Dikkat: Router'ınız Ele Geçirilmiş Olabilir!

Türkiye de router ile bulaşan zararlı yazılımın kurbanları arasında.

Dikkat: Router'ınız ele geçirilmiş olabilir!

Slingshot operasyonu, araştırmacıların yazılan karakterleri kaydeden şüpheli bir programı fark edip, kodun başka bir yerde kullanılıp kullanılmadığını görmek için davranışsal tespit işareti oluşturmasının ardından keşfedildi. Bu yöntemin kullanılmasıyla, sistem klasöründe scesrv.dll adlı şüpheli bir dosyanın yer aldığı bir bilgisayar tespit edildi. Araştırmacılar incelemeyi derinleştirmeye karar verdiler. Dosya analiz edildiğinde, yasal gibi gözükse de aslında scesrv.dll modülünde zararlı kodlar bulunduğu görüldü. Bu arşiv, sistem ayrıcalıklarına sahip 'services.exe' ile birlikte yüklendiğinden aynı yetkileri elde ediyordu. Araştırmacılar bu sayede çok gelişmiş bir saldırganın, bilgisayarların en temel merkezine girebildiğini anladılar.

Slingshot'ın en çok dikkat çeken özelliği, pek de yaygın olmayan saldırı yöntemlerini kullanması. Araştırmacılar daha fazla kurban keşfettikçe, çoğunda yazılımın ele geçirilmiş router'lardan bulaştığını gördüler. Slingshot'ın arkasındaki grubun saldırı sırasında router'ları ele geçirip, içine zararlı bir dinamik bağlantı arşivi yerleştirdiği belirlendi. Bu arşiv aslında diğer zararlı bileşenlerin indirilmesini sağlıyordu. Bir sistem yöneticisi router'ı yapılandırmak için giriş yaptığında, router'ın yönetim yazılımı zararlı modülü sistem yöneticisinin bilgisayarına indirip çalıştırıyor. Router'ların nasıl ele geçirildiği ise henüz bilinmiyor.

Bulaşmasının ardından, Slingshot kurbanın cihazına çok sayıda modül yüklüyor. Bunlar arasında iki adet çok büyük ve güçlü modül bulunuyor: Cahnadr ve GollumApp. Bağlı bu iki modül; bilgi toplama, süreklilik ve dışarı veri sızdırma konularında birbirine destek oluyor.

Slingshot'ın siber casusluk amacıyla kullanıldığı düşünülüyor. Yapılan analizlerde yazılımın; ekran görüntüleri, klavye verileri, ağ verileri, parolalar, USB bağlantıları, diğer masaüstü aktiviteleri ve pano verilerini toplayabildiği anlaşıldı. Zaten yazılımın kernel erişiminin olması istediği her şeyi çalabileceği anlamına geliyor.

Bu gelişmiş kalıcı tehdit, tespit edilmesini önlemek için de bazı yöntemler kullanıyor. Bunların arasında modüllerdeki tüm dizileri şifreleme, güvenlik ürünlerinden kaçınmak için doğrudan sistem servislerini çağırma, hata ayıklamaya karşı teknikler kullanma ve çalışan güvenlik çözümü süreçlerine göre hangi süreçleri etkileyeceğini belirleme gibi yöntemler yer alıyor.

Pasif bir arka kapı şekline çalışan Slingshot'ta kodlanmış bir komut ve kontrol adresi bulunmuyor. Ancak bu adresi, kernel modundaki tüm ağ paketlerinin arasına girip başlıkta kodlanmış iki adet sihirli sabit olmadığını kontrol ederek operatörden alıyor. Başlıkta iki adet sihirli sabitin yer alması o pakette komut ve kontrol adresi olduğu anlamına geliyor. Daha sonra Slingshot, komut ve kontrol adresiyle şifreli bir iletişim kanalı kuruyor ve çaldığı verileri bunun üzerinden aktarmaya başlıyor.

Araştırmacıların incelediği örneklerin 'sürüm 6.x' olarak işaretlenmiş olması, tehdidin çok uzun bir süredir kullanıldığını ortaya koyuyor. Slingshot'ın karmaşık araçlarını geliştirmek için gereken zaman, beceri ve paranın çok yüksek olduğu tahmin ediliyor. Tümü bu ipuçları bir araya getirildiğinde, Slingshot'ın arkasındaki grubun organize, profesyonel ve muhtemelen devlet destekli bir grup olduğu düşünülebilir. Kodlardaki metinler, grubun İngilizce konuşan kişilerden oluşabileceğini gösteriyor. Ancak bu gibi durumlarda doğru tahmin yapmak ve kişileri tam olarak belirlemek imkânsız olmasa bile epey zor, manipülasyona ve hataya açık oluyor.

Kasperky Lab Zararlı Yazılım Baş Analisti Alexey Shulmin, "Slingshot, bugüne kadar yalnızca en gelişmiş saldırılarda gördüğümüz kernel modu modülleri gibi birçok araç ve yöntem kullanan oldukça karmaşık bir tehdit. Yazılımın sahip olduğu işlevler saldırganlar için çok değerli. Bu da Slingshot'ın neden yaklaşık altı yıldır kullanıldığını açıklayabilir" dedi.

Kaspersky Lab'in tüm ürünleri bu tehdidi tespit edip engelleyebiliyor. Kaspersky Lab araştırmacıları bu tür bir saldırıdan etkilenmemek için şunları öneriyor:

  • Mikrotik router'larını kullananlar, bilinen açıklardan korunmak için en kısa sürede yazılımlarını son sürüme yükseltmeli.Ek olarak, Mikrotik Winbox artık router'dan kullanıcı bilgisayarına hiçbir şey indirilmesine izin vermiyor.
  • Kaspersky Anti Targeted Attack Platform ve Tehdit İstihbaratı Hizmetleri gibi kanıtlanmış kurumsal sınıf güvenlik çözümleri kullanın.
  • Kaspersky Threat Management and Defence çözümü gibi, hedefli saldırıları önleyen teknolojilere ve tehdit istihbaratı özelliğine sahip kurumsal düzeyde bir güvenlik çözümü kullanın. Bu çözümler, ağdaki anormallikleri analiz edip siber güvenlik ekiplerinin tüm ağı görebilmesini ve otomatik tepki vermesini sağlayarak gelişmiş hedefli saldırıları yakalayabiliyor.
  • Güvenlik ekiplerinin en son tehdit istihbaratı verilerine erişmesini sağlayın. Bu sayede, hedefli saldırıları önlemeleri için sızma belirtileri (IOC), YARA ve özel gelişmiş tehdit raporlaması gibi faydalı araçlara sahip olabilirler.

BASIN BÜLTENİNDEN DERLENMİŞTİR

Okuyucu Yorumları

Toplam 2 Yorum

Scesrv.dll Windows'larda olan bir dosyadır. Korkmanıza gerek yok ama burada bahsedilen scesrv.dll yabancı bir dosyadır...

sorunun kimlere risk oluşturduğu meçhul...

Sen de yorum yaz

 



CHIP'i Takip edin
E-Posta listemize katılın
CHIP Dergi Mobil Cihazınızda
Apple Store
Google Play

Turhost

İlginizi çekebilir

Turhost