Office Dosyalarının Taşıdığı Fidye Zararlısı Riskleri

Fidye Zararlıları

Son iki yılda kurumların ve kişilerin kabusu haline gelen CryptoLocker zararlısı ilk olarak 2013 yılının Eylül ayında karşımıza çıktı. CryptoLocker, fidye kategorisinde yer alan tehlikeli bir (ransomware) truva atı türüdür. İlk başlarda Microsoft Windows işletim sistemlerini hedef alan bu zararlının zamanla Android cihazlar ve Mac bilgisayarlar için versiyonları da üretilmiştir.

CryptoLocker zararlısı genellikle e-posta eklerinden bilgisayara bulaşarak, bilgisayarınızdaki ve bağlı ağlarda bulunan disklerin içerisindeki bazı dosya türlerini şifrelemektedir. Ardından da kullanıcıya şifreli dosyaların fidye ödemeden çözülemeyeceğini belirten bir mesaj görüntüler. Bazı türlerinde verilen süre içerisinde fidye ödenmediği takdirde şifreli dosyaların geri getirilemeyeceği tehdidinde bulunmaktadır.

Ülkemizde en yaygın haliyle bu zararlılar sahte e-fatura içeren e-postalar yolu ile yayılmaktadır. Ancak saldırganların virüsü yayacak yeni yöntemler geliştirmeye devam ettiklerini de unutmamamız gerekiyor. Son haftalarda sıkça görülen yeni bir yayılma yöntemi olarak Office belgelerindeki makroları görüyoruz.

Not: Daha önce Türkiye’ye özgü yapılmış olan Cryptolocker anketinin sonuçlarına buradan ulaşabilirsiniz.

Neden Makro?

Ofis formatındaki dosyalarda iş dünyasından hesap uzmanları ve bilgi işlem çalışanlarının sıklıkla kullandığı işleri bir formüle bağlamak veya otomatize etmek için kullanılır.

Macrolar sayesinde bilgisayarda kod veya komut çalıştırmak mümkün olduğu için, saldırganlar bu yöntemi sıklıkla kullanmaktadırlar.

Excel, word ve benzeri ofis dosyalarına ustaca saklanmış zararlı kodlar (zararlı makrolar) bilgisayarınıza casus yazılım bulaştırmak ve verilerinizi şifreleyip karşılığında fidye istemek için kullanılabilir.

Siber Güvenlik Teknolojilerinin Yetersizliği

Pratikte bilinen antivirus yazılımları ve sandbox çözümleri yeni nesil zararlılara karşı büyük oranda başarısız olmaktadır. Bu durumun en büyük nedeni ise dijital imzalarını sürekli değiştirme yeteneğine sahip yeni nesil zararlıların artık imza tabanlı ve statik analizler ile tanınamamasıdır.

Zararlı yazılım geliştiricisi kötü niyetli saldırganlar geliştirdikleri yöntemler ile sezgisel ve davranış tabanlı otomatik analiz mekanizmalarını atlatabilmektedir. Bazı durumlarda ise bu teknolojilerin yeni zararlıları keşfetmede geç kalabildiklerini görmekteyiz.

Örnek Bir Fidye Zararlısı

Aşağıdaki örnekte e-posta kutumuza düşen bir postanın analizini sizlerle paylaşıyoruz.

Hiç beklemediğiniz bir başlıkta veya hiç beklemediğiniz bir kişiden sizi ilgilendirdiğini düşündüğünüz bir e-posta alabilirsiniz. Bu zararlı e-postalar bir tanıdığınızdan ya da beklediğiniz bir kaynaktan geliyormuş gibi (taklit edilebilir) görünebilir! Eposta kandırısı ile bir başkası adına eposta göndermenin mümkün olduğunu bir kez daha hatırlatarak analizimize başlıyoruz.

Resim - A “Excel dosyası eklenmiş zararlı bir e-posta örneği”

Resim – 0 “Excel dosyası eklenmiş zararlı bir e-posta örneği”

Örnek Bir Zararlı Yazılım Analizi

Genel olarak “Locky Ransomware” olarak isimlendirilen zararlı, Resim – 0’da görülebildiği gibi bir e-posta ile kurbana gönderiliyor. Kurban e-postasına gelen Excel dosyasını indirip, çalıştırdığı zaman Excel içerisindeki makrolar aktif oluyor ve zararlı yazılım makrolar sayesinde çalışmaya başlıyor.

Bu örnekte, inandırıcı olması için dosya ismi seçilirken kurumsal bir isimlendirme yapıldığı dikkatimizi çekiyor. Daha önceki benzer Cryptolocker fatura virüsü örneklerinde de inandırıcılığın artırılması için fatura isimlerinin özenle seçildiğini görmüştük.

Resim - 1 “Dosya ismi inandırıcılığı artırmak için kurumsal ortamlarda kullanılan şablona sahiptir.”

Resim – 1 “Dosya ismi inandırıcılığı artırmak için kurumsal ortamlarda kullanılan şablona sahiptir.”

Dosyamızın analizine başladığımızda ilk olarak Excel içerisine yerleştirilmiş olan makrolar dikkatimizi çekiyor. Makrolar, Excell ile birlikte çalışarak kurbanın bilgisayarına arka planda Excel’in makro özelliği istismar edilerek paylodı indirme üzerine inşaa edildiği dikkatimizi çekiyor.

Resim – 2‘de makro kodlarını analiz ettiğimiz zaman öncelikle encrypt edilmiş (şifrelenmiş) payloadı bir internet sunucusu üzerinden bilgisayara indirerek işleme başlıyor.

Resim - 2 “Zararlı kod parçalarının indirme adresi”

Resim – 2 “Zararlı kod parçalarının indirme adresi”

Excel veya Word formatındaki Office dosyaları, makroların işlevselliği sebebiyle siber saldırılarda kullanılan en etkin suistimal kaynaklarına dönüşmüş durumdadır. Zararlı Excel dosyasındaki makroları incelediğimizde şifrelenmiş içeriğin internetten indirilerek çözüldüğü ve çalıştırıldığı dikkatimizi çekiyor.

Zararlı yazılım geliştiricisi, kodu karmaşıklaştırarak analizini ciddi anlamda zorlaştırıcı süreçlere pek başvurmamış.

 

Resim – 2’de görebileceğiniz gibi Nutrahacks.com alan adı üzerinden suistimal sonrası sistemde çalışacak ve yetkisiz işlevleri gerçekleştirecek olan içeriği indirme ve çalıştırma işlemi görülüyor. Zararlı makro kodlarını yazan kişi kurbanın bilgisayarındaki dosyaları şifrelemek için gerekli olan işlevi görecek kod parçasını indiriyor ve ardından kodu çözümleyerek çalıştırıyor.

Resim - 3 “Locky macrosu ilk olarak şifreli halde ki kod parçasını indiriyor.”

Resim – 3 “Locky macrosu ilk olarak şifreli halde ki kod parçasını indiriyor.”

İndirilen zararlı içerik, çözümlendikten sonra DLL dosyası formatında  %USERPROFILE%\temp dizinine siluans.dll adı ile dosya yazılıyor. Standart Ransomware zararlılarının kullanıldığı bir yöntem olduğunu ve bu enjeksiyon metodu ile şifreleme işleminin resim 4 ve 5’de başlatıldığını görmekteyiz.

Resim -4 “Enjekte yöntemi”

Resim -4 “Enjekte yöntemi”

 

Resim - 5 “DLL enjekte yöntemi”

Resim – 5 “DLL enjekte yöntemi”

Excel dosyası içerisinde yer alan zararlı makro kodlarının bir diğer aşamaya Resim – 6’da geçtiğini görüyoruz. Locky Ransomware için gerekli olan DLL dosyasının makro yardımı ile Rundll32.exe dosyasını kullanılarak qwerty fonksiyonu çağrılıyor.

Resim - 6 “Rundll32.exe qwerty fonksiyonu”

Resim – 6 “Rundll32.exe qwerty fonksiyonu”

Siluans.dll dosyasını analiz ettiğimiz zaman şifreleme anahtarı için eriştiği komuta kontrol sunucusu ve şifreme işlemi esnasında gerçekleştirdiği File I/O aktiviteleri aşağıdaki gibi resim – 7, 8 ve 9’da görebilirsiniz.

Resim - 7 “Anahtar erişimi”

Resim – 7 “Anahtar erişimi”

 

Resim - 8 “Şifrelenen dosyalar tekil bir sıra numarası ve odin eklentisi ile diske tekrar yazılıyor.”

Resim – 8 “Şifrelenen dosyalar tekil bir sıra numarası ve odin eklentisi ile diske tekrar yazılıyor.”

Zararlı yazılımı oluşturan kişinin tekil sıra numaraları kullanarak tek tek yani dosya başına ücretlendirme alternatifi ile geri kazandırma fonksiyonu geliştirdiğini görüyoruz.

Resim - 9 “Encryption key için plain-text bir kanal tercih ediliyor..”

Resim – 9 “Encryption key için plain-text bir kanal tercih ediliyor..”

Resim – 9’da şifreleme anahtarı için Plain-Text bir kanal tercih ettiğini görüyoruz. Kısacası şifreleme anahtarı için ek bir güvenlik katmanına ihtiyaç duymadığını söyleyebiliriz.

Resim - 10 “Şifreleme işlemi sonrasında standart Ransomware karşılama ekranımız ortaya çıkıyor.”

Resim – 10 “Şifreleme işlemi sonrasında standart Ransomware karşılama ekranımız ortaya çıkıyor.”

Resim 10’da şifreleme işlemi tamamlandıktan sonraki karşılama ekranı görülüyor. Bu aşamaya kadar Ransomeware zararlısının Excel dosyası içerisindeki makro ile nasıl harekete geçtiğini, şifreleme için gerekli olan kod parçasını internet üzerindeki bir sunucudan nasıl aldığını ve şifreleme tamamlandıktan sonra Master Key’in sunuculara gönderilerek, kurbanın her zaman olduğu gibi karşısına bir mesaj çıkartarak fidye istediğini tespit ettik.

Resim - 11 “Şifrelenmiş dosyalarımızı sadece tor browseri yolu ile kurulan bir kanal üzerinden çözebiliyoruz.”

Resim – 11 “Şifrelenmiş dosyalarımızı sadece tor browseri yolu ile kurulan bir kanal üzerinden çözebiliyoruz.”

Mesaj içeriğinde görüldüğü gibi şifrenin çözülmesi için saldırganın TOR ağı altında fidye ödeme yöntemlerini listelediğini görüyoruz. TOR altyapısı ile bağlanılan site üzerinde ödeme işlemi ve şifrenin çözülmesi için gerekli olan açıklamalar yapılmış durumda.

Çözüm Önerileri

Kısaca özetlemeye çalıştığımız Ransomeware analizi sonucunda aşağıdaki gibi bireysel ve kurumsal çözüm önerilerini dikkatinize sunuyoruz.

Bireysel Çözüm Önerileri

  • Bu veya benzeri saldırıların ağırlıklı olarak e-posta üzerinden gerçekleştiğini göz önüne alarak antispam veya antivirus korumanızı sıkılaştırmanızı önermekteyiz.
  • Kişisel bilgisayarlarınızda sezgisel antiloggerlar kullanın.
  • Kaynağına güvenmediğiniz Office dosyaları için makroları etkisiz hale getirin.
  • Tanımadığınız kişilerden gelen ekli dosyaları açmayın!
  • Fatura, Kargo başlıklı epostalara karşı da benzer şüpheyle yaklaşın.

Kurumsal Çözüm Önerileri

  • Antispam Gateway çözümünüzü sıkılaştırın ve bilinen randsomeware tehlikelerine karşı tatbik edin.
  • Çalışanlarınızı bu ve benzeri saldırılara karşı oltalama testleri ile ölçümleyip, birey ve grup özelinde eğitimler gerçekleştirin.
  • Randsomeware alan adı istihbaratı riski önlemede sağlıklı bir çözümdür. Mutlaka benzer servislerden faydalanın.

Not: Bu blog yazısına Slide Share hesabımızdan PDF formatında ulaşabilirsiniz. Derinlemesine analiz yapmak isteyen güvenlik uzmanları ile ilgili dosyayı paylaşabiliriz.