınGüvenliği
• ArayagirerekdosyadeğişGrmekmümkün.
• TorçıkışdüğümlerindedosyalarındeğişGrilmesimümkünve
praGkuygulamalarmevcut
18
12/01/16
10
DışarıAçıkServislerinGüvenliği
DışarıAçıkServislerinGüvenliği
• Uygulamalardakiaçıklıklar
• Zayıfparolalar– UzakmasaüstübağlanWsı
• İçağdayayılma
19
GüvenilirOlmayanYazılımKaynakları
GüvenilirOlmayanYazılımKaynakları
• Crackprogramları,warezsiteleri
• Bindernedir?
• Yazılımkaynaklarınasızılması
• ÜreGcilertaraKndanyüklenen
zararlıyazılımlar– Lenovo:Superfish
• htps://support.lenovo.com/de/de/
product_security/superfish
20
12/01/16
11
ZararlıYazılımlarınTemizlenmesi
ZararlıYazılımlarınTemizlenmesi
ZararlıYazılımlarınTemizlenmesi
• Dosyasistemindenvekayıtdeverindensilme.
• Zararlıyazılımlarınproseslerinivethreadlerinidurdurduktansonra
sonlandırılmasıvesonratemizlikyapılması.
22
12/01/16
12
ZararlıYazılımlarınTemizlenmesi
KalıcılığınTespi7• Autoruns
23
ZararlıYazılımlarınTemizlenmesi
Örnek:KilimZararlıYazılımınıTespit
• Sistemebulaşıpbulaşmadığınıanlamakiçinenbasityöntem"C:
\ProgramData\VideoPlayer"klasörününvealWndabulunandosyalarının
varolupolmadığınabakmakWr.
24
12/01/16
13
ZararlıYazılımlarınTemizlenmesi
KilimZararlıYazılımınıTemizleme
• Chromeveyandextarayıcılarıkaldırılmalı,
• "C:\ProgramData\VideoPlayer"klasörüsistemdensilinmeli,
• KayıtdeverindenaltakisaWrlartemizlenmelidir.
25
Teşekkürler
