Dünyanın önde gelen Rus siber güvenlik firması Kaspersky Lab, dünya genelinde 140’dan fazla bankanın ve işin siber saldırıya uğradığını bildirdi.
Bu saldırıların büyük bir oranda fark edilmemesi ise sanal korsanların, yasal yolları ve ‘dosyasız’ kötü amaçlı yazılımları kullanması olduğu bildirildi.
HelpNetSecurity’nin haberine göre uzmanlar, “Domain kontrolünün fiziksel belleğinde Meterpreter kodunun fark edilmesinin ardından bu tehdit aslında bir bankanın güvenlik ekibi tarafından keşfedildi” diye konuştu.
Açıklamada, “Kaspersky Lab, bu saldırı olduktan sonra adli analize iştirak etti ve Windows kayıtlarında PowerShell yazılımını keşfetti. Ayrıca, kurbanın adresinden saldırganın C2’sine trafiği yönlendirmek için NETSH programı da bulundu” denildi.
İlgili yazı >> Hangi rüzgar Kaspersky’i Ankara’ya attı
Meterpreter, VNC ekranı kullanan cihazın ekranının saldırganlar tarafından kullanılmasına izin veren, dosyaların gezilmesine, yüklenmesine ve indirilmesine izin veren bir Metasploit görev yüküdür. NETSH, ağ aygıtlarının yerel veya uzak yapılandırmasını sağlayan bir Windows komut satırı yardımcı programıdır. HelpNetSecurity’nin haberine göre, saldırganlar, Windows SC programından yararlanarak PowerShell yazılımını çalıştırdı ve saldırıya uğrayan makineden bilgileri almak için de Mimikatz’dan yararlandı.
Uzmanlar, “SC ve NETSH programınn kullanılması için yerel ve uzaktaki bilgisayarda yönetici ayrıcalıklarına sahip olunması gerekiyor. PowerShell yazılımının da çalıştırılması için ayrıcalıklara ve politika değişikliği yapılması lazım. Saldırganlar bunu başarmak için , Mimikatz üzerinden ele geçirdikleri yönetici ayrıcaklarına sahip kullanıcı bilgilerini kullandı” dedi.
Haberde, saldırganların bilgisayara saldırararak ATM’leri kontrol edip para çalmayı düşündükleri öne sürüldü. Ancak, Metasploit sisteminin, standart Windows programlarının ve WHOIS bilgisinin olmadığı bir alan adının kullanılması nedeniyle bu saldırıyı kimin veya kimlerin yaptığının bilinmediği kaydedildi.
Ayrıca bilgisayarlara yazılımın nasıl bulaştığının da bilinmediği belirtildi. Haberde, uzmanların Nisan ayında daha fazla bilgi ile kamuoyunu aydınlatacağı bildirildi.
Heimdal Güvenlik’in verdiği bilgire göre, klasik saldırılarda, sanal korsanların bir şekilde sabit diske programı indirtip bunun üzerinden hedefledikleri saldırıyı gerçekleştiriyor. Ancak ‘dosyasız’ saldırılarda, bilgisayarın sabit diskinde herhangi bir program bulunmuyor.
Bu yüzden de antivirüs ya da güvenlik yazılımları, bu ‘dosyasız’ları bulup kaldıramıyor. Geçici belleğe yazılarak veya Windowns kayıt belleğinde bulunarak burada varlıklarını sürdürüyorlar.
Bu türde ilk saldırı, 2014 Ağustos’unda Poweliks Trojan ile ortaya çıktı.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
[wysija_form id=”2″]
