tasnİf diŞi zararlı yazılım analiz raporu - stm.com.tr (1).pdf · Ödeme yöntemi : dash...
TRANSCRIPT
TASNİF DIŞI Zararlı Yazılım Analiz
Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 28 Ocak 2019 Rapor No: ZF2019-06-001
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
ZARARLI YAZILIM ANALİZ RAPORU (28 Ocak 2019)
Dünya genelinde zararlı faaliyet gösterdiği tespit edilen Anatova isimli zararlı yazılım
kampanyası ile ilgili STM Siber Füzyon Merkezi tarafından inceleme gerçekleştirilmiştir. Mcafee tarafından tespit edilen zararlı yazılım üzerinde yapılan inceleme neticesinde yazılımın bir fidyecilik zararlısı olduğu tespit edilmiştir.
Zararlı yazılımın son bir hafta içerisinde yaygın olarak kullanıldığı görülmüştür.
Zararlı Yazılım : Anatova Tehdit Altındaki Ülkeler : Türkiye
İsveç Hollanda İtalya Rusya Birleşik Krallık Fransa Almanya Belçika Amerika Birleşik Devletleri
Zararlı Yazılım Kategorisi : Ransomware Ödeme Yöntemi : DASH Kripto Para Birimi
Anatova Ransomware, bilgisayar üzerinde oyun oynayan kişileri, gamerları ve genel olarak son
kullanıcıları hedef alan kötücül bir yazılımdır. Anatova son kullanıcının zararlı uygulamayı çalıştırabilmesi için bir oyun ya da popüler bir uygulamanın simgesini kullanmaktadır.
Siber saldırganlar, kötü amaçlı yazılımlarını çalıştırabilmek için son kullanıcıları ikna edecek bir yol
geliştirebilmektedir. Anatova, çevrimiçi olarak birden fazla farklı türde tehdit olarak yayılabilecek bir potansiyele sahiptir.
Anatova, ele geçirdiği bilgisayarda (veya bağlı ağ paylaşımlarındaki) önce olabildiğince fazla dosyayı
şifrelemektedir. Mağdurlar diğer ransomware saldırılarında olduğu gibi kripto para birimi olarak ödeme yapmaya zorlanmaktadır. Anatova zararlısı ödeme yöntemi olarak Dash kriptopara birimini
TASNİF DIŞI Zararlı Yazılım Analiz
Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 28 Ocak 2019 Rapor No: ZF2019-06-001
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
kullanmaktadır. Karşılaşılan örneklerde zararlı yazılımın ödeme için 10 Dash yani 700 USD talep ettiği gözlemlenmiştir.
Şekil 1 Mcafee tarafından hazırlanan anatova grafiği.
Anatova zararlı yazılımının aşağıda yer alan dil seçeneğini kullanan ülkelerde zararlı yazılımın çalışmadığı anlaşılmıştır.
Şekil 2 Dil tercihi kontrolü
TASNİF DIŞI Zararlı Yazılım Analiz
Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 28 Ocak 2019 Rapor No: ZF2019-06-001
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Dosyaları şifreleme işlemi bittikten sonra ise son kullanıcıya ait aşağıda yer alan “Ransom Note” oluşturulur.
Teknik göstergeler incelendiği zaman ; * API İle yürütme * Çalışan Uygulama Keşfi * Dosya ve Dizin Keşfi ( Şifreleme İçin ) * Dosyaları Şifreleme * Yeni Dizin Oluşturma * Zararlı çoğaltma işlemlerini yaptığı görülmüştür. Zararlı yazılımın davranış biçimleri incelendiğinde “GandCrab ve Crysis” isimli zararlı yazılımlarla benzerlik gösterdiği anlaşılmıştır.
TASNİF DIŞI Zararlı Yazılım Analiz
Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 28 Ocak 2019 Rapor No: ZF2019-06-001
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Malware Information Sharing Platform1 ve örnek zararlı yazılımlardan elde edilen hashler aşağıda bilginize sunulmuştur.
Kategori Tip Değer Kaynak Seviye Olay Tarihi
Payload delivery
md5 2a0da563f5b88c4d630aefbcd212a35e NCSC-NL Medium 23.01.2019
Payload delivery
md5 366770ebfd096b69e5017a3e33577a94 NCSC-NL Medium 23.01.2019
Payload delivery
md5 9d844d5480eec1715b18e3f6472618aa NCSC-NL Medium 23.01.2019
Payload delivery
md5 61139db0bbe4937cd1afc0b818049891 NCSC-NL Medium 23.01.2019
Payload delivery
md5 596ebe227dcd03863e0a740b6c605924 NCSC-NL Medium 23.01.2019
Farklı kaynaklardan elde edilen özet bilgileri de aşağıdaki tabloda yer verilmektedir.
Özet Değeri Tipi
200800368f75146320545095661fed0c3e75d025 Hash/SHA-1
37fadc40d6dc787cb13ef11663a9bc97c79b8f48 Hash/SHA-1
711f9985ba5a1933351f017022c3ed9ec92cb6da Hash/SHA-1
9ccc09beca90983815c63bed939673b2d421fc2c Hash/SHA-1
fec79b74bb6cc4ddf0bf0655a9ef73b0aff09bbc Hash/SHA-1
170fb7438316f7335f34fa1a431afc1676a786f1ad9dee63d78c3f5efd3a0ac0 Hash/SHA-256
75371ff38823885b47aa21d2883792a5470e9bf1f3d2dc93f512725f35491820 Hash/SHA-256
97fb79ca6fc5d24384bf5ae3d01bf5e77f1d2c0716968681e79c097a7d95fb93 Hash/SHA-256
ab8a76b64448b943dc96a3e993b6e6b37af27c93738d27ffd1f4c9f96a1b7e69 Hash/SHA-256
bd422f912affcf6d0830c13834251634c8b55b5a161c1084deae1f9b5d6830ce Hash/SHA-256
CallofCthulhu.exe isimli dosya üzerinden yapılan incelemenin ekran görüntüsüne aşağıda yer verilmiştir.
1 MISP, Zararlı Yazılım Bilgi Paylaşım Forumu.
TASNİF DIŞI Zararlı Yazılım Analiz
Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 28 Ocak 2019 Rapor No: ZF2019-06-001
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Yukarıda yer alan ekran görüntüsünde .exe uygulamasının popüler olan bir oyunun logosunu
kullandığı görülmektedir. Uygulamanın çalıştırılmasının ardından windows varsayılan ayarlarından
kaynaklanan güvenilir olmayan uygulama uyarısı ile karşılaşılmaktadır.
TASNİF DIŞI Zararlı Yazılım Analiz
Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 28 Ocak 2019 Rapor No: ZF2019-06-001
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Uygulamaya Izin verilmesi ile birlikte şifreleme işlemi başlayarak bilgisayarda bulunan dosyalar ve dizinler şifrelenmektedir.
SONUÇ
Raporda bahsedilen risk unsurları göz önünde bulundurulduğunda, ülkemize yönelik bir kampanyaya dönüştürülme ihtimali bulunan bir zararlı yazılım söz konusudur. Dolayısıyla kurum, kuruluş ve şirketlerin siber güvenlik risk seviyesinin artmakta olduğu değerlendirilmektedir. Bu bağlamda, farklı saldırı kampanyalarında ele geçirilmiş olan e-posta adreslerine ait şifrelerin değiştirilmesi, yeni şifre politikalarının oluşturulması, aynı şifrelerin birden fazla platformda kullanılmaması, kurumsal e-posta adreslerinin iş amacı dışında kullanılmaması tavsiye edilmektedir. Bunlara ek olarak dışarıya açık servislerin daha sıkı güvenlik mekanizmaları ile kontrol altına alınmasının ve SSL yapılandırılmalarının yapılmasının gerektiği değerlendirilmektedir. Bilinen tehditlere karşı alınacak güvenlik önlemlerine ek olarak, “Siber Tehdit İstihbaratı” hizmet desteği ile olası tehditleri önceden tespit etmek ve güvenlik zincirini kuvvetlendirmek mümkündür.
Sonuç olarak, siber güvenlik faaliyetlerinde yapılan planlamaların klasik sistem izleme/takip yöntemleri ile sınırlı kalmaması gerektiğini, alınacak aksiyonların çeşitli “Siber Tehdit İstihbaratı” kaynak ve yetenekleri ile zenginleştirilmesinin gerektiği değerlendirmektedir. Böylece siber güvenlik faaliyetleri anlık durum takibinden öte, gelecekte oluşacak saldırıları tespit etme kabiliyeti kazanacak ve gerekli önlemlerin en doğru zamanda alınması sağlanarak siber güvenlik seviyesini daha üst düzeye taşınmasına katkıda bulunacaktır.
TASNİF DIŞI Zararlı Yazılım Analiz
Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih : 28 Ocak 2019 Rapor No: ZF2019-06-001
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2019. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Referanslar :
S.N. Kaynak
1 https://www.zdnet.com/article/new-ransomware-poses-as-games-and-software-to-trick-you-into-downloading-it/
2 https://www.hybrid-analysis.com/sample/97fb79ca6fc5d24384bf5ae3d01bf5e77f1d2c0716968681e79c097a7d95fb93?environmentId=120
3 https://id-ransomware.blogspot.com/2019/01/anatova-ransomware.html
4 https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/happy-new-year-2019-anatova-is-here/
5 https://mmgp.ru/showthread.php?t=616686
6 https://www.hackeye.net/threatintelligence/18818.aspx
7 https://siliconangle.com/2019/01/22/new-anatova-ransomware-family-dubbed-serious-threat-security-researchers/