More Related Content
Similar to Odinaff Zararlısı Analizi (20)
Odinaff Zararlısı Analizi
- 1. Odinaff Zararlısı Analizi Leylim Damla ÇETİN
- 2. Ajanda • Odinaff Zararlısı Nedir? • Nasıl Bulaşır? – Genel Bulaşma Senaryosu – Hedef Sektörler • Nasıl Etki Eder? – SWIFT ile ilişkisi • Nasıl Korulunur?
- 3. Odinaff Zararlısı Nedir? Trojan.Odinaff is a Trojan horse that opens a back door on the compromised computer. Symantec • İlk olarak Ocak 2016’da ortaya çıkmıştır. • Carbanak zararlısıyla ortak yönleri bulunur. • Finans sektörünü hedef alır.
- 4. Nasıl Bulaşır? (Atak vektörleri) • SPAM e-posta eklentileri (Spear Phishing/Hedef odaklı oltalama) • Önceden ele geçirilmiş sistemlere botnetler vasıtasıyla yüklenebilir. • Zararlı web siteleri • Parola korumalı RAR arşiv dosyaları • Bedava yazılımlara enjekte olmuş şekilde • USB Flash Bellekler • Çoğunlukla zararlı makrolar içeren Microsoft Ofis dokümanları ile bulaşır. • Microsoft Windows işletim sistemini hedef alır.
- 5. Genel Bulaşma Senaryosu • Hedef odaklı kimlik avı yapılarak eposta ile kullanıcının mail adresine kötü amaçlı yazılımlar ek olarak yollanır ve zararlı kullanılarak sisteme sızılır. • Kullanıcının tarayıcısındaki zayıf noktalar tespit edilir. • Ağın içine sızdıklarında ise, siber suçlular sistemdeki açıkları bulmak için kullanılan test yazılımları ile farklı katmanlar arasında ilerleyerek Etki Alanı sunucusuna ulaşır. • Bu sunucu kullanılarak banka çalışanlarının para transferleri için kullandıkları bilgisayarlar tespit edip ele geçirilir.
- 6. Genel BulaÅŸma Senaryosu (Carbanak)
- 7. Hedef Sektörler Organizasyonel 44% Finans 34% Bireysel 16% Diğer 6% Çoğunlukla finansal program kullanan bilgisayarların hedef alındığı görülmüştür. -Symantec
- 8. Nasıl Etki Eder? • 5-30 saniye aralıklarla girdiği sistemin ekran görüntüsünü alır. • Komuta kontrol merkezine bu ekran görüntülerini gönderir. • RC4 şifreli anahtarlarını ele geçirir ve Shell komutları çalıştırır. • Bulaştıktan sonra Backdoor.Batel zararlısını da yardımcı program olarak kurar.
- 9. Nasıl Etki Eder? (Devam) • Ayrıca aşağıdaki yardımcı programlar kullanılıp sızılan sistem sayısı arttırılır.  Mimikatz, şifre ve hashleri ele geçirmek için.  PsExec, uzaktan komut çalıştırmak için  Netscan, networkü taramak için  Ammyy Admin (Remacc.Ammyy) uzaktan yönetim için  Runas, başka bir kullanıcı yetkisiyle dosya çalıştırmak için  PowerShell komut satırıyla bütün Windows servislerine erişmek için
- 10. SWIFT ile ilişkisi? • Odinaff zararlısı SWIFT’de kullanılan RC4 şifrelemedeki açıklıktan (CVE-2015-2808) istifade eder. • Zararlı uzaktaki bilgisayara bağlanır, RC4 ile şifrelenmiş dosyaları çekip çalıştırır. • Saldırganların şifrelenmiş trafiği görebilmeleri onlara SWIFT mesajları ve IBAN numaralarını izleyebilmeleri imkanını verir.
- 11. Nasıl korulunur? • 20 yıl önce kurulan SWIFT sistemi yeniden gözden geçirilip tasarımsal hataların ayıklanması sağlanmalıdır. (Öneri) • Microsoft Ofis’deki «Macro desteği» kapatılır. • Windows yamaları zaman kaybetmeden yapılmalıdır. • Dosya paylaşımı kapatılmalıdır. • USB Autorun özelliği kapatılmalıdır.