Tag Archives: Zararlılar

Home / Posts tagged "Zararlılar"

Bir USB Zararlısı Daha! Bu Seferki İşini Gizli Yapmak İçin Tasarlanmış

Güvenlik araştırmacıları yeni bir veri çalan zararlı keşfetti. Bu zararlının farkı, USB cihaza özel olarak kendini yayması ve etkilediği sistemlerde iz bırakmadan veri çalmayı başarması.

 

USB Thief adındaki (bir diğer adı da Win32/PSW.Stealer.NAI) zararlımız kullandığı gizlenme teknikleri ile internet bağlantısı bulunmayan hatta komple izole edilmiş sistemleri hedef alıyor.

 

Kendini saklamak ve kopyalanmasını, tersine mühendislik yapılmasını ve de saptanmasını hada da zorlaştırmak için özel programlarla donatılmış.

 

USB özelinde kendini popüler programların plugin ya da DLL’leri içine gizleyen uygulama Firefox, Notepad++ ya da TrueCrypt portable gibi bilindik ve USB’de kullanmaya alışılmış uygulamalara sızıyor. Bu uygulamalardan biri çalıştırıldığında ise USB içinden çalışarak bilgileri çalıyor. Böylece saldırdığı sistemde izini de saklayabiliyor. Çoklu şifreleme teknikleri ile kendini gizleyen zararlı analiz edilmesini ve saptanmasını zorlaştırıyor.

 

Şimdilik yapaileceklerimiz;

  • Bilmediğimiz ya da güvenmediğimiz kaynaklardan USB cihazları kullanmamak
  • Autorun özelliğini kapatmak
  • Düzenli olarak verilerimizi yedeklemek

 

Router’ları ve Nesnelerin İnternetini Hedef Alan Zararlı

Internete bağlı her şey hack’lenebilir. Nesnelerin İnterneti (IoTs) de bundan nasibini alıyor.

 

Üreticilerin yetersiz güvenlik önlemleri nedeni ile nesnelerin interneti ya da genel olarak internete bağlı cihazların güvenliği tam bir kabus olma yolunda.

 

Zararlımızın adı KTN-Remastered ya da KTN-RM. Tsunami (bir başka adı ile Kaiten) ve Gafgyt kırması olan bu zararlının güvenlik araştırmacıları tarafından kullanılan bir diğer adı da Remaiten.

 

Gafgyt Telnet taramasında kullanılırken Tsunami ise Dağıtık Servis Dışı Bırakma (DDoS) ataklarında kullanılan meşhur IRC (Internet Relay Chat) botu olarak biliniyor.

KTN-RM kendini yaymak için tümleşik sistemlerde ve diğer bağlı cihazlarda indirme uygulamasını çalıştırmayı sağlayan kodları taşımasını sağlayan gelişmiş bir mekanizma kullanıyor. Hedef ise bu sefer bilgisayar ya da akıllı telefonlar değil, tümleşik sistemler (Router gibi) ve diğer bağlı cihazlar (Gateway, Wireless Access Point gibi).

 

Çalışma mantığı ise, önce telnet taraması ile router ve akıllı cihazları bulmaya çalışıyor. Sonra bağlantı sağlayıp giriş parolalarını tahmin ederek zayıf güvenlikli cihazlara ulaşmayı hedefliyor. Eğer giriş başarılı olursa, bu sefer birçok sistem mimarisini destekleyen bot dosyalarını indirmeye başlıyor ve çalıştırıyor.

 

İşte Apple Güvenliğini Geçmenizi Sağlayan Zararlı Kod

OS X 10.11.4 ve iOS 9.3 güncellemelerini yükleyenleri pek de sevimli olmayan bir sürpriz bekliyor. 130 milyon Apple kullanıcısını etkileyen yetki yükseltme zafiyeti hala OS X El Capitan 10.11.4 ve iOS 9.3 güncellemelerinde de devam ediyor.

 

Apple’ın Sistem Bütünlük Koruması (SIP) güvenlik mekanizmasını etkileyen açıklığı yamamak için çıkartılan güncellemeler hala buna izin verir durumda. CVE-2016-1757 kayıtlı uzaktan komut çalıştırma izin veren sıfırıncı gün açıklığını kapatmak için çıkarttıkları yama hala buna izin veriyor.

 

İşin enteresanlığı, Alman güvenlik araştırmacısı Stefan Esser’in en son güncellenmiş SIP uygulamasını aşmak için kullanılacak zararlı kodun bir tweet’e bile sığabilecek kısalıkta olması.

 

Yayınlanan kod root yetkilerinde dahi değiştiremeyeceğiniz OS X konfigürasyon dosyasını değiştirmenize olanak veriyor.

 

İşte kodumuz: ln -s /S*/*/E*/A*Li*/*/I* /dev/diskX;fsck_cs /dev/diskX 1>&-;touch /Li*/Ex*/;reboot

 

Bu kod açıldığında aslında aşağıdaki gibi bir hal alıyor;

  • ln -s /System/Library/Extensions/AppleKextExcludeList.kext/Contents/Info.plist /dev/diskX
  • fsck_cs /dev/diskX 1>&-
  • touch /Library/Extensions/
  • Reboot

 

Bu kod ile Apple’ın SIP teknolojisini aşarak istediğimiz işlemi çalıştırabilmek elimizde.

 

Zararlı Yayan Reklam Kampanyası Üst Seviye Web Sitelerini de Vurdu

Bilgisayar korsanları siber uzayı delerek karanlık emellerine ulaşmak için yeni arayışlar içinde.

 

Üst seviye, güvenilir bulduğumuz The New York Times, BBC, MSN, AOL ve daha bir çok web sitesi zararlı yazılım yaymak için oluşturulmuş reklamları farkında olmadan sitelerinde yayarak bu güveni kaybetmenin eşiğindeler.

 

Bu reklamlar güvenilen sitelerde yayınlanıp kendilerine tıklamanızı sağlamayı hedefliyorlar. Güvenli kaynaklardan geldiğini düşündüğünüz bu reklamlara tıkladığınızda ise Angler Exploit Kit (AEK) zararlısını barındıran ve sisteminize bulaştıracak sitelere sizleri yönlendiriyorlar.

 

AEK içinde bir çok sıfırıncı gün açığının da bulunduğu zararlı yazılımlardan oluşuyor.

 

Kampanyanın engellenmeden daha yüksek başarıya ulaşmasını sağlamak amacıyla önce bilinen güvenlik ürünlerinin sisteminizde varlığını kontrol eden bir JSON dosyası (JavaScript Object Notation) çalıştırılıyor.

 

Hackerlar Jailbrake Yapılmamış iOS Cihazlara Zararlı Yüklenebiliyor

Android’ler için 1 milyardan fazla cihazı etkileyen Qualcomm Snapdragon yonga zafiyeti ve milyonlarca cihazı etkileyen Stagefright zafiyetinden sonra iPhone cihazları için de haberler kötü.

 

Hackerlar sizin müdahalenize ihtiyaç duymadan iPhone’unuza zararlı yazılım yüklemenin yeni bir yolunu keşfetti.

 

Palo Alto Networks araştırmacılarının ortaya çıkarttığı bu yeni yöntem Jailbrake yapılmamış yani satın alınmış hali ile normal olarak kullanılan yüzlerce milyon iPhone ve iPad’leri tehdit altında bırakabilir.

 

AceDeceiver türevi bu iPhone zararlısı şirket sertifikası olmaksızın ve Apple’ın FairPlay adını verdiği Dijital Hak Yönetimi (DRM) koruma mekanizmasındaki tasarım açıklıklarını kullanarak kendini yüklemeyi başarıyor.

 

AceDeceiver’ın FairPlay Man-in-the-Middle (MITM) tekniğini kullanan hackerlar zararlı yazılımları kullanıcının haberi ya da müdahalesi olmadan diğer Apple güvenlik kontrollerini de atlatarak kurmayı başarıyorlar.

 

Milyonlarca Cihazı Tehdit Eden Yeni Bir Uzaktan Android Telefon Kırma Zararlısı

Android kullananların dikkatine;

 

Android Stagefright zafiyeti geri döndü.

 

Milyonlarca Android cihaz yeni açığa çıkan Android Stagefright Zararlısı ile yeniden hackerların ve istihbarat teşkilatlarının tehdidi altında.

 

Android Stagefright zafiyeti geri döndü; ve bu kez 10 saniyede Android cihazınızı kırabilecek durumda. Hackerlar tarafından, düzenlenmiş bir medya dosyasının bulunduğu web sitesini ziyaret ettiğinizde, zararlı, Android telefonunuzu hackerların insafına bırakmaya yetiyor.

 

CVE-2015-3864 zafiyetini kullanarak Address Space Layout Randomisation (ASLR) isimli bellek koruma işlemini atlatan zararlı Android sürüm 2.2’den 4.0’a kadar ve 5.0’dan 5.1’e kadar etkili oluyor.

 

Stagefright Zararlısının aşamaları ise şu şekilde;

  1. Aşama: Kurban düzenlenmiş ir video içeren siteye yönlendirilmek üzere kandırılır. Bu video Android’in medya sunucu yazılımını bozarak savunmasız hale getirir.
  2. Medya sunucu bozulduğunda sitedeki javascript saldırganın sunucusuna kurbanın cihazı ile ilgili bilgileri gönderir.
  3. Saldırganın sunucusu cihaza özel hazırlanmış videoyu göndererek Stagefright zafiyetini kullanıp cihaz hakkında daha fazla bilgi edinir.

 

Bu bilgilerle yeni bir video hazırlanır ve kurbanın akıllı cihazında gerekli tüm yetkiler ile casus yazılım kurulmuş olur.

 

DROWN Saldırısı – 11 milyondan fazla OpenSSL HTTPS Web sitesi risk altında.

OpenSSL’de yeni keşfedilen bu öldürücü güvenlik açığı 11 milyondan fazla modern web sitesi ve eposta servisini tehdit ediyor.

 

Saatler içinde ya da bazen saniyeler içinde parolalarınız, kredi kartı bilgileriniz gibi bir çok bilgi HTTPs üzerinden güvenli olduğunu düşündüğünüz anda OpenSSL’deki güvenlik açığı sayesinde saldırganların eline geçebiliyor.

 

CVE-2016-0703 olarak kaydedilen açıklık TLS kullanan ama aynı zamanda SSLv2 protokolüne de izin veren bir sistemde keylerin ele geçmesi ve tüm trafiğin çözülmesi ile sonuçlanıyor.

 

Yahoo, Alibaba, Weibo, Sina, BuzzFeed, Flickr, StumbleUpon, 4Shared ve Samsung web sunucularının da aralarında olduğu dünya çapında 11,5 milyon sunucuyu etkilediği öngörülüyor.

 

Korunmanın yolu ise güvenlik güncellemesinden geçiyor. OpenSSL 1.0.2 yerine 1.0.2g ve OpenSSL 1.0.1 yerine 1.0.1s versiyonlarının kullanılması gerekiyor. Başka versiyon kullanıyorsanız en üst versiyona geçmeniz öneriliyor. Diğer bir öneli konu da SSLv2’nin kapalı olduğundan emin olmak ve “private key”‘in diğer sunucular ile paylaşılmamış durumda olduğuna emin olmak.

 

CBT-Locker fidye zararlısı hızla yayılmaya ve binlerce web sunucusunu hedef almaya devam ediyor.

Geçtiğimiz senelerde Cryptowall’dan Locky’ye kadar bir çok fidye zararlısı (ransomware) gördük. Bu sefer websitelerini hedef alan CBT-Locker ailesinden bir fidye zararlısı ile karşı karşıyayız.

 

Web sitelerini hedef alan ve sitenin ön yüzünü değiştiren bu zararlı, web sitesi yöneticilerini inandırmak için sadece iki dosyanın bedava şifresini çözmek gibi bir yönteme baş vurmuş durumda.

 

AES-256 algoritması ile scriptler, dokümanlar, fotoğraflar, veritabanları ve diğer önemli dosyaların şifrelendiği bu zararlının bir de saldırganlarla mesajlaşma özelliği bulunuyor.

 

BlackEnergy Boryspil havaalanına karşı yapılan hedefli saldırıya karıştı.

Daha önceki bültenlerimizde Ukrayna’da elektirik kesintisinin arkasaından BlackEnergy zararlısının çıktığını iletmiştik. Bu sefer hedefte Boryspil havaalanı var.

 

Anti Terör Operasyonları başkanlık idaresi sözcüsü Andriy Lysenko atağın kontrol merkezi sunucusunun Rusya orjinli olduğunu söyledi. Zararlı yazılımın havaalanı sisteminde erken farkedildiğini ve bir zararın oluşmadığını da iletti.

 

Bir uzmanın Boryspil havayoluna ait bir çalışma istasyonunda Black Energy virüsünü fark etmesi ve hemen network bağlantısını kesmesi ile olası bir hacklemenin önüne geçildiği bildirildi. CERT-UA (Ukrayna Siber Olaylara Müdahale Takımı) BlackEnergy zararlısı tespit etmeyi anlatan özel bir sayfa yayınladı. (http://cert.gov.ua/?p=2464)

 

Avrupa ATM’lerinden Milyonlar çalan hackerlar polis tarafından tutuklandı.

Romen güvenlik güçleri tarafından yakalanan sekiz siber suçlu zararlı yazılım ile ATM’lerden nakit çalan uluslar arası bir çete üyesi olmakla suçlanıyor.

 

Avrupada bir ilk olan bu tip bir operasyon için Romanya ve Moldova’da Romen Polisi, “Directorate for Investigating Organised Crimes and Terrorism” (DIICOT) ve Europol, Eurojust gibi avrupa güvenlik güçerinin beraber çalıştığı vurgulanıyor.

 

Tyupkin zararlı yazılımı yardımı ile şüphelilerin ATM’lerin tuş takımı üzerinden komutlar çalıştırabildiği ve Avrupa’da etkilenen ATM’lerden milyonlar çaldıkları söyleniyor. Bu zararlı yazılım doğru komutlarla kart kullanmadan ATM’lerden nakit çekim işlemi gerçekleştirmeye yarıyor.

 

Europol sekiz kişinin kimliği ya da toplamda ne kadar para çaldıkları konusunda yorumda bulunmuyor.

 

其实如今被广泛流传的酒酿蛋丰胸并不是传统制作的酒酿蛋,而是经过长达7年研究丰胸方法,现代科技改良的粉嫩公主酒酿蛋。粉嫩公主酒酿蛋是清朝民间流传下来的一款丰胸产品,主要以天然能量为诉求,经过现代的科技改良后丰胸效果,以实用和实效为特点,是一款100%纯植物提取的美胸品牌。采用的都是天然有机食材丰胸产品:酒酿原汁、土鸡蛋、珍珠糯米、姜汁红糖、泰国野葛根提取物,真正做到健康、安全、便携、高效丰胸产品