Undertaker
New member
Şirket açıklamasına göre, Kaspersky araştırmacıları, Windows, Mac OS, Linux ve yükleyicileri için FinSpy casus yazılımlarına yapılan son güncellemeler hakkında kapsamlı bir araştırma yayımladı. Tamamlanması 8 ay süren araştırma, casus yazılımın geliştiricileri tarafınca kullanılan dört katmanlı gizleme ve gelişmiş anti-analiz tedbirlerinin yanı sıra kurbanlara virüs bulaştırmak için bir UEFI ön yükleme kitinin kullanıldığını ortaya çıkardı. Bulgular, FinFisher’ın bugüne kadar tespit edilmesi en güç casus yazılımlardan biri olduğunu ve savunmadan kaçınmaya büyük değer verildiğini gösteriyor.
FinSpy yahut Wingbird olarak da bilinen FinFisher, Kaspersky’nin 2011’den beri takip ettiği bir nezaret aracı. Araç çeşitli kimlik ayrıntılarının, belge listelerinin ve silinen evrakların yanı sıra çeşitli dokümanları toplama, canlı akışla data kaydetme, web kamerası ve mikrofona erişim sağlama yeteneğine sahip. Windows implantları, FinFisher’ın radarın altına girdiği 2018 yılına kadar birkaç sefer tespit edildi ve müşahede altına alındı.
Kaspersky tahlilleri TeamViewer, VLC Media Player ve WinRAR üzere yasal uygulamaların makûs maksatlı kod içeren ve rastgele bir makus emelli yazılıma bağlanamayan kuşkulu yükleyicilerini tespit etti.
KENDİNİ EĞİTEN YAZILIM
Casus yazılım virüslü uygulamada evvelki sürümlerin bilakis iki yeni bileşen tarafınca korunuyordu (kalıcı olmayan ön doğrulayıcı ve son doğrulayıcı). Birinci bileşen, bulaştığı aygıtın bir güvenlik araştırmacısına ilişkin olmadığından emin olmak için birden çok güvenlik kontrolü gerçekleştiriyor. Kod inançta olduğundan emin olunca sunucu tarafında Post-Validator bileşeni devreye giriyor ve tam teşekküllü Truva atı platformunun dağıtımını üstleniyor.
FinFisher, 4 adet özel üretim karmaşık “obfuscator” ile büyük ölçüde karıştırılan bir örnek. Bu gizlemenin birincil fonksiyonu casus yazılım tahlilini yavaşlatmak. Truva atı ayrıyeten bilgi toplamak için tuhaf yollara başvuruyor. Örneğin, bir HTTPS protokolüyle korunan trafiği engellemek için tarayıcılardaki geliştirici modundan yararlanıyor.
Araştırmacılar ayrıyeten, Windows UEFI ön yükleyicisinin yerini alan bir FinFisher örneği keşfetti. Bu bileşen, sistem açıldıktan daha sonra berbat emelli bileşenle bir arada işletim sistemini başlatıyor. Bu bulaşma yolu, saldırganların üretici yazılımı güvenlik denetimlerini atlamalarına gerek kalmadan bir ön yükleme seti çalıştırmalarına imkan sağlıyor. UEFI enfeksiyonları ender ve çoklukla yürütülmesi sıkıntı olurken, güzel saklanmaları ve temizlenmelerinin güç oluşuyla öne çıkıyorlar. Bu örnekte saldırganlar UEFI eser yazılımının kendisine değil, bir daha sonraki ön yükleme kademesine bulaştıysa da makus emelli modül başka bir kısma kurulduğundan ve virüslü makinenin ön yükleme sürecini denetim edebildiğinden taarruz gizlenmeyi başarıyordu.
GÜNCELLEMELERİ YAPMAYI UNUTMAYIN
Açıklamada görüşlerine yer verilen Kaspersky GReAT Global Araştırma ve Tahlil Grubu Baş Güvenlik Araştırmacısı Igor Kuznetsov, FinFisher’ı güvenlik araştırmacıları için erişilebilir kılmak ismine yapılan çalışmaların büyüklüğünün etkileyici ve telaş verici olduğunu belirterek, şunları kaydetti:
“Görünüşe göre geliştiriciler, en az Truva atının kendisi kadar şaşırtma ve tahlil aykırısı tedbirlere dikkat etmişler. Sonuç olarak algılama ve tahlilden kaçabilme yetenekleri, casus yazılımın izlenmesini ve tespit edilmesini bilhassa zorlaştırıyor. Casus yazılımın yüksek hassasiyetle konuşlandırılmasının ve tahlil edilmesinin pratikte imkansız olması, kurbanlarının savunmasız olduğu ve araştırmacıların özel bir zorlukla karşı karşıya kaldığı manasına geliyor. Her bir örneği çözmek için fazlaca büyük ölçüde kaynak ayırmak gerekiyor. FinFisher üzere karmaşık tehditlerin güvenlik araştırmacılarının iş birliği yapmasının, bilgi alışverişinde bulunmasının ve bu çeşit tehditlerle uğraş edebilecek yeni güvenlik tahlillerine yatırım yapmasının kıymetini gösterdiğine inanıyorum.”
Kaspersky, FinFisher üzere tehditlerden korumak için şunları öneriyor:
“Uygulamalarınızı ve programlarınızı muteber web sitelerinden indirin. İşletim sisteminizi ve tüm yazılımlarınızı sistemli olarak güncellemeyi unutmayın. Biroldukca güvenlik sorunu yazılımların güncellenmiş sürümleri yüklenerek çözülebilir. E-posta eklerine güvenmeyin. Bir eki açmak yahut bir ilişkiyi takip etmek için tıklamadan evvel dikkatlice düşünün. Gerçekte nereye gittiklerini görmek için irtibatların ve eklerin üzerine gelip bekleyin. Bilinmeyen kaynaklardan yazılım yüklemekten kaçının. Makûs maksatlı evraklar içerebilirler. Tüm bilgisayarlarda ve taşınabilir aygıtlarda, Kaspersky Internet Security for Android veya Kaspersky Total Security üzere kuvvetli bir güvenlik tahlili kullanın.”
Kuruluşların korunması için ise Kaspersky şunları öneriyor:
“Kurumsal olmayan yazılım kullanması için bir siyaset oluşturun. Güvenilmeyen kaynaklardan yetkisiz uygulama indirmenin riskleri konusunda çalışanlarınızı eğitin. Maksatlı akınların birçok kimlik avı yahut başka toplumsal mühendislik teknikleriyle başladığından, işçinize temel siber güvenlik hijyen eğitimi verin.
Anti-APT ve EDR tahlillerini kurun. Tehdit keşfi ve tespiti, soruşturma ve olayların vaktinde düzeltilmesi özelliklerini aktifleştirin. SOC takımınızın en son tehdit istihbaratına erişimini sağlayın ve profesyonel eğitimlerle sistemli olarak marifetlerini yükseltin. Üsttekilerin tümü Kaspersky Expert Security çerçevesi altında mevcuttur. Uygun uç nokta muhafazasının yanı sıra, özel hizmetler yüksek profilli akınlara karşı yardımcı olabilir. Kaspersky Managed Detection and Response hizmeti, saldırganlar amaçlarına ulaşmadan atakların erken etapta belirlenmesine ve durdurulmasına yardımcı olur.”
KAYNAK: AA
FinSpy yahut Wingbird olarak da bilinen FinFisher, Kaspersky’nin 2011’den beri takip ettiği bir nezaret aracı. Araç çeşitli kimlik ayrıntılarının, belge listelerinin ve silinen evrakların yanı sıra çeşitli dokümanları toplama, canlı akışla data kaydetme, web kamerası ve mikrofona erişim sağlama yeteneğine sahip. Windows implantları, FinFisher’ın radarın altına girdiği 2018 yılına kadar birkaç sefer tespit edildi ve müşahede altına alındı.
Kaspersky tahlilleri TeamViewer, VLC Media Player ve WinRAR üzere yasal uygulamaların makûs maksatlı kod içeren ve rastgele bir makus emelli yazılıma bağlanamayan kuşkulu yükleyicilerini tespit etti.
KENDİNİ EĞİTEN YAZILIM
Casus yazılım virüslü uygulamada evvelki sürümlerin bilakis iki yeni bileşen tarafınca korunuyordu (kalıcı olmayan ön doğrulayıcı ve son doğrulayıcı). Birinci bileşen, bulaştığı aygıtın bir güvenlik araştırmacısına ilişkin olmadığından emin olmak için birden çok güvenlik kontrolü gerçekleştiriyor. Kod inançta olduğundan emin olunca sunucu tarafında Post-Validator bileşeni devreye giriyor ve tam teşekküllü Truva atı platformunun dağıtımını üstleniyor.
FinFisher, 4 adet özel üretim karmaşık “obfuscator” ile büyük ölçüde karıştırılan bir örnek. Bu gizlemenin birincil fonksiyonu casus yazılım tahlilini yavaşlatmak. Truva atı ayrıyeten bilgi toplamak için tuhaf yollara başvuruyor. Örneğin, bir HTTPS protokolüyle korunan trafiği engellemek için tarayıcılardaki geliştirici modundan yararlanıyor.
Araştırmacılar ayrıyeten, Windows UEFI ön yükleyicisinin yerini alan bir FinFisher örneği keşfetti. Bu bileşen, sistem açıldıktan daha sonra berbat emelli bileşenle bir arada işletim sistemini başlatıyor. Bu bulaşma yolu, saldırganların üretici yazılımı güvenlik denetimlerini atlamalarına gerek kalmadan bir ön yükleme seti çalıştırmalarına imkan sağlıyor. UEFI enfeksiyonları ender ve çoklukla yürütülmesi sıkıntı olurken, güzel saklanmaları ve temizlenmelerinin güç oluşuyla öne çıkıyorlar. Bu örnekte saldırganlar UEFI eser yazılımının kendisine değil, bir daha sonraki ön yükleme kademesine bulaştıysa da makus emelli modül başka bir kısma kurulduğundan ve virüslü makinenin ön yükleme sürecini denetim edebildiğinden taarruz gizlenmeyi başarıyordu.
GÜNCELLEMELERİ YAPMAYI UNUTMAYIN
Açıklamada görüşlerine yer verilen Kaspersky GReAT Global Araştırma ve Tahlil Grubu Baş Güvenlik Araştırmacısı Igor Kuznetsov, FinFisher’ı güvenlik araştırmacıları için erişilebilir kılmak ismine yapılan çalışmaların büyüklüğünün etkileyici ve telaş verici olduğunu belirterek, şunları kaydetti:
“Görünüşe göre geliştiriciler, en az Truva atının kendisi kadar şaşırtma ve tahlil aykırısı tedbirlere dikkat etmişler. Sonuç olarak algılama ve tahlilden kaçabilme yetenekleri, casus yazılımın izlenmesini ve tespit edilmesini bilhassa zorlaştırıyor. Casus yazılımın yüksek hassasiyetle konuşlandırılmasının ve tahlil edilmesinin pratikte imkansız olması, kurbanlarının savunmasız olduğu ve araştırmacıların özel bir zorlukla karşı karşıya kaldığı manasına geliyor. Her bir örneği çözmek için fazlaca büyük ölçüde kaynak ayırmak gerekiyor. FinFisher üzere karmaşık tehditlerin güvenlik araştırmacılarının iş birliği yapmasının, bilgi alışverişinde bulunmasının ve bu çeşit tehditlerle uğraş edebilecek yeni güvenlik tahlillerine yatırım yapmasının kıymetini gösterdiğine inanıyorum.”
Kaspersky, FinFisher üzere tehditlerden korumak için şunları öneriyor:
“Uygulamalarınızı ve programlarınızı muteber web sitelerinden indirin. İşletim sisteminizi ve tüm yazılımlarınızı sistemli olarak güncellemeyi unutmayın. Biroldukca güvenlik sorunu yazılımların güncellenmiş sürümleri yüklenerek çözülebilir. E-posta eklerine güvenmeyin. Bir eki açmak yahut bir ilişkiyi takip etmek için tıklamadan evvel dikkatlice düşünün. Gerçekte nereye gittiklerini görmek için irtibatların ve eklerin üzerine gelip bekleyin. Bilinmeyen kaynaklardan yazılım yüklemekten kaçının. Makûs maksatlı evraklar içerebilirler. Tüm bilgisayarlarda ve taşınabilir aygıtlarda, Kaspersky Internet Security for Android veya Kaspersky Total Security üzere kuvvetli bir güvenlik tahlili kullanın.”
Kuruluşların korunması için ise Kaspersky şunları öneriyor:
“Kurumsal olmayan yazılım kullanması için bir siyaset oluşturun. Güvenilmeyen kaynaklardan yetkisiz uygulama indirmenin riskleri konusunda çalışanlarınızı eğitin. Maksatlı akınların birçok kimlik avı yahut başka toplumsal mühendislik teknikleriyle başladığından, işçinize temel siber güvenlik hijyen eğitimi verin.
Anti-APT ve EDR tahlillerini kurun. Tehdit keşfi ve tespiti, soruşturma ve olayların vaktinde düzeltilmesi özelliklerini aktifleştirin. SOC takımınızın en son tehdit istihbaratına erişimini sağlayın ve profesyonel eğitimlerle sistemli olarak marifetlerini yükseltin. Üsttekilerin tümü Kaspersky Expert Security çerçevesi altında mevcuttur. Uygun uç nokta muhafazasının yanı sıra, özel hizmetler yüksek profilli akınlara karşı yardımcı olabilir. Kaspersky Managed Detection and Response hizmeti, saldırganlar amaçlarına ulaşmadan atakların erken etapta belirlenmesine ve durdurulmasına yardımcı olur.”
KAYNAK: AA