Yorum: #1
11-26-2010, 21:01
(Son Düzenleme: 11-26-2010, 21:04, Düzenleyen: rootmaster.)
Müşterilerinden gelen ihbarlar nedeniyle bankalar geçtiğimiz haftaya hızlı başladılar. Özellikle Salı gününe MIB (Man in the mobile) saldırısı gerçekleştirebilen Zeus trojanı damgasını vurdu. Yaklaşık 1 ay önce Netsec’in 35. sayısında bu trojana değinmiş ve yakın zamanda bu yöntemi kullanan trojanlar ile karşılaşabileceğimizi belirtmiştim ki çok geçmeden Türkiye’deki bazı bankaları hedef alarak ortaya çıkıverdi.
Gelen ihbarların çoğu bankaların internet bankacılığı giriş sayfasında şüpheli bir pencerenin açıldığı, TCKN ve cep telefonu bilgilerinin istendiği yönünde oldu. Daha sonra gelen ihbarlar ise cep telefonuna bir sms gönderildiği ve mesajda bir adresin yer aldığı ve bu adresteki zararlı yazılımı kuran kişilerin internet bankacılığına girişte ve bankacılık işlemlerinde kullanmış oldukları SMS kodlarının çalındığı yönünde oldu. İlk başta işin içinde tek bir trojanın olduğunu düşünülsede çok geçmeden farklı kaynaklardan toplanan bilgiler bir araya getirilerek iki farklı trojanın olduğu ortaya çıktı.
Trojanlardan biri, kullanıcının, trojanın üzerinde tanımlı olan PTT (interaktif posta çeki sayfası), Paypal, bir hacking forumu ve 19 tane bankaya ait olan internet bankacılığı sayfalarından bir tanesine girmesi durumunda kullanıcı adı ve şifresini çalıyor, ekran görüntülerini diske kayıt ediyor ve eğer ziyaret edilen site bu 19 bankadan bir tanesinin internet bankacılığı sitesi ise ilave olarak yeni bir pencere açarak TCKN ve cep telefonu bilgilerini alıyor ve bir ftp sunucusuna gönderiyor diğeri ise, nam-ı diğer Zeus, internet bankacılığı kullanıcı adı ve şifresini çalmakla yetinmeyip kullanıcıdan cep telefonu numarası, cep telefonu marka ve model bilgilerinide isteyerek cep telefonuna zararlı bir yazılım, trojan göndererek cep telefonuna gelen SMS’leri çalıyordu.
TCKN ve cep telefonu bilgisi toplayan trojan, e-posta yolu ile yayılıyor ve bilgi güvenliğinin en zayıf halkası olan insanı istismar ediyordu.
Rar dosyası açıldığında içinden video.haberturk.com adında bir dosya çıkıyordu. 2 Kasım tarihinde dosyayı VirusTotal sitesinde tarattığımda sadece 5 tane antivirüs (DrWeb, Sunbelt, Panda, Kaspersky, Prevx), 3 Kasım tarihinde tarattığımda ise 6 tane antivirüs (DrWeb, Sunbelt, Panda, Kaspersky, Prev, NOD32) bunu zararlı yazılım olarak tespit ediyordu. (Şu an itibariyle ise sadece 9 tane antivirüs (DrWeb, Sunbelt, Panda, Kaspersky, McAfee, McAfee-GW-Edition, Fortinet, AntiVir, NOD32) bu dosyayı tanıyor.)
TCKN ve cep telefonu bilgisi toplayan trojana ait dosyaları statik olarak analiz ettiğimde;
* Video.haberturk.com dosyasının Delphi programlama dili ile programlandığını,
* Son olarak 1 Kasım tarihinde değiştirildiğini,
*
sunucusuna (ftp şifresi değiştiği ve my3gb yöneticileri tarafından hesap silindiği için sunucu adını ifşa ediyorum) bağlanma ihtimali olduğunu,
* Kayıt altına alınan ve sunucuya gönderilen dosyaların başkaları tarafından çalınmaması adına ftp kullanıcı adı, şifre, port ve bazı bilgileri şifreleyerek sakladığını söyleyebilirim.
Dinamik olarak analiz ettiğimde ise;
* Çalıştırılır çalıştırılmaz windows\system32 klasörü altında javascheds.exe adında bir dosya, windows\system32\drivers klasörü altında ise ie_plugin.exe adında başka bir dosya oluşturduğunu,
* Windows\system32\drivers klasörü altında security adında gizli bir klasör oluşturarak içine 19 tane bankanın logosunu resim dosyası olarak kayıt ettiğini,
* Tuş kayıt bilgilerini C:\WINDOWS\system32\wins\syskl32.sys dosyasına kayıt ettiğini,
* İnternet bankacılığına giriş esnasında aldığı ekran görüntülerini C:\WINDOWS\system32\wins\setup klasörü altına kayıt ettiğini,
* ie_plugin.exe dosyasının UPX ile paketlenmiş olduğunu,
* DDE yöntemi ile bu 19 bankaya ait internet bankacılığı adreslerini izlediğini ve bu adreslere girilmesi durumunda TCKN ve cep telefonu bilgisi toplayan ve ilgili bankanın logosunu içeren bir pencere oluşturduğunu, tuş kaydı yaptığını ve ekran görüntüsü aldığını
* Güvenlik kalkanı ve güvenli girişi devre dışı bıraktığını,
* Sadece internet explorer ve firefox internet tarayıcılarını desteklediğini,
* Kayıt altına aldığı ekran görüntülerini ve tuş kayıtlarını
sunucusuna göndermeye çalıştığını (ftp şifresi değiştiği ve my3gb yöneticileri tarafından hesap silindiği için sunucu adını ifşa ediyorum),
* TCKN bilgisi aldığı ekranda tckn algoritmasından faydalanarak doğrulama yaptığını ve hatalı tckn girilmesi durumunda hata mesajı çıkarttığını,
* Startup klasörüne SunJavaUpdateSched kısayolu oluşturduğunu,
* Trojan’da bug olduğunu, firefox.exe dosyasını ortam değişkenlerinden (environment variable) PATH değişkeninde yer alan tüm klasörlerde teker teker aradığını fakat hiç bir zaman bulamayacağını çünkü firefox’un kurulum esnasında klasör bilgisini PATH değişkenine eklemediğini, sürekli arama işlemi gerçekleştirmesi nedeniyle yüksek CPU tüketimine yol açtığını :p
* Bankalara ilave olarak PTT, Paypal ve bir hacking forumuna giriş esnasında ekran görüntüleri aldığını,
bilgilerini söyleyebilirim...
Efsane Zeus trojan'ına gelecek olursam elimde analiz edebilecek bir numune olmadığı için duyduklarımı ve gördüklerimi sizinle paylaşabilirim.
Yer gök Stuxnet diye inlerken Eylül ayının sonuna doğru çeşitli haber sitelerinde Zeus trojanının mobil cihazlara saldıran sürümünün ortaya çıktığı yer aldı fakat Stuxnet’in gölgesinde kaldığı için çok fazla yankı bulmadı. Halbuki sıradan bir vatandaşın sistemine Zeus trojanının bulaşma ihtimalinin ve etkisinin çok daha yüksek olduğu düşünüldüğünde Zeus’un bu yeni sürümü ile ilgili haberlerin farkındalığı arttırması adına daha fazla gündeme gelmesini temenni ederdim.
Bilmeyenler için kısaca açıklamak gerekirse Zeus, ilk defa 2007 yılının Temmuz ayında keşfedilmiş, tuş kayıt özelliği ile birincil amacı aktif olduğu sistem üzerindeki internet bankacılığı giriş bilgilerini çalan ve art niyetli kişi tarafından uzaktaki bir merkezden (web sitesi) yönetilebilen ve şifreli haberleşebilen bir trojandır.
Zeus trojanı tüm dünyadaki dolandırıcılık şebekeleri tarafından aktif olarak kullanılmaktadır. Bunun en büyük nedenlerinden biri kolay oluşturulabilir, güncellenebilir ve yönetilebilir olmasıdır.
Zeus’un en tehlikeli özelliklerinden bir tanesi man in the browser/web page injection yapabilmesidir. Bu özellik sayesinde gün aşırı ziyaret ettiğiniz bir internet bankacılığı sistemi her defasında sisteme girebilmeniz için sizden kullanıcı adı ve şifrenizi girmenizi isterken sisteminize Zeus trojanı bulaşmış ise başka bir gün bu bilgilere ilave olarak bankamatik kartı PIN bilginizide isteyebilir. Kısaca sunucudan gelen orjinal formu (kullanıcı adı ve şifre kutucukları) değiştirerek buna ilave olarak çalmak istediği bilgileride yazarak sizi kandırmaya çalışır ve bu bilgileri girmeniz durumunda tüm bu bilgiler şifrelenerek art niyetliyi kişiye gönderilir.
Günümüzde artık tüm bankalar, internet bankacılığı girişlerinde iki faktörlü doğrulama yaptığı (token, sms kodu vb.) ve parasal işlemlerde doğrulama kodu (token, sms kodu vb.) kullandığı için Zeus’un sadece internet bankacılığı girişinde kullanılan kullanıcı adını ve şifresini çalması fayda etmemektedir. Bunu gören art niyetli kişiler çok geçmeden Zeus trojanını geliştirerek token ve sms kodu çalan sürümlerini piyasaya sundular. (Event-based tokenlar yıllardır phishing saldırılarına açık olduğu ve kolaylıkla toplanabildiği için trojanın yeni sürümleri time-based token ve sms kodlarını almaya yönelik oldu.)
SMS kodu çalabilen yeni sürüm Zeus trojanı bu defa sizden örnek olarak bankamatik kartınızın PIN bilgisini istemek yerine cep telefonu modelinizi ve cep telefonu numaranızı istiyor ve daha sonra cep telefonunuza (şimdilik Nokia ve Blackberry cihazları destekleniyor) bir bağlantı adresi (link) göndererek cep telefonunuza bir uygulama yüklemenizi istiyor ve sonrasında size gelen tüm smsler bu cep telefonununuzda çalışmaya başlayan bu trojan tarafından art niyetli kişiye gönderilerek görevini yerine getirmiş oluyor.
Dolandırıcıların sms kodunu aşmak yerine başvurduğu sahte kimlik ile yeni sim kart çıkartma yöntemi ilerleyen zamanlarında yerini man in the mobile yöntemine bırakacak gibi görünüyor, dikkatli olmakta fayda var.
Güvenli günler dileriz,
Kaynak:http://www.mertsarica.com/
Mert Sarıca
Gelen ihbarların çoğu bankaların internet bankacılığı giriş sayfasında şüpheli bir pencerenin açıldığı, TCKN ve cep telefonu bilgilerinin istendiği yönünde oldu. Daha sonra gelen ihbarlar ise cep telefonuna bir sms gönderildiği ve mesajda bir adresin yer aldığı ve bu adresteki zararlı yazılımı kuran kişilerin internet bankacılığına girişte ve bankacılık işlemlerinde kullanmış oldukları SMS kodlarının çalındığı yönünde oldu. İlk başta işin içinde tek bir trojanın olduğunu düşünülsede çok geçmeden farklı kaynaklardan toplanan bilgiler bir araya getirilerek iki farklı trojanın olduğu ortaya çıktı.
Trojanlardan biri, kullanıcının, trojanın üzerinde tanımlı olan PTT (interaktif posta çeki sayfası), Paypal, bir hacking forumu ve 19 tane bankaya ait olan internet bankacılığı sayfalarından bir tanesine girmesi durumunda kullanıcı adı ve şifresini çalıyor, ekran görüntülerini diske kayıt ediyor ve eğer ziyaret edilen site bu 19 bankadan bir tanesinin internet bankacılığı sitesi ise ilave olarak yeni bir pencere açarak TCKN ve cep telefonu bilgilerini alıyor ve bir ftp sunucusuna gönderiyor diğeri ise, nam-ı diğer Zeus, internet bankacılığı kullanıcı adı ve şifresini çalmakla yetinmeyip kullanıcıdan cep telefonu numarası, cep telefonu marka ve model bilgilerinide isteyerek cep telefonuna zararlı bir yazılım, trojan göndererek cep telefonuna gelen SMS’leri çalıyordu.
TCKN ve cep telefonu bilgisi toplayan trojan, e-posta yolu ile yayılıyor ve bilgi güvenliğinin en zayıf halkası olan insanı istismar ediyordu.
Rar dosyası açıldığında içinden video.haberturk.com adında bir dosya çıkıyordu. 2 Kasım tarihinde dosyayı VirusTotal sitesinde tarattığımda sadece 5 tane antivirüs (DrWeb, Sunbelt, Panda, Kaspersky, Prevx), 3 Kasım tarihinde tarattığımda ise 6 tane antivirüs (DrWeb, Sunbelt, Panda, Kaspersky, Prev, NOD32) bunu zararlı yazılım olarak tespit ediyordu. (Şu an itibariyle ise sadece 9 tane antivirüs (DrWeb, Sunbelt, Panda, Kaspersky, McAfee, McAfee-GW-Edition, Fortinet, AntiVir, NOD32) bu dosyayı tanıyor.)
TCKN ve cep telefonu bilgisi toplayan trojana ait dosyaları statik olarak analiz ettiğimde;
* Video.haberturk.com dosyasının Delphi programlama dili ile programlandığını,
* Son olarak 1 Kasım tarihinde değiştirildiğini,
*
Kod:
ftp.my3gb.com* Kayıt altına alınan ve sunucuya gönderilen dosyaların başkaları tarafından çalınmaması adına ftp kullanıcı adı, şifre, port ve bazı bilgileri şifreleyerek sakladığını söyleyebilirim.
Dinamik olarak analiz ettiğimde ise;
* Çalıştırılır çalıştırılmaz windows\system32 klasörü altında javascheds.exe adında bir dosya, windows\system32\drivers klasörü altında ise ie_plugin.exe adında başka bir dosya oluşturduğunu,
* Windows\system32\drivers klasörü altında security adında gizli bir klasör oluşturarak içine 19 tane bankanın logosunu resim dosyası olarak kayıt ettiğini,
* Tuş kayıt bilgilerini C:\WINDOWS\system32\wins\syskl32.sys dosyasına kayıt ettiğini,
* İnternet bankacılığına giriş esnasında aldığı ekran görüntülerini C:\WINDOWS\system32\wins\setup klasörü altına kayıt ettiğini,
* ie_plugin.exe dosyasının UPX ile paketlenmiş olduğunu,
* DDE yöntemi ile bu 19 bankaya ait internet bankacılığı adreslerini izlediğini ve bu adreslere girilmesi durumunda TCKN ve cep telefonu bilgisi toplayan ve ilgili bankanın logosunu içeren bir pencere oluşturduğunu, tuş kaydı yaptığını ve ekran görüntüsü aldığını
* Güvenlik kalkanı ve güvenli girişi devre dışı bıraktığını,
* Sadece internet explorer ve firefox internet tarayıcılarını desteklediğini,
* Kayıt altına aldığı ekran görüntülerini ve tuş kayıtlarını
Kod:
ftp.my3gb.com* TCKN bilgisi aldığı ekranda tckn algoritmasından faydalanarak doğrulama yaptığını ve hatalı tckn girilmesi durumunda hata mesajı çıkarttığını,
* Startup klasörüne SunJavaUpdateSched kısayolu oluşturduğunu,
* Trojan’da bug olduğunu, firefox.exe dosyasını ortam değişkenlerinden (environment variable) PATH değişkeninde yer alan tüm klasörlerde teker teker aradığını fakat hiç bir zaman bulamayacağını çünkü firefox’un kurulum esnasında klasör bilgisini PATH değişkenine eklemediğini, sürekli arama işlemi gerçekleştirmesi nedeniyle yüksek CPU tüketimine yol açtığını :p
* Bankalara ilave olarak PTT, Paypal ve bir hacking forumuna giriş esnasında ekran görüntüleri aldığını,
bilgilerini söyleyebilirim...
Efsane Zeus trojan'ına gelecek olursam elimde analiz edebilecek bir numune olmadığı için duyduklarımı ve gördüklerimi sizinle paylaşabilirim.
Yer gök Stuxnet diye inlerken Eylül ayının sonuna doğru çeşitli haber sitelerinde Zeus trojanının mobil cihazlara saldıran sürümünün ortaya çıktığı yer aldı fakat Stuxnet’in gölgesinde kaldığı için çok fazla yankı bulmadı. Halbuki sıradan bir vatandaşın sistemine Zeus trojanının bulaşma ihtimalinin ve etkisinin çok daha yüksek olduğu düşünüldüğünde Zeus’un bu yeni sürümü ile ilgili haberlerin farkındalığı arttırması adına daha fazla gündeme gelmesini temenni ederdim.
Bilmeyenler için kısaca açıklamak gerekirse Zeus, ilk defa 2007 yılının Temmuz ayında keşfedilmiş, tuş kayıt özelliği ile birincil amacı aktif olduğu sistem üzerindeki internet bankacılığı giriş bilgilerini çalan ve art niyetli kişi tarafından uzaktaki bir merkezden (web sitesi) yönetilebilen ve şifreli haberleşebilen bir trojandır.
Zeus trojanı tüm dünyadaki dolandırıcılık şebekeleri tarafından aktif olarak kullanılmaktadır. Bunun en büyük nedenlerinden biri kolay oluşturulabilir, güncellenebilir ve yönetilebilir olmasıdır.
Zeus’un en tehlikeli özelliklerinden bir tanesi man in the browser/web page injection yapabilmesidir. Bu özellik sayesinde gün aşırı ziyaret ettiğiniz bir internet bankacılığı sistemi her defasında sisteme girebilmeniz için sizden kullanıcı adı ve şifrenizi girmenizi isterken sisteminize Zeus trojanı bulaşmış ise başka bir gün bu bilgilere ilave olarak bankamatik kartı PIN bilginizide isteyebilir. Kısaca sunucudan gelen orjinal formu (kullanıcı adı ve şifre kutucukları) değiştirerek buna ilave olarak çalmak istediği bilgileride yazarak sizi kandırmaya çalışır ve bu bilgileri girmeniz durumunda tüm bu bilgiler şifrelenerek art niyetliyi kişiye gönderilir.
Günümüzde artık tüm bankalar, internet bankacılığı girişlerinde iki faktörlü doğrulama yaptığı (token, sms kodu vb.) ve parasal işlemlerde doğrulama kodu (token, sms kodu vb.) kullandığı için Zeus’un sadece internet bankacılığı girişinde kullanılan kullanıcı adını ve şifresini çalması fayda etmemektedir. Bunu gören art niyetli kişiler çok geçmeden Zeus trojanını geliştirerek token ve sms kodu çalan sürümlerini piyasaya sundular. (Event-based tokenlar yıllardır phishing saldırılarına açık olduğu ve kolaylıkla toplanabildiği için trojanın yeni sürümleri time-based token ve sms kodlarını almaya yönelik oldu.)
SMS kodu çalabilen yeni sürüm Zeus trojanı bu defa sizden örnek olarak bankamatik kartınızın PIN bilgisini istemek yerine cep telefonu modelinizi ve cep telefonu numaranızı istiyor ve daha sonra cep telefonunuza (şimdilik Nokia ve Blackberry cihazları destekleniyor) bir bağlantı adresi (link) göndererek cep telefonunuza bir uygulama yüklemenizi istiyor ve sonrasında size gelen tüm smsler bu cep telefonununuzda çalışmaya başlayan bu trojan tarafından art niyetli kişiye gönderilerek görevini yerine getirmiş oluyor.
Dolandırıcıların sms kodunu aşmak yerine başvurduğu sahte kimlik ile yeni sim kart çıkartma yöntemi ilerleyen zamanlarında yerini man in the mobile yöntemine bırakacak gibi görünüyor, dikkatli olmakta fayda var.
Güvenli günler dileriz,
Kaynak:http://www.mertsarica.com/
Mert Sarıca
Etiketler
Direk Link
HTML Link
BBCode Link
Sosyal Paylaş