İçeriğe geçmek için "Enter"a basın

İran’dan Türkiye’ye Siber Saldırı!

Palo Alto tarafından yayımlanan bir araştırma raporu, Kasım ayında Türkiye’deki kamu kurumlarını hedef alan bir saldırının ayrıntılarını açıkladı. Saldırının arkasında, İran kaynaklı Chafer saldırı grubu olduğu düşünülüyor.

Kamu kurumları kadar, hastane, banka, elektrik üretim veya dağıtım şirketleri ve savunma sanayi kuruluşları gibi stratejik sayılabilecek hedeflerin, kendi ağ ve sistemlerinde bu saldırının izlerini aramalarında fayda olacaktır.

Elimizdeki IoC’ler

IoC (Indicators of Compromise) olayın yaşandığına dair ipucu verebilecek bulgulara verilen isimdir. Bunlar IP adresi, alanadı veya dosya adından oluşabilir. Bu olayda yayınlanan IP adresleri ve alanadları aşağıdadır;

  • win10-update[.]com
  • 185.177.59[.]70
  • 134.119.217[.]87
  • win7-update[.]com
  • turkiyeburslari[.]tk
  • xn--mgbfv9eh74d[.]com (تلگرام[.]com)
  • ytb[.]services
  • eseses[.]tk

Zararlı yazılımın adı: lsass.exe

(SHA256 Hash değeri: 0282b7705f13f9d9811b722f8d7ef8fef907bee2ef00bf8ec89df5e7d96d81ff)

Zararlı yazılım bulaştıktan sonra komuta sunucusuna HTTP talepleri göndermeye başlıyor. Giden HTTP istekleri içerisinde kullanıcı adı ve bilgisayar adı ‘-‘ ile ayrılmış olarak görülebiliyor (örn: alper–alperinbilgisayarı).

Komuta sunucusu talimatlarını yine aynı şekilde HTTP üzerinden gönderiyor ve zararlı yazılım gelen komutları sunucu cevapları içerisinden çekerek uyguluyor.

Şu ana kadar tespit edilebilen komutlar arasında şunlar görülebiliyor;

  • Terminate: Bağlantıyı sonlandır.
  • Download: Sunucudan gönderilen adresteki dosyayı hedef makinenin C:\Users\Public\ dosyasına indirir
  • Runtime: Komuta sunucusu ile iletişim kurma sıklığını düzenler
  • Upload: Hedef sistemde bulunan bir dosyanın komuta sunucusuna yüklenmesi sağlanır
  • Cd: (Change Directory) Dizin değiştirir

Yapılması gerekenler:

  • Öncelikle firewall kayıtlarına bakarak bu IP adresleri veya alanadlarına kuruluş bünyesinden erişim olup olmadığının kontrol edilmesi gerekiyor. Erişim olduysa olaya dahil sistemler ağdan yalıtılmalı ve incelenmelidir.
  • Bu IP adreslerinin ve alanadlarının engellenmesinde de fayda olacaktır.
  • Saldırının ilk vektörü konusunda henüz kesin bir bilgi olmasa da büyük ihtimalle oltalama e-posta saldırılarıyla geldiği düşünülebilir.

İlk yorum yapan siz olun

    Bir cevap yazın

    E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir