[ This article was originally published here ]
Bu yazının içeriği tamamen yazarın sorumluluğundadır. AT&T, yazar tarafından bu makalede sağlanan görüşlerin, konumların veya bilgilerin hiçbirini benimsemez veya desteklemez.
Giriiş:
Cridex veya Bugat olarak da bilinen Dridex, 2011’den beri aktif olan bir bankacılık Truva Atı’dır. Kötü amaçlı yazılım, öncelikle kurbanlardan oturum açma kimlik bilgileri ve finansal bilgiler gibi hassas bilgileri çalmak için kullanılır. Dridex, dinamik yapılandırma dosyaları kullanarak ve sunucularını proxy katmanlarının arkasına gizleyerek tespit edilmekten kurtulma yeteneğiyle bilinir.
Dridex kötü amaçlı yazılımı genellikle, tıklandığında kurbanın bilgisayarına kötü amaçlı yazılımı yükleyecek kötü amaçlı bir ek veya bağlantı içeren e-postalarla spam e-posta kampanyaları aracılığıyla yayılır. Kötü amaçlı yazılım daha sonra kurbandan finansal bilgileri çalmak için web enjeksiyonlarını kullanır.
Dridex’in ilginç özelliklerinden biri, komuta ve kontrol (C&C) iletişimi için eşler arası (P2P) ağ kullanmasıdır. Bu, C&C sunucuları keşfedilirse hızla değiştirilebileceğinden, saldırganların güvenlik araştırmacıları ve kanun uygulayıcılar tarafından tespit edilmekten kurtulmasına olanak tanır.
Atomik teknikler açısından Dridex, tespit edilmekten kaçınmak ve virüs bulaşmış bir sistemde kalıcılığı sürdürmek için çeşitli yöntemler kullanır. Bu tekniklerden bazıları şunlardır:
- Dosyasız bulaşma: Dridex, sabit sürücüde herhangi bir kötü amaçlı dosya izi bırakmadan bir sisteme bulaşabilir.
- İşlem boşaltma: Dridex, güvenlik yazılımı tarafından algılanmaktan kaçınmak için kodunu meşru bir işleme enjekte edebilir.
- Hata ayıklama önleme ve sanallaştırma önleme: Dridex, sanallaştırılmış bir ortamda çalışıp çalışmadığını veya hata ayıklama yapılıp yapılmadığını algılayabilir ve varsa kendini sonlandırır.
Dridex, on yıldan uzun süredir aktif olan, iyi bilinen ve gelişmiş bir bankacılık truva atı. Kötü amaçlı yazılımın finansal kurumları, işletmeleri ve bireyleri hedef aldığı biliniyor. 2015 yılında yöneticilerinden birinin tutuklanmasına rağmen kötü amaçlı yazılım aktif olmaya ve gelişmeye devam ediyor.
Mac’lerde son enfeksiyon:
Dridex kötü amaçlı yazılımının MacOS sistemlerini hedef alan en yeni çeşidi, kötü amaçlı makroları belgeler aracılığıyla yeni bir yolla iletir. Kötü amaçlı yazılım genellikle, tıklandığında kötü amaçlı yazılımı kurbanın bilgisayarına yükleyecek kötü amaçlı bir ek veya bağlantı içeren e-postalarla spam e-posta kampanyaları aracılığıyla yayılır. Varyant, Dridex’in kötü amaçlı makrolarını taşımak için belge dosyalarının üzerine yazar, ancak şu anda sağladığı yük, bir MacOS ortamında çalışmayan bir Microsoft exe dosyasıdır. Bu, varyantın hala test aşamasında olabileceğini ve henüz tam olarak MacOS makinelerinde çalışacak şekilde dönüştürülmediğini gösteriyor. Ancak, saldırganların gelecekte onu MacOS ile uyumlu hale getirmek için daha fazla değişiklik yapması mümkündür.
Kötü amaçlı yazılım sisteme yüklendikten sonra, .doc uzantılı dosyaları arar ve kötü amaçlı kodu bunların üzerine yazar. Üzerine yazılan kodun bir Microsoft belge dosyası olduğunu ima eden bir D0CF dosya biçimi imzası vardır. Bu, kötü amaçlı makroların belge dosyaları aracılığıyla iletildiği anlamına gelir ve bu da kullanıcının dosyanın kötü amaçlı olup olmadığını belirlemesini zorlaştırır.
Kötü amaçlı yazılım, bir dosyayı almak için bağlandığı kötü amaçlı URL’yi gizlemek için temel dizi şifrelemeyi de kullanır. Bu teslim yöntemi, e-posta ekleri aracılığıyla yapılan geleneksel teslim yönteminden farklıdır. Bu, Dridex’in arkasındaki saldırganların yeni hedefler ve daha verimli giriş yöntemleri bulmaya çalıştığını gösteriyor.
Nasıl çalışır:
Dridex, genellikle kimlik avı e-posta kampanyaları aracılığıyla dağıtılan bir bankacılık Truva Atı’dır. Kötü amaçlı yazılım, genellikle kötü amaçlı bir makro içeren bir Word veya Excel belgesi biçiminde bir ek olarak sunulur. Makro etkinleştirildiğinde, kurbanın sisteminde Dridex yükünü indirecek ve çalıştıracaktır.
Dridex kurulduktan sonra, keylogging, ekran görüntüleri yakalama ve oturum açma kimlik bilgilerini çalma gibi çeşitli kötü amaçlı eylemler gerçekleştirebilir. Kötü amaçlı yazılım, saldırganların virüslü sistemleri uzaktan kontrol etmesine izin veren bir botnet oluşturmak için de kullanılabilir.
Dridex, bir web sayfasına işlenmeden önce HTML veya JavaScript kodunu enjekte edebilen modüller olan web enjeksiyonlarını kullanır. Bu, kötü amaçlı yazılımın web sayfalarının görünümünü manipüle etmesine ve kullanıcıyı oturum açma kimlik bilgileri veya kredi kartı numaraları gibi hassas bilgileri girmesi için kandırmasına olanak tanır. Kötü amaçlı yazılım daha sonra bu bilgileri komut ve kontrol (C2) sunucusuna gönderebilir.
Dridex, tespit edilmekten kaçınmak ve virüs bulaşmış bir sistemde kalıcılığı sürdürmek için çeşitli teknikler kullanır. Bunlar, diğer işlemlere bulaşmak için kod enjeksiyonu kullanmayı, diğer işlemlerle iletişim kurmak için adlandırılmış yöneltmeler kullanmayı ve analizden kaçınmak için hata ayıklamayı önleme ve sanallaştırmayı önleme tekniklerini kullanmayı içerir.
Ayrıca Dridex, Windows’un WoW64 (Windows 64-bit üzerinde Windows 32-bit) katmanını atlamak için “Heaven’s Gate” adlı bir teknik kullanarak 32-bit bir sistemde 64-bit kod yürütmesine izin verir. Bu teknik, Windows’ta 32 bit uygulamaların 64 bit işlevleri çağırmasına izin veren bir özelliğin kullanılmasını içerir. Dridex, 64 bitlik bir ortamda kötü amaçlı yazılım kodu çalıştırarak, 32 bitlik sistemlerde 64 bitlik kötü amaçlı yazılımları algılamak üzere tasarlanmamış güvenlik araçları tarafından yapılan algılama ve anti-analizden kaçınır.
Düzeltme:
1. Kötü amaçlı yazılımı izole edin ve kaldırın: Etkilenen tüm sistemleri tanımlayın ve izole edin ve saygın bir anti-virüs yazılımı kullanarak kötü amaçlı yazılımı kaldırın.
2. Tüm parolaları değiştirin: Dridex kötü amaçlı yazılımının oturum açma kimlik bilgilerini çaldığı bilinmektedir, bu nedenle etkilenen sistemlerde tüm parolaların değiştirilmesi önemlidir.
3. Sisteme yama yapın: Tüm sistemlerin tamamen yamalandığından ve en son güvenlik düzeltmeleriyle güncellendiğinden emin olun.
4. Uç nokta korumasını kullanın: Dridex kötü amaçlı yazılımlarını ve diğer kötü amaçlı yazılımları tespit etmek ve engellemek için uç nokta koruma yazılımı uygulayın.
5. Ağ trafiğini izleyin: Şüpheli etkinlik için ağ trafiğini izleyin ve kötü amaçlı trafiği algılamak ve engellemek için saldırı tespit sistemlerini (IDS) kullanın.
6. Çalışan eğitimi: Çalışanları, kimlik avı dolandırıcılıklarını nasıl tanımlayacakları ve bunlardan nasıl kaçınacakları ve e-posta eklerini açarken veya bağlantılara tıklarken dikkatli olmaları konusunda eğitin.
7. Düzenli yedeklemeler: Önemli verileri düzenli olarak yedekleyin ve yedekleri güvenli bir yerde saklayın.
8. Bir güvenlik duvarı kullanın: Bilinen kötü amaçlı IP adreslerinden gelen ve giden bağlantıları engellemek için bir güvenlik duvarı kullanın.
Çözüm:
Sonuç olarak, Dridex, 2012’den beri aktif olan, finansal kurumları ve onların müşterilerini hedefleyen, tanınmış bir bankacılık truva atıdır. Kötü amaçlı yazılım, genellikle kötü amaçlı yazılımın indirilmesine yol açan ekler veya bağlantılar kullanılarak kimlik avı e-posta kampanyaları aracılığıyla dağıtılır. Bir sisteme girdikten sonra Dridex, hassas bilgileri çalmak için çeşitli teknikler kullanabilir ve web sayfalarını manipüle etmek ve kimlik bilgilerini çalmak için web enjeksiyonu adı verilen bir teknik kullanır. Düzeltme çabaları, şüpheli etkinlikleri izlemeyi, bilinen kötü amaçlı IP’leri ve etki alanlarını engellemeyi, yazılımı güncel tutmayı ve kullanıcıları kimlik avı girişimlerini nasıl belirleyecekleri ve önleyecekleri konusunda eğitmeyi içermelidir. Ek olarak, Dridex tarafından hedeflendiği bilinen bilinen risk göstergelerinin izlenmesi ve süreçlerin ve dll dosyalarının incelenmesi, Dridex bulaşmalarının algılanmasına ve önlenmesine yardımcı olabilir.
reklam