Kriptopara Madenciliği Gelişiyor

Son dönemde dahil olduğumuz olay müdahale çalışmalarının önemli bir kısmında kuruluş sistemlerinin kriptopara madenciliği için kullanıldığını görüyoruz. Siber saldırganlar ele geçirdikleri sistemlere zarar vermek veya bunların üzerinde bulunan verileri çalmak yerine işlemcileri kullanıyorlar.

Geçtiğimiz hafta iki ayrı olay bize bunun yükselen bir trend olduğunu gösterdi, üstelik hedeftekiler sadece sunucularımız değil.

Önce PowerGhost olarak adlandırılan ve sunucu/istemci ayrımı yapmadan kuruluş ağına yayılabilen zararlının amacı mümkün olduğu kadar çok sisteme sızarak bunların kaynaklarını kriptopara madenciliğinde kullanmak. PowerGhost adından da anlaşılabileceği gibi Windows komut satırında bulunan Powershell’i kullanıyor ve 4 ayrı modülden oluşuyor; madencilik işlevini yerine getiren modül, mimikatz ve 2 DLL. Zararlı yazılım antivirüsleri atlatmak için “dosyasız” çalışıyor, yani diske herhangi bir şey yazmıyor. Herhangi bir sisteme bulaştıktan sonra önce kendisine ait bir versiyon güncellemesi olup olmadığını kontrol ediyor. Yatayda (ağ üzerindeki diğer sistemlere) yayılmak için Microsoft’un kendi araçlarını ve mimikatz ile çaldığı kullanıcı bilgilerini kullanıyor.

Kaspersky tarafından yayınlanan inceleme raporunda PowerGhost’un en yaygın olarak görüldüğü ülkelerin başında Hindistan, Brezilya, Kolombiya ve Türkiye’nin geldiğini hatırlatmakta fayda var.

Antivirüsünüz Kasperky ise büyük ihtimalle PowerGhost’u yakalayacaktır ancak yine de Firewall loglarınıza aşağıdaki 2 alan adı ve IP adresi ile bir trafik olup olmadığını kontrol etmek için bakmanızda fayda var;

  • 7h4uk[.]com
  • 128.43.62
  • 7h4uk[.]com

Bu komuta sunucularına doğru bir trafik tespit ederseniz ilgili sistemdeki kullanıcı bilgilerinin çalındığını varsayıp ilgili olay müdahale prosedürlerini devreye sokmak gerekiyor.

Kriptopara madenciliği yapan zararlı yazılımların yukarıda gördüğümüz gibi sunucu ve istemci, 32 veya 64 bit işletim sistemi ayrımı yapmaksızın veba salgını gibi kuruluş ağlarımızda yayılmaya başladığını görmek kimlik yönetimi ve olay tespit becerilerimizi geliştirmemiz gerektiğine dair önemli bir uyarı niteliğindedir.

Kriptopara madenciliği yapan zararlı yazılımlar sadece Windows işletim sistemini hedef almıyor. Ülkemizde de yaygın olarak kullanılan Mikrotik cihazlarında Nisan ayında çıkan bir açıktan faydalanarak routerları (Mikrotik genelde küçük ağlarda router/firewall işlevlerini birlikte yürütecek şekilde konumlandırır) kriptopara madenciliği için kullanılmasına imkan veriyor.

“Nesnelerin interneti” dediğimizde aklımıza gelen tehditler genelde kişisel gizliğimizin ihlali (birileri evdeki televizyonun kamerasından futbol maçında totem yaparken bizi izleyecek) veya sistemlere fidye yazılım bulaşması (akıllı ve uygulamadan yönetilebilen klimamıza bulaşan fidye yazılım, odayı soğutabilmemiz için bizden 100 TL talep ediyor) olsa da, bundan sonra internete bağlı bütün sistemlerin kriptopara madenciliği için kullanılabileceğini düşünmeye başlamanın zamanı gelmiş.

 

Hits: 88

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*