Güvenlik tehditleri (Haber-Araştırma)

EKİM AYI İLK 10 TEHDİT RAPORU

Eset tarafından oluşturulan ThreatSense.net’in raporuna göre Ekim ayı boyunca en çok rastlanan tehditlerin başında % 5.73 bulunma oranı ile Win32/PSW.Agent.NDP tehditi geliyor.

Agent.NDP birinciliğe yerleşti,
Eset, ekim ayı boyunca tehdit tesbitlerinin % 5.73’üne yakınını Win32/PSW.Agent.NDP tehditi olarak buldu. Bu bir truva atıdır, birçok kaynaktan parolaları çalıp bu bilgileri uzak kötü niyetli kullanıcılara gönderir. Bu şekilde bir kimlik hırsızlığı, diğer kötü niyetli işlemleri yapmak için bilinen bir yöntemdir.

INF Autorun ikinciliğe yerleşti,
Ekim ayı boyunca % 3. 45’lik bir bulunma oranı ile INF Autorun ikinciliğe yerleşti. Bu tehdit, autorun.inf dosyası kullanan tehditlerin bir çeşididir. Autorun.inf dosyası takılıp çıkarılabilen disklerin bilgisayara takıldığı zaman çalışacak programların bilgilerini içerir. Autorun.inf dosyasını kuran veya değiştiren bu virüsler, Esed tarafından INF/Autorun olarak bulunur. Usb bellekler ile bulaşan ve yayılan bu virüslerin çoğunluğu INF/Autorun olarak tesbit edilmiştir.

Ani.gen üçüncü sırada kaldı.
Üçüncü tehdit olarak Win32/TrojanDownloader.Ani.gen tehditini bulduk, bu tehdit, windowa ani. Uzantılı dosyaların (imlece animasyon ekleyen dosyalardır) kullanılması ile meydana gelen sistem açığını kullanmak için tasarlanmıştır. Microsoft’un internet explorer tarayıcısını kullananları etkileyen bu açığın alelacele yaması çıkarıldı. Firefox’tada bu açığın mevcut olduğu ama bu browser’i kullananlara yönelik herhangi bir ani. Saldırısı tesbit edilmediği bildirildi.

Virtumonde dördüncülükte kaldı,
Win32 Adware.Virtumonde, tehdit raporuna göre dördüncü sırada yer aldı. Çok fazla zararlı bir tehdit olmasa da potansiyel olarak istenmeyen bir uygulamadır, kullanıcının bilgisayarında girilen tüm siteleri tesbit ederek bu sitelere uygun reklamların gösterilmesine neden olur.

Agent.BCK beşinciliği aldı,
Ekim tehdit raporunda beşinciliği Win32 Agent.BCK aldı, bu tehdit, botnetler yaratmak için kullanılır, parolaları çalar, backdoor ve keylogger özellikleri yerleştirir.

Virtumonde.FP altıncılığa yerleşti,
Daha sonra, Win32/Adware.Virtumonde.FP tehditi altıncı sıraya yerleşir, bu tehdit, Virtumonde ailesinin bir üyesidir.

Agent yedinci sıraya geriledi,
Win32/Agent, yedinci sıradan bulduğumuz bir tehdittir. “Ajan” ismi, trojan özelliklerine sahip olan geniş bir malware sahasına verilen isimdir.
Bu dosyalar merkezi bir emir ve komuta merkezine arkadan bağlanabilir yada kurbanın sisteminde bir arka kapı açabilir.

Sonda kalanlar,
Ekim ayının ilk 10 tehditinin en alt sıralarında Win32/RJump.A, IRC/SDBot ve Win32/Adware.Agent tehditleri bulunmuştur. Bu tehditler % 1.12 ile % 1.07 arasında değişen bulunma oranları ile bu konuma yerleşmişlerdir.

Eset’in sahip olduğu ThreatSense.Net ile dünya çapında yayın,
Güncel olarak, yaygın çoğu malware’nin farklı birçok özelliği ve yetenekleri mevcuttur ve çoğunlukla her tipin birkaç değişkeni mevcuttur. Bundan dolayı kullandığınız antivirüs yazılımının sık sık güncelleme özelliğinin mevcut olması ve proactive bulma özelliğine sahip olması önemlidir (Antivirüs yazılımlarının sezgisel tanıma motoru (heuristic engine) diyebileceğimiz program modülleri ile, virüs v.b. zararlılar, onlar hakkında kesin bir kanıt veya saptanmalarını sağlayan net ve kesin bilgiler olmadığı halde (-ki, bunlara virüs güncellemeleri ile elde edilen virüs tanıma "signature" kayıtları veya imzaları diyoruz-) hareket biçimleri ve yapılarından yola çıkarak virus v.b. olabileceklerinden şüphelenip engellenebilmektedirler. Bu özellik, her geçen gün hızla sayısı ve çeşidi artan virüs, worm, trojan ve spy v.b. gibi zararlıları tesbit edip engellemek için çok daha önemli olmaya başlamıştır. Yani klasik yöntemlerle virüs güncellemesi yaparak, virüsün farkına varmak yerine, zararlı kodun daha önceden tesbit edilebilmesi yakın gelecekte çok daha önemli hale gelecektir.) Eset firmasının NOD32 antivirüsü bu koruma özelliklerine sahiptir.
ThreatSense.Net, dünya üzerinde milyonlarca müşterisinin bilgisayarından bulunan verilerle en detaylı olarak malware özelliklerini anlatan bir ağdır.
Orijinal bir iddia olarak, http://www.virusradar.com sistemi ile ThreatSense istatistiksel verileri düzenli bir şekilde toplamak için geliştirdi. Email mesajlarını temel alarak virüs radarı ile malware tehditleri hakkında bilgileri ve kullanıcı sistemlerine olan saldırıları ele alarak o malware’nin dünya üzerinde yayılma istatistiklerini alır.
Güncel veriler, 10 milyondan fazla sistemden toplanır ve bu şekilde 10.000 den fazla tehdit ve malware izlenmiş oldu.

Güle Güle Seoul !!

30 Kasım 2007
Bu seneki Association of Antivirus Asia Research (AVAR) konferansı, Seoul, Kore’de yapıldı. 2 günlük takdimler ve tartışmaların sonunda bu akşam sona erdi.
Konferans özellikle Asya kıtasını hedef alan saldırılar hakkında daha fazla bilgi almak için güzel bir fırsattı. Öğrendiğimiz online oynanan oyunlarla bilgilerinin çalınmasının dünyanın bu kısmında yaygın olduğunu ve birçok uzman yanlızca bu tür eğlencelerin popularitesinin yaygınlaşması ile en kötü tehdit olacağını kabul ettiler. Ve botnet operasyonu üzerine bir sunumda vardı ve sakinleştirme Korean Information Security Agency (KISA).’den Dong-Ryun Lee tarafından Kore’den geldi.
Eugene Kaspersky ve Vincent Weafer beraberce, sunumlarında malware’deki siber suçların yükselişine dikkat çektiler. ESET’in, konferansta büyük bir etkinliği vardı. Andrew Lee ve David Harley, antivirus testi sunarak, test organizasyonları için şeffaflık ve titiz metodoloji için gereklilikleri belirttiler. Randy Abrams, deneysel çalışmaları anlatan bir sunum verdi. Randy, çok iyi bir konuşmacı ve teknik adamları ve geniş dinleyici kitlesini eğlendirerek ve konuyla ilgili örneklerle bir sunum yaparak herkesin dikkatini çekebildi.
Bütünüyle bu konferans bilgilendiriciydi ve alışıldığı gibi, birçok araştırmacı ile tanışmak için iyi bir fısattı. Ama benim düşünceme göre konuşmalar biraz daha teknik olabilirdi.

PaChat, Kanada’da saldırıyı hedefledi

Geçen haftanın sonunda, yeni hedeflenen bir saldırıdan haberdar edildik. Sosyal mühendislik yöntemi ve malware yapısı ve çokbilmişliği ile dikkatimizi çeken saldırı, Kanada ‘daki bir şirketteki bir yöneticiye dayalı bir e-mail mesajı göndererek gelir. Mesajı güvenilir yapan kurbana sokak adresi, telefon numarası ve tam adıyla hitap etmesidir. Bu e-posta kanada hükümetine davacı olmayı ve ekteki dosyayı indirip PDF uzantılı dosyayı doldurmanızı rica eder.
Eğer alıcı bağlantıya tıklarsa, PDF ikonu şeklinde ve alıcının ismi ile aynı adlı bir dosya olarak download edilir.



Dosya çalıştırıldığı anda bağlantı kurduğu bir web sitesinden ek programlar indirir. “ Yazma anında, ek dosyaların depolandığı sunucu(server) Birleşmiş milletlerde saptanır. Download edilen dosyalardan biri, yerel makineda Proxy server gibi çalışacak şekilde konfigure edilmiş tam bir Apache web server kurulumudur. Proxy server kendi bütün ağ trafiği boyunca yeni adrese yönledirme yapan bir programdır.” Malware birde, bankacılığa erişimi başka adrese yönlendirme yapması için bilgisayarın hosts dosyasını değiştirir ve online alışveriş yapılan sitelerinde tamamıda, onun yerleştirdiği Proxy serveridir. Malware saldırısının amacı, kullanıcı bilgilerini çalmaktır. Saldırgan, bu bilgilere sahip olduğu andan itibaren, başka bir hesaba parayı gönderebilir yada üçüncü bir şahsa bu bilgileri satabilir. Bu malwarenin, kullanıcının izin vermesi için gerçekten hükümete ait bir formla uğraştığını göstermek için son bir numarası vardır. Bulaşmadan sonra, Kanada hükümetine ait web sitesinden bir PDF dosyası indirecek ve kullanıcıya bu belgeyi gösterecektir. Tabi saldırganın başka bir vilayet için pdf formunu indirmesi yaptığı bir hata olsada, hala işe yarar bir numaradır.



Bu tehdit ilk olarak NOD’un proactivi tarafından bulundu. Denemenin kabul edilmesi üzerine, sadece sınırlı sayıda tarayıcının bu malware’yi bulma özelliği vardır ve bu malware’ye isim olarak Pachat.A. verilmiştir.