Son zamanlarda dijital dünyanın en önemli gündem maddesi haline gelen kripto paralar, çeşitli güvenlik sorunlarını da beraberinde getirdi. Bitcoin, Ethereum gibi kripto para birimlerine talebin artmasıyla, saldırganların gözünü bu alana çevirerek istismar ettikleri sistemler üzerinden kripto para madenciliği yapmasına yol açan pek çok zararlı yazılımın ortaya çıktığı biliniyor.
Bu zararlı yazılımlardan biri olan ve Biznet uzmanları tarafından analiz edilen ‘Wannamine’ zararlısının bir kripto para birimi olan Monero madenciliğinde kullanıldığı ortaya çıktı.
Konuyla ilgili Siber Bülten’e bilgi veren Biznet Bilişim Siber Güvenlik Hizmetleri ve ARGE Direktörü Deniz Çevik kripto para madenciliğinde kullanılan zararlı yazılımların bulaşma ve yayılma yöntemlerini, hackerların bu alana yönelmesinin sebeplerini ve bu zararlılarla mücadelede eski yöntemlerin neden geçerli olmadığını açıkladı.
Çevik, kripto para madenciliği için kullanılan zararlı yazılımların Wannacry, Petya, NotPetya gibi fidye yazılımların kullandığı yöntemler ile sistemlere bulaştığını ve yayıldığını ifade etti. Güvenlik uzmanı, bunların fidye yazılımlardan farklı olarak dosyaları şifreleyip, fidye karşılığında şifreyi çözme işlemi yapmak yerine mevcut sistem üzerinde kripto para madenciliği yapılmasına neden olduğunu belirtti.
‘Saldırı motivasyonu para kazanmak’
Çevik, bilgisayar korsanlarının bu alana gözünü çevirmelerinin sebeplerinin başında hızlı ve kolay para kazanma motivasyonu olduğunu dile getirdi.
“Önceden saldırganlar kendi reklamlarını yapma gibi motivasyonlarla sunucuları hacklerken, bugün bu iş para kazanma boyutuna geldi. Kripto para madenciliği de saldırganların hızlıca para kazandığı bir yöntem. Saldırganların ihtiyacı olan şey ise işlemci gücü.”
Deniz Çevik, saldırganların daha fazla kripto para elde edebilmek için daha fazla işlemci gücüne ihtiyaç duyduklarını, bu yüzden de farklı makinelerdeki çeşitli zafiyetleri kripto madencilik yapabilecekleri şekilde kötüye kullanmaya başladıklarını ekledi.
Oltalama (phishing) yöntemini ve bilinen güvenlik zafiyetlerini kullanarak sunuculara zararlı yazılım yüklemenin, saldırganlar tarafından sık kullanılan yöntemler arasında olduğunu söyledi. Saldırganların bunu yaparken genelde sistem üzerinde istedikleri işlemleri yapmalarına izin veren ve aslında yamaları aylar öncesinde duyurulmuş zafiyetleri kullandıklarını belirterek, EternalBlue, Weblogic WLS Kod Çalıştırma (CVE-2017-10271), Microsoft IIS 6.0 WebDav Kod Çalıştırma (CVE-2017-7269) zafiyetlerini örnek olarak gösterdi. Bu zafiyetler özellikle zararlının sisteme ilk bulaştırılması aşamasında en yaygın kullanılan zafiyetler arasında.
“Burada zararlı, bir zafiyet veya oltalama saldırısı ile sistemlere bulaşıyor, sonra da kripto para madenciliği yapacak yazılımı yüklüyor. Madencilik işlemi sürerken zararlı, diğer makinelere de yayılıyor ve para kazanma süreci devam ediyor.”
Biznet’in kendi analizinde incelediği Wannamine varyantı da ‘fileless’ adı verilen dosyasız bir zararlı yazılım.
Çevik, aynı zamanda zararlı yazılımların bir sisteme bulaştıktan sonra zafiyetin bulunmadığı diğer sunuculara da bulaşabileceğini söyledi:
“Zararlı, bir sisteme EternalBlue gibi bir zafiyeti kullanarak bulaştıktan sonra ağ taraması yaparak aynı zafiyetin bulunduğu diğer sistemlere; hatta zafiyetin bulunmadığı diğer sunuculara da bulaşabiliyor. Bunu yaparken de zafiyetin bulunduğu sistemden ele geçirdiği yönetici parolalarını kullanabiliyor. Bu sırada madencilik için işlemci gücü maksimum kullanıldığı için makinelerde işlemci kullanımının %100’ler ulaştığı ve kimi durumlarda normal işlevlerini yerine getirememeye başladığı görülüyor. Benzer şekilde zararlının bulaştığı sistem arttıkça ağ içindeki trafikte artışlar ve genel sistem işleyişinde performans kaynaklı aksamalar görülebiliyor.
‘İleride bu saldırılarla daha çok karşılaşabiliriz’
Çevik, yöntemin kolaylığı, kullanılan zararlıların temizlenmesinin gittikçe zorlaşması ve tehditlerin ortadan kalkması halinde dahi para kazanılmış olmasından dolayı ileride bu saldırılarla daha çok karşılaşabileceğimizi ekledi.
“İleride bu tarz saldırıları daha çok göreceğiz. Saldırganlar, yeni zafiyetleri bu amaçla daha çok kullanmaya başlayacaklar. Öncelikle çok kolay bir yöntem. Üstelik fark edilmesi ve tamamen temizlenmesi birkaç gün sürse bile, bu sırada yüksek miktarlarda para kazanılması mümkün.”
‘Farkındalık ve izleme önleyici faktörlerden’
Çevik bu tarz saldırılara karşı önlem almanın mümkün olduğunu da ekledi. Saldırganların halihazırda bilinen zafiyetler üzerinden harekete geçtiğini belirten Çevik, bu konuda yüksek bir farkındalık olmasının durumu engelleyebileceğini söyledi.
Aslında bu zararlılar zaten bilinen zafiyetleri kullanarak bulaşıyor ve yayılıyor. Zafiyetler çabuk giderilse bu saldırılar bu kadar etkili olmazdı. Bazı saldırılarda ise alınmış olan diğer çevresel güvenlik çözümleri saldırganlar tarafından atlatılabiliyor.
“Düzgün uygulanan yama ve zafiyet yönetimiyle önceden tedbir almak mümkün. Çok kritik bir zafiyet ortaya çıktığında, yama için uzun süreler beklememek gerekiyor. Ayrıca kurumun kendi zafiyetlerinden ve sistemlerinden haberdar olması ve bunu düzenli bir şekilde kontrol ediyor olması lazım. Böylece bir şüphe durumunda harekete geçmek kolay oluyor.”
“Ayrıca güvenlik oldaklı olarak sistemlerin ve kurum ağının sürekli olarak izlenmesi de çok önemli bir unsur. Bir şekilde ağınıza doğru gelen şüpheli bir trafik varsa, sürekli izleme ve uzman bir ekip ile çok daha kısa sürede fark edip önlem alabiliyorsunuz.
Zararlıların bulaşmak için kullanıldığı yöntemlerden biri olan oltalama saldırıları açısından bakıldığında ise çalışanların bilgi güvenliği farkındalığı öne çıkıyor. Bazı durumlarda kurumun yaptığı milyolarca dolarlık güvenlik yatırımı, bir çalışanın dikkatsizliği veya bilgi eksikliği neden ile atlatılabiliyor. Bu nedenle çalışanların da düzenli olarak güvenlik konusunda bilgilendirilmeleri, eğitilmeleri ve farkındalık seviyesini ölçecek çeşitli çalışmaların yapılması oldukça önemli. ”
‘Bilgi paylaşımı kritik’
Çevik, siber güvenliğin diğer alanlarında olduğu gibi kripto para madenciliği odaklı saldırılarda da bilgi paylaşımının önemli olduğuna dikkat çekti. “Zararlı sistemlerin haberleştiği IP adresleri gibi bilgiler paylaşılınca ya da zararlının yüklendiği sistemler bloklanınca saldırının etkisi azaltılabilir. Ancak sürekli yeni zararlılar çıkıyor, sürekli yeni analizler yapılıyor. Dolayısı ile bu bilgi paylaşımı ve akışının da sürekli ve düzenli olması gerekiyor.”
Önleyici faktörlerden biri olarak aktivitelerden şüphelenerek zararlı yazılımları durdurabilen yeni teknolojilere de dikkat çeken Çevik, bunların henüz yaygın kullanılmadığına değindi.
“Sistem tarafından bakılınca antivirüs yazılımları bir yere kadar koruma sağlıyor. Saldırganlar bunu atlatıyor. Bunun yerine anomali tespiti ve davranışsal analiz yapabilen, yapay zekâ, makine öğrenimi gibi unsurların dahil olduğu yeni teknolojileri kullanmak gerekiyor.”