FinFisher casus yazılımı, yeteneklerini dört seviyeli şaşırtma, UEFI enfeksiyonu ve daha fazlasıyla geliştiriyor | Pelerin Kutusu | Bilim Sanat Yazılım Kitap Oyun Teknoloji Gündemi

FinFisher casus yazılımı, yeteneklerini dört seviyeli şaşırtma, UEFI enfeksiyonu ve daha fazlasıyla geliştiriyor

Kaspersky araştırmacıları Windows, Mac OS, Linux ve yükleyicileri için FinSpy casus yazılımlarına yapılan son güncellemeler hakkında kapsamlı bir araştırma yayınladı. Tamamlanması sekiz ay süren araştırma, casus yazılımın geliştiricileri tarafından kullanılan dört katmanlı gizleme ve gelişmiş anti-analiz tedbirlerinin yanı sıra kurbanlara virüs bulaştırmak için bir UEFI önyükleme kitinin kullanıldığını ortaya çıkardı. Bulgular, FinFisher’ın bugüne kadar tespit edilmesi en sıkıntı casus yazılımlardan biri olduğunu ve savunmadan kaçınmaya büyük ehemmiyet verildiğini gösteriyor.

FinSpy yahut Wingbird olarak da bilinen FinFisher, Kaspersky’nin 2011’den beri takip ettiği bir nezaret aracı. Araç çeşitli kimlik bilgilerinin, evrak listelerinin ve silinen belgelerin yanı sıra çeşitli evrakları toplama, canlı akışla data kaydetme ve web kamerası ve mikrofona erişim sağlama yeteneğine sahip. Windows implantları, FinFisher’ın radarın altına girdiği 2018 yılına kadar birkaç defa tespit edildi ve müşahede altına alındı.

Kaspersky tahlilleri TeamViewer, VLC Media Player ve WinRAR üzere legal uygulamaların makûs emelli kod içeren ve rastgele bir makus emelli yazılıma bağlanamayan kuşkulu yükleyicilerini tespit etti.

Casus yazılım virüslü uygulamada evvelki sürümlerin bilakis iki yeni bileşen tarafından korunuyordu: Kalıcı olmayan ön doğrulayıcı ve son doğrulayıcı. Birinci bileşen, bulaştığı aygıtın bir güvenlik araştırmacısına ilişkin olmadığından emin olmak için birden çok güvenlik kontrolü gerçekleştiriyor. Kod inançta olduğundan emin olunca sunucu tarafında Post-Validator bileşeni devreye giriyor ve tam teşekküllü Truva atı platformunun dağıtımını üstleniyor.

FinFisher, dört adet özel üretim karmaşık ‘obfuscator’ ile büyük ölçüde karıştırılan bir örnek. Bu gizlemenin birincil fonksiyonu casus yazılım tahlilini yavaşlatmak. Truva atı ayrıyeten bilgi toplamak için tuhaf yollara başvuruyor. Örneğin bir HTTPS protokolüyle korunan trafiği engellemek için tarayıcılardaki geliştirici modundan yararlanıyor.

Araştırmacılar ayrıyeten, Windows UEFI önyükleyicisinin yerini alan bir FinFisher örneği keşfettiler. Bu bileşen sistem açıldıktan sonra makus gayeli bileşenle birlikte işletim sistemini başlatıyor. Bu bulaşma yolu, saldırganların üretici yazılımı güvenlik denetimlerini atlamalarına gerek kalmadan bir önyükleme seti çalıştırmalarına imkan sağlıyor. UEFI enfeksiyonları azdır ve ekseriyetle yürütülmesi zordur, iyi saklanmaları ve temizlenmelerinin sıkıntı oluşuyla öne çıkarlar. Bu örnekte saldırganlar UEFI eser yazılımının kendisine değil bir sonraki önyükleme evresine bulaştıysa da berbat maksatlı modül başka bir kısma kurulduğundan ve virüslü makinenin önyükleme sürecini denetim edebildiğinden hücum gizlenmeyi başarıyordu.

Kaspersky GReAT Global Araştırma ve Tahlil Takımı Baş Güvenlik Araştırmacısı Igor Kuznetsov, şunları söylüyor: “FinFisher’ı güvenlik araştırmacıları için erişilebilir kılmak ismine yapılan çalışmaların büyüklüğü etkileyici ve telaş verici. Görünüşe nazaran geliştiriciler, en az Truva atının kendisi kadar şaşırtma ve tahlil aksisi tedbirlere dikkat etmişler. Sonuç olarak algılama ve tahlilden kaçabilme yetenekleri, casus yazılımın izlenmesini ve tespit edilmesini bilhassa zorlaştırıyor. Casus yazılımın yüksek hassasiyetle konuşlandırılmasının ve tahlil edilmesinin pratikte imkansız olması, kurbanlarının savunmasız olduğu ve araştırmacıların özel bir zorlukla karşı karşıya kaldığı manasına geliyor. Her bir örneği çözmek için çok büyük ölçüde kaynak ayırmak gerekiyor. FinFisher üzere karmaşık tehditlerin güvenlik araştırmacılarının iş birliği yapmasının, bilgi alışverişinde bulunmasının ve bu çeşit tehditlerle uğraş edebilecek yeni güvenlik tahlillerine yatırım yapmasının kıymetini gösterdiğine inanıyorum.”

FinFisher hakkındaki raporun tamamını Securelist’te okuyabilirsiniz.

Kendinizi FinFisher üzere tehditlerden korumak için Kaspersky şunları önerir:

  • Uygulamalarınızı ve programlarınızı sağlam web sitelerinden indirin.
  • İşletim sisteminizi ve tüm yazılımlarınızı nizamlı olarak güncellemeyi unutmayın. Birçok güvenlik sorunu yazılımların güncellenmiş sürümleri yüklenerek çözülebilir.
  • E-posta eklerine güvenmeyin. Bir eki açmak yahut bir ilişkiyi takip etmek için tıklamadan evvel dikkatlice düşünün: Tanıdığınız ve güvendiğiniz birinden mi geliyor, bekliyor muydunuz, pak mi? Gerçekte nereye gittiklerini görmek için ilişkilerin ve eklerin üzerine gelip bekleyin.
  • Bilinmeyen kaynaklardan yazılım yüklemekten kaçının. Makûs emelli evraklar içerebilirler.
  • Tüm bilgisayarlarda ve taşınabilir aygıtlarda, Kaspersky Internet Security for Android veya Kaspersky Total Security üzere güçlü bir güvenlik tahlili kullanın.

Kuruluşların korunması için Kaspersky aşağıdakileri öneriyor:

  • Kurumsal olmayan yazılım kullanımı için bir siyaset oluşturun. Güvenilmeyen kaynaklardan yetkisiz uygulama indirmenin riskleri konusunda çalışanlarınızı eğitin.
  • Amaçlı akınların birden fazla kimlik avı yahut öbür toplumsal mühendislik teknikleriyle başladığından, çalışanınıza temel siber güvenlik hijyen eğitimi verin.
  • Anti-APT ve EDR tahlillerini kurun. Tehdit keşfi ve tespiti, soruşturma ve olayların vaktinde düzeltilmesi özelliklerini aktifleştirin. SOC grubunuzun en son tehdit istihbaratına erişimini sağlayın ve profesyonel eğitimlerle nizamlı olarak hünerlerini yükseltin. Üsttekilerin tümü Kaspersky Expert Security çerçevesi altında mevcuttur.
  • Uygun uç nokta müdafaasının yanı sıra, özel hizmetler yüksek profilli ataklara karşı yardımcı olabilir. Kaspersky Managed Detection and Response hizmeti, saldırganlar maksatlarına ulaşmadan akınların erken evrede belirlenmesine ve durdurulmasına yardımcı olur.

Kaynak: (BHA) – Beyaz Haber Ajansı

Kaynak: Beyaz Haber Ajansı

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir