Ekim 14, 2021

Casus yazılımın yeteneklerini geliştirdiği tespit edildi

ile admin

Şirket açıklamasına nazaran, Kaspersky araştırmacıları, Windows, Mac OS, Linux ve yükleyicileri için FinSpy casus yazılımlarına yapılan son güncellemeler hakkında kapsamlı bir araştırma yayımladı. Tamamlanması 8 ay süren araştırma, casus yazılımın geliştiricileri tarafından kullanılan dört katmanlı gizleme ve gelişmiş anti-analiz tedbirlerinin yanı sıra kurbanlara virüs bulaştırmak için bir UEFI ön yükleme kitinin kullanıldığını ortaya çıkardı. Bulgular, FinFisher’ın bugüne kadar tespit edilmesi en güç casus yazılımlardan biri olduğunu ve savunmadan kaçınmaya büyük değer verildiğini gösteriyor.

FinSpy yahut Wingbird olarak da bilinen FinFisher, Kaspersky’nin 2011’den beri takip ettiği bir nezaret aracı. Araç çeşitli kimlik bilgilerinin, evrak listelerinin ve silinen evrakların yanı sıra çeşitli evrakları toplama, canlı akışla bilgi kaydetme, web kamerası ve mikrofona erişim sağlama yeteneğine sahip. Windows implantları, FinFisher’ın radarın altına girdiği 2018 yılına kadar birkaç defa tespit edildi ve müşahede altına alındı.

Kaspersky tahlilleri TeamViewer, VLC Media Player ve WinRAR üzere yasal uygulamaların makûs emelli kod içeren ve rastgele bir berbat gayeli yazılıma bağlanamayan kuşkulu yükleyicilerini tespit etti.

KENDİNİ EĞİTEN YAZILIM

Casus yazılım virüslü uygulamada evvelki sürümlerin tersine iki yeni bileşen tarafından korunuyordu (kalıcı olmayan ön doğrulayıcı ve son doğrulayıcı). Birinci bileşen, bulaştığı aygıtın bir güvenlik araştırmacısına ilişkin olmadığından emin olmak için birden çok güvenlik kontrolü gerçekleştiriyor. Kod inançta olduğundan emin olunca sunucu tarafında Post-Validator bileşeni devreye giriyor ve tam teşekküllü Truva atı platformunun dağıtımını üstleniyor.

FinFisher, 4 adet özel üretim karmaşık “obfuscator” ile büyük ölçüde karıştırılan bir örnek. Bu gizlemenin birincil fonksiyonu casus yazılım tahlilini yavaşlatmak. Truva atı ayrıyeten bilgi toplamak için tuhaf yollara başvuruyor. Örneğin, bir HTTPS protokolüyle korunan trafiği engellemek için tarayıcılardaki geliştirici modundan yararlanıyor.

Araştırmacılar ayrıyeten, Windows UEFI ön yükleyicisinin yerini alan bir FinFisher örneği keşfetti. Bu bileşen, sistem açıldıktan sonra makus hedefli bileşenle birlikte işletim sistemini başlatıyor. Bu bulaşma yolu, saldırganların üretici yazılımı güvenlik denetimlerini atlamalarına gerek kalmadan bir ön yükleme seti çalıştırmalarına imkan sağlıyor. UEFI enfeksiyonları ender ve çoklukla yürütülmesi güç olurken, yeterli saklanmaları ve temizlenmelerinin güç oluşuyla öne çıkıyorlar. Bu örnekte saldırganlar UEFI eser yazılımının kendisine değil, bir sonraki ön yükleme evresine bulaştıysa da makus emelli modül farklı bir kısma kurulduğundan ve virüslü makinenin ön yükleme sürecini denetim edebildiğinden taarruz gizlenmeyi başarıyordu.

GÜNCELLEMELERİ YAPMAYI UNUTMAYIN

Açıklamada görüşlerine yer verilen Kaspersky GReAT Global Araştırma ve Tahlil Takımı Baş Güvenlik Araştırmacısı Igor Kuznetsov, FinFisher’ı güvenlik araştırmacıları için erişilebilir kılmak ismine yapılan çalışmaların büyüklüğünün etkileyici ve kaygı verici olduğunu belirterek, şunları kaydetti:

“Görünüşe nazaran geliştiriciler, en az Truva atının kendisi kadar şaşırtma ve tahlil tersi tedbirlere dikkat etmişler. Sonuç olarak algılama ve tahlilden kaçabilme yetenekleri, casus yazılımın izlenmesini ve tespit edilmesini bilhassa zorlaştırıyor. Casus yazılımın yüksek hassasiyetle konuşlandırılmasının ve tahlil edilmesinin pratikte imkansız olması, kurbanlarının savunmasız olduğu ve araştırmacıların özel bir zorlukla karşı karşıya kaldığı manasına geliyor. Her bir örneği çözmek için çok büyük ölçüde kaynak ayırmak gerekiyor. FinFisher üzere karmaşık tehditlerin güvenlik araştırmacılarının iş birliği yapmasının, bilgi alışverişinde bulunmasının ve bu cins tehditlerle uğraş edebilecek yeni güvenlik tahlillerine yatırım yapmasının ehemmiyetini gösterdiğine inanıyorum.”

Kaspersky, FinFisher üzere tehditlerden korumak için şunları öneriyor:

“Uygulamalarınızı ve programlarınızı muteber web sitelerinden indirin. İşletim sisteminizi ve tüm yazılımlarınızı nizamlı olarak güncellemeyi unutmayın. Birçok güvenlik sorunu yazılımların güncellenmiş sürümleri yüklenerek çözülebilir. E-posta eklerine güvenmeyin. Bir eki açmak yahut bir ilişkiyi takip etmek için tıklamadan evvel dikkatlice düşünün. Gerçekte nereye gittiklerini görmek için temasların ve eklerin üzerine gelip bekleyin. Bilinmeyen kaynaklardan yazılım yüklemekten kaçının. Makûs gayeli belgeler içerebilirler. Tüm bilgisayarlarda ve taşınabilir aygıtlarda, Kaspersky Internet Security for Android veya Kaspersky Total Security üzere güçlü bir güvenlik tahlili kullanın.”

Kuruluşların korunması için ise Kaspersky şunları öneriyor:

“Kurumsal olmayan yazılım kullanımı için bir siyaset oluşturun. Güvenilmeyen kaynaklardan yetkisiz uygulama indirmenin riskleri konusunda çalışanlarınızı eğitin. Amaçlı taarruzların birçok kimlik avı yahut öbür toplumsal mühendislik teknikleriyle başladığından, çalışanınıza temel siber güvenlik hijyen eğitimi verin.

Anti-APT ve EDR tahlillerini kurun. Tehdit keşfi ve tespiti, soruşturma ve olayların vaktinde düzeltilmesi özelliklerini aktifleştirin. SOC grubunuzun en son tehdit istihbaratına erişimini sağlayın ve profesyonel eğitimlerle sistemli olarak hünerlerini yükseltin. Üsttekilerin tümü Kaspersky Expert Security çerçevesi altında mevcuttur. Uygun uç nokta müdafaasının yanı sıra, özel hizmetler yüksek profilli ataklara karşı yardımcı olabilir. Kaspersky Managed Detection and Response hizmeti, saldırganlar maksatlarına ulaşmadan taarruzların erken kademede belirlenmesine ve durdurulmasına yardımcı olur.”

KAYNAK: AA

Kaynak:haber7