• Anasayfa  • Künye  • Kurumsal  • Reklam  • Üyelik  • Arşiv  • Kariyer  • Site Haritası  RSS 
YAZARLAR  |  GÜNCEL  |  GÖRÜNTÜLÜ  |  ÖZEL  |  TİCARET SOHBETLERİ  |  FİNANS  |  İHALELER  |  TİCARET BORSALARI  |  RESMİ GAZETE

Truva Atı SynAck’in yeni yöntemlerle saldırıyor

11 Mayıs 2018 Cuma 09:00
12
14
16
18

Truva Atı SynAck’in yeni yöntemlerle saldırıyor

           HABER MERKEZİ     
     Kaspersky Lab araştırmacıları SynAck fidye yazılımının yeni bir sürümünü keşfetti. Yeni sürüm, yasal işlemlerin içine gizlenerek anti-virüs güvenliğini aşmak için Doppelgänging adlı yöntemi kullanıyor. Doppelgänging yönteminin fidye yazılımlarda kullanıldığı ilk kez görülüyor. SynAck yazılımını geliştirenler tespit edilmekten ve analizden kaçınmak için başka yöntemler de kullanıyor. Bunlar arasında, örnek derlemenin öncesinde tüm zararlı kodları gizlemek ve eleme yöntemi kullanıldığı anlaşıldığında çıkmak gibi teknikler yer alıyor.

     2017 Sonbaharı’ndan beri bilinen ve Aralık ayında genellikle İngilizce konuşan kullanıcıları hedef aldığı gözlenen SynAck fidye yazılımı, uzak masaüstü protokolü kaba kuvvet saldırısının ardından zararlı yazılımın manuel olarak indirilip kurulmasıyla çalışıyor. Kaspersky Lab araştırmacılarının keşfettiği yeni sürüm çok daha gelişmiş bir yaklaşımla, tespit edilmekten kaçınmak için Process Doppelgänging adı verilen bir yöntem kullanıyor.

     Aralık 2017’de rapor edilen Process Doppelgänging yönteminde, Windows’un dahili bir işlevinden ve Windows işlem yükleyicisinin belgelenmemiş bir uygulama şeklinden yararlanan dosyasız bir kod bulaştırılıyor. Windows’un dosya işlemlerini yapma şeklini manipüle eden saldırganlar, zararlı işlemleri bilinen zararlı kodlar barındırsalar da zararsız ve yasal süreçler gibi gösterebiliyor. Doppelgänging yönteminde geride takip edilebilecek bir iz kalmıyor. Bu nedenle bu tür bir saldırıyı tespit etmek çok zor. Bu yöntemin fidye yazılımlarında kullanılmasına ilk kez rastlanıyor.

     SynAck yazılımının yeni sürümünde dikkat çeken diğer özellikler arasında şunlar yer alıyor:
     • Bu Truva Atı, yürütülebilir kodunu derlemeden önce gizliyor. Diğer fidye yazılımlarda görülen kodun paket haline getirilmesi yönteminin aksine bu yöntem sayesinde araştırmacıların zararlı kodu analiz edip ters mühendislik uygulaması zorlaşıyor.
     • Gerekli API işlevine bağlantıları da gizleyen yazılım, karma kodları gerçek diziler yerine başka dizilerde saklıyor.
     • Truva Atı kurulduktan sonra yürütülebilir dosyasının çalıştığı dizini inceliyor. ‘Doğru olmayan’ bir dizinden başlatılmaya çalışıldığını tespit ederse çıkıyor. Böylece otomatik bir eleme yönteminden kaçınıyor.
     • Zararlı yazılım, hedef bilgisayarda Kiril alfabesine ayarlı bir klavye tespit ederse de başlamadan çıkıyor.
     • SynAck hedef cihazdaki dosyaları şifrelemeden önce, çalışan tüm işlemlerin ve hizmetlerin karma kodlarını kendi gömülü listesiyle karşılaştırıyor. Bir eşleşme tespit ederse o işlemi durdurmaya çalışıyor. Bu yolla durdurulan işlemler arasında sanal makineler, ofis uygulamalar, kod çeviriciler, veri tabanı uygulamaları, yedekleme sistemleri, oyun uygulamaları ve daha fazlası yer alıyor. Çalışan işlemlerle bağlantısı bulunan değerli dosyalar böylece daha kolay ele geçirilebiliyor.

     Araştırmacılar SynAck’in yeni sürümüyle hedefli saldırılar düzenlendiğine inanıyor. Bugüne kadar ABD, Kuveyt, Almanya ve İran’da sınırlı sayıda saldırı tespit edildi. Saldırılarda 3000 ABD doları fidye talep ediliyor.
     Kaspersky Lab Zararlı Yazılım Baş Analisti Anton Ivanov, “Siber dünyada saldırganlar ve savunanlar arasında bitmek bilmez bir yarış var. Process Doppelgänging yöntemiyle en yeni güvenlik önlemlerini aşma becerisi önemli bir tehdit oluşturuyor. Saldırganlar bu yöntemi hızla benimsedi.  Araştırmalarımız, düşük profilli bir hedefli fidye yazılımı olan SynAck’in bu yöntemle gizliliğini ve bulaşma yeteneğini nasıl artırdığını ortaya koydu. Neyse ki bu fidye yazılımı tespit etmek için gereken mantığı, yazılım ortaya çıkmadan önce uygulamıştık.” dedi.

     Kaspersky Lab, SynAck fidye yazılımının bu sürümünü şu isimlerle tespit ediyor:
     Trojan-Ransom.Win32.Agent.abwa
     Trojan-Ransom.Win32.Agent.abwb
     PDM:Trojan.Win32.Generic

     Kaspersky Lab kullanıcıları ve cihazları bu fidye yazılımından korumak için şunların yapılmasını tavsiye ediyor:
     • Verilerinizi düzenli olarak güncelleyin.
     • Davranış tespiti yapabilen ve zararlı faaliyetleri başa döndürebilen güvenilir bir güvenlik çözümü kullanın.
     • Kullandığınız tüm cihazlardaki yazılımları güncelleyin.
     • Bir şirket sahibiyseniz çalışanlarınızı ve BT ekiplerinizi eğitin, hassas verileri kısıtlı erişimle ayrı bir yerde tutun. Kaspersky Endpoint Security for Business gibi bu amaç için özel geliştirilmiş bir güvenlik çözümü kullanın.  
     • Bir şifreleyici kurbanı olursanız panik yapmayın. Temiz bir sistemden No More Ransom adlı sitemizi kontrol edin. Burada dosyalarınızı geri almanızı sağlayacak bir şifre çözücü bulmanız mümün.

SynAck’in sahte yeni sürümü hakkında daha fazlasını öğrenmek için Securelist.com adresindeki blog yazımızı okuyabilirsiniz.

 


+ Benzer Haberler
» Yapı ruhsatlarında sert düşüş
» 16 bin 733 genç çiftçiye 503 milyon TL hibe
» Egeli ihracatçı kendi evinde Eximbank kredisine kavuşacak
» ASELSAN’dan 30 Katlı KATMER
» Dolar rekora doymuyor: 4.66/TL
» Vodafone Akıllı Köy’de hayvancılık gelirleri arttı
» Bosch’tan sahurlara lezzet katan sağlıklı çözümler
» ING bank’tan 3 ay ertelemeli bayram kredisi
» Alpet, Üretici Kart ile çiftçinin yanında
» Türkiye, Dünya’nın en büyük 8. süt üreticisi


ÇOK OKUNANLAR
bu hafta | bu ay
Foto/Video Galeri
  Ticaret 23.05.2018
  Ticaret 22.05.2018
  Ticaret 21.05.2018
  Ticaret 19.05.2018
  Ticaret 18.05.2018
  Ticaret 17.05.2018
Para Piyasaları
Hava Durumu
Takvim
Üye Giriş
E-Posta :
Şifre :
Beni Hatırla
     
      Üye Olmak İstiyorum
      Şifremi Unuttum
Bu sitenin tüm hakları saklıdır Ticaret Gazetesi    rt.moc.isetezagteracit @ ofni