ݺߣ

ݺߣShare a Scribd company logo

Ransomware Nedir, Nasıl Korunulur?

Download as PPTX, PDF
I
Ibrahim Akgul

Sunumda Ransomware tehditlerinin teknik analizleri ve farklı bir koruma yöntemi ile bu zararlılara karşı dokümanların nasıl korunabileceği anlatılmaktadır.

1 of 19
Download to read offline
Protect or Pay?
İbrahim AKGÜL • Resmi olarak - Security Researcher • Hobi olarak – Driver Developer, low-level olan her şey • Ex olarak – Exploit ve Virüs yazarı (malware değil!) • Ek gelir olarak – Bug Hunting, Pentest, Kaynak Kod Analizleri • Sektör Tecrübesi – 2000 - …… (Havacılık ve Finans) • Blog: kernelturk.blogspot.com - yılda bir kez güncellenir 
Ransomware Evrimi Böyle Başladı • Symmetric Encryption
Ransomware Evrimi Böyle devam ediyor.. • AES-256 encryption • Artık .EXE ler’de şifreleniyor • Yönetici hakkı yoksa dosyaları Varsa Petya ile MBR’ı şifreliyor
Locker Ransomware Encryption Ransomware
Sürekli çoğalıyorlar
Ne kadar yetenekliler? Yayılmak için -Sosyal Mühendisliği iyi kullanıyorlar - Çalıştırılabilmek için inandırıcılığı yüksek dosya biçimlerini seçiyorlar Bulaşabilmek İçin - Evasion teknikleri - Shellcode -Exploit - Scripting - Dga - Tor Başarılı Şantaj için - Güvenilir Encryption teknikleri kullanırlar - Ödeme işlemleri takip edilemeyen kanallar üzerinden gerçekleşir.
• Ransomware yazarlarının kusursuz zararlı üretmek gibi bir dertleri yok. Tek beklentileri şantaj aşamalarını hızlıca tamamlamak ve güvenilir bir şekilde hedeflenen ödemeyi almak! • Hedeflerini gerçekleştirebilmek için her yolu mübah görüyorlar. Bazen çok etkili social engineering, evasion hatta 0 day tekniklerini kullanıyorken, bazen de basit bir standalone executable ile de encrypt işlemlerini gerçekleştirebiliyorlar. • Formlarını çok hızlı şekilde değiştirebildiklerinden Process bazlı davranış engelleme sistemlerinden rahatlıkla kurtulabiliyorlar. Bunu başarabilmek için tüm yönleri ile normal olan bir uygulama gibi çalışabiliyorlar. • Sistemlerinzde yer alan hiçbir güvenlik önleyici cihazı dert etmiyorlar. Çünkü bir kez çalıştırıldıktan sonra dosyalarınıza kavuşmak için tüm yetkileri sizin elinizle alacaklarından gayet eminler. • - Bir Ransomware salgının başarılı sayılabilmesi için tamamlaması gereken 5 adım vardır. Bunlar; . Cihaza herhangi bir yolla gir ve çalış . Cihaz kullanıcısının dikkatini çekip işlemin kesilmesine fırsat vermeden görevini tamamla . Görev sonrası bilgilendirme yaparak şantaja başla . Fidyeyi al . Fidye alındıktan sonra cihazı eski haline getir. Ransomware ilk iki aşama da başarısız olursa bu tüm görevin başarısızlıkla sonuçlandığı anlamına gelir Şayet son 3 adımda başarısız olursa bu Ransomware için kısmi bir başarı sayılır ve zarar verdiği
Bilinmeyen bir Encryption zararlısını engelleyebilmenin yöntemlerinden 2’si şöyledir; • Sızma aşamasındayken Ağ katmanında, • Injection veya Encryption aşamasındayken, Endpoint katmanında. Endpoint katmanındayken Encryption Ransomware’ı engellemenin 3 yolu vardır. Bunlar; • Encryption veya Injection aşamasında kullanılabilecek API’lerin Kernel’de hook’lanması ile (veya Ca • Encryption için C&C iletişimi aşamasında OS Network katmanında (TDI.sys, NDIS.sys) • Dosyaların Encryption’ı esnasında File System seviyesinde I/O audit yapılması ile (Fltmgr.sys, Disk.
Encryption Ransomware Tehditlerini Engellemede Bakış Açıları Process Bazlı davranış analizinde karar faktörleri, • Yapılan istek Authenticode bir process’den mi geliyor? • Yapılan istek Whitelist’de yer alan bir process’den mi geliyor? • Yapılan istek Injecte edilen bir thread üzerinde mi geliyor? • Yapılan istek Hook edilen blacklistli fonksiyonlardan mı geliyor? ……….. Process bazlı yaklaşım iyi bilinen zararlı davranışları için oldukça etkilidir. Ancak yüksek oranda normal davranış sergileyen veya potansiyel bilinmeyen evasion teknikleri karşısında zararlılar için tek başlarına yetersiz kalmaktadır. Ağ Tabanlı davranış analizinde karar faktörleri, • C&C haberleşmesi, key’in alınması, mail gönderimi vs..yapılan ip • Yeni alınmış bir domain name’den mi geliyor? • Repütasyon bilgisi black ya da Unknown’mu? • Honeypot veya Ağ tabanlı analiz sistemlerinden alınan sonuçlar • «Dosya sistemi seviyesinde engelleme» yaklaşımında process davranışlarının bir önemi yoktur. • İsteği yapan process’den ziyade isteğin yapıldığı dosya nesnesinin yapısı risk faktörü olarak değerlendirilir. • Korunması hedeflenen dosya tipine ait dosya yapısına karşı yapılacak her türlü IO isteği denetime tabidir.
Ransomware Nedir, Nasıl Korunulur?
Ransomware Tehditlerinin Önlenmesinde Alternatif Çözüm Önerisi IOAudit
IOAudit Farklı Ne Yapıyor? Ne Yapar: 1. Zararlılarla ve yaptıkları ile ilgilenmez 2. Koruduğu dosya tiplerine karşı yapılan her türlü aktiviteyi on-Access analiz eder 3. Sadece file monitoring değil I/O Auditing yaparak illegal I/O requestlere karşı bloklama gerçekl 4. Dosya yapısına müdahale etmeyen normal processlerin işleyişine karışmaz! Açıklama: IOAudit bir Anti değildir. Anti’ler için tamamlayıcı bir endpoint güvenlik çözümüdür. Desteklediği her dosya tipine yapılan File I/O isteklerini denetleyerek yapısal bütünlük koruması vaat eder. Şimdiye kadar bilinen bütün Encryption Ransomware ataklarına karşı koruduğu dosya formatlarında %99 başarı elde etmiştir.
SIEM Entegrasyonu ile Kurumsal Yapınızdaki IOAudit Yüklü Tüm Sistemlerden İstihbararat Alabilirsiniz
Cryptolocker saldırısı esnasında IOAudit’in Davranışı
APP-1 APP-2 Cryptxxx Win32 API Interface CreateFile WriteFile MoveFile NtCreateFile NtWriteFile NtSetInformationFile I/O Manager irp_mj_create irp_mj_write irp_mj_set_informatio n Filter Manager Gelen IO isteklerini Filter Driver’a iletir ve gelen cevaba göre File System’e gönderir. IOAudit.sys Filter Driver Dosya üzerinde yapılan tüm IO istekleri önce burada filtre edilir File System Driver Filter Driver tarafından işlenen ve modifiye edilen IO isteğini Disk’e gönderir File System Driver Filter Driver tarafından işlenen ve modifiye edilen IO isteğini Storage Driver’a gönderir IOAudit.dll Yapısal kontrollerin yapıldığı ve ihlal prosedürünün işletildiliği interface IOAudit Gui.exe
The highest technique is to have no technique My technique is a result of your technique; my movement is a result of your movement.
Ransomware Nedir, Nasıl Korunulur?
Ransomware Nedir, Nasıl Korunulur?

Recommended

Başarılı Bir Siber Saldırının Perde Arkası ve Vaka Analizi
Başarılı Bir Siber Saldırının Perde Arkası ve Vaka AnaliziBaşarılı Bir Siber Saldırının Perde Arkası ve Vaka Analizi
Başarılı Bir Siber Saldırının Perde Arkası ve Vaka Analizi
Onur Alanbel
Yapılan ağ saldırılarına karşı önlemler
Yapılan ağ saldırılarına karşı önlemlerYapılan ağ saldırılarına karşı önlemler
Yapılan ağ saldırılarına karşı önlemler
Ilkin Azizov
Odinaff Zararlısı Analizi
Odinaff Zararlısı AnaliziOdinaff Zararlısı Analizi
Odinaff Zararlısı Analizi
Leylim Damla Çetin
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziKurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
BGA Cyber Security
Lecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel KavramlarLecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel Kavramlar
TurkIOT
Siber Olaylara Müdahale Sunumu
Siber Olaylara Müdahale SunumuSiber Olaylara Müdahale Sunumu
Siber Olaylara Müdahale Sunumu
BGA Cyber Security
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...
CypSec - Siber Güvenlik Konferansı
Zafiyet tespiti ve sizma yöntemleri
Zafiyet tespiti ve sizma yöntemleriZafiyet tespiti ve sizma yöntemleri
Zafiyet tespiti ve sizma yöntemleri
EPICROUTERS
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliğiBilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
EPICROUTERS
Kaynak Kod Analiz Süreci
Kaynak Kod Analiz SüreciKaynak Kod Analiz Süreci
Kaynak Kod Analiz Süreci
PRISMA CSI
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
BGA Cyber Security
Hacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıHacking Uygulamaları ve Araçları
Hacking Uygulamaları ve Araçları
Mustafa
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıBilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Raif Berkay DİNÇEL
Jetico personal firewall 2
Jetico personal firewall 2Jetico personal firewall 2
Jetico personal firewall 2
Mutlu
Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)
Alper Başaran
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux 2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
Burak Oğuz
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
BGA Cyber Security
Sandbox Atlatma Teknikleri ve Öneriler
Sandbox Atlatma Teknikleri ve ÖnerilerSandbox Atlatma Teknikleri ve Öneriler
Sandbox Atlatma Teknikleri ve Öneriler
BGA Cyber Security
Log yönetimi ve 5651
Log yönetimi ve 5651Log yönetimi ve 5651
Log yönetimi ve 5651
Osman do?n
Zed attack-proxy-web
Zed attack-proxy-webZed attack-proxy-web
Zed attack-proxy-web
Barkın Kılıç
Bilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptx
Bilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptxBilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptx
Bilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptx
memrah2955
Internet.ppt_4
Internet.ppt_4Internet.ppt_4
Internet.ppt_4
Rahme Latif Gündoğan
Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)
Cihan Özhan
Biricikoglu Islsisguv Sunum
Biricikoglu Islsisguv SunumBiricikoglu Islsisguv Sunum
Biricikoglu Islsisguv Sunum
eroglu
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı Tespiti
Sparta Bilişim
SİBER GÜVENLİK
SİBER GÜVENLİKSİBER GÜVENLİK
SİBER GÜVENLİK
gereksizlerim
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
BGA Cyber Security
Sysmon İle Siber Tehdit Avcılığı (Threat Hunting)
Sysmon İle Siber Tehdit Avcılığı (Threat Hunting)Sysmon İle Siber Tehdit Avcılığı (Threat Hunting)
Sysmon İle Siber Tehdit Avcılığı (Threat Hunting)
Oğuzcan Pamuk

More Related Content

Similar to Ransomware Nedir, Nasıl Korunulur? (20)

Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliğiBilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
EPICROUTERS
Kaynak Kod Analiz Süreci
Kaynak Kod Analiz SüreciKaynak Kod Analiz Süreci
Kaynak Kod Analiz Süreci
PRISMA CSI
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
BGA Cyber Security
Hacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıHacking Uygulamaları ve Araçları
Hacking Uygulamaları ve Araçları
Mustafa
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıBilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Raif Berkay DİNÇEL
Jetico personal firewall 2
Jetico personal firewall 2Jetico personal firewall 2
Jetico personal firewall 2
Mutlu
Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)
Alper Başaran
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux 2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
Burak Oğuz
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
BGA Cyber Security
Sandbox Atlatma Teknikleri ve Öneriler
Sandbox Atlatma Teknikleri ve ÖnerilerSandbox Atlatma Teknikleri ve Öneriler
Sandbox Atlatma Teknikleri ve Öneriler
BGA Cyber Security
Log yönetimi ve 5651
Log yönetimi ve 5651Log yönetimi ve 5651
Log yönetimi ve 5651
Osman do?n
Zed attack-proxy-web
Zed attack-proxy-webZed attack-proxy-web
Zed attack-proxy-web
Barkın Kılıç
Bilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptx
Bilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptxBilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptx
Bilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptx
memrah2955
Internet.ppt_4
Internet.ppt_4Internet.ppt_4
Internet.ppt_4
Rahme Latif Gündoğan
Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)
Cihan Özhan
Biricikoglu Islsisguv Sunum
Biricikoglu Islsisguv SunumBiricikoglu Islsisguv Sunum
Biricikoglu Islsisguv Sunum
eroglu
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı Tespiti
Sparta Bilişim
SİBER GÜVENLİK
SİBER GÜVENLİKSİBER GÜVENLİK
SİBER GÜVENLİK
gereksizlerim
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
BGA Cyber Security
Sysmon İle Siber Tehdit Avcılığı (Threat Hunting)
Sysmon İle Siber Tehdit Avcılığı (Threat Hunting)Sysmon İle Siber Tehdit Avcılığı (Threat Hunting)
Sysmon İle Siber Tehdit Avcılığı (Threat Hunting)
Oğuzcan Pamuk
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliğiBilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
EPICROUTERS
Kaynak Kod Analiz Süreci
Kaynak Kod Analiz SüreciKaynak Kod Analiz Süreci
Kaynak Kod Analiz Süreci
PRISMA CSI
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
BGA Cyber Security
Hacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıHacking Uygulamaları ve Araçları
Hacking Uygulamaları ve Araçları
Mustafa
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıBilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Raif Berkay DİNÇEL
Jetico personal firewall 2
Jetico personal firewall 2Jetico personal firewall 2
Jetico personal firewall 2
Mutlu
Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)
Alper Başaran
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux 2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
Burak Oğuz
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
BGA Cyber Security
Sandbox Atlatma Teknikleri ve Öneriler
Sandbox Atlatma Teknikleri ve ÖnerilerSandbox Atlatma Teknikleri ve Öneriler
Sandbox Atlatma Teknikleri ve Öneriler
BGA Cyber Security
Log yönetimi ve 5651
Log yönetimi ve 5651Log yönetimi ve 5651
Log yönetimi ve 5651
Osman do?n
Zed attack-proxy-web
Zed attack-proxy-webZed attack-proxy-web
Zed attack-proxy-web
Barkın Kılıç
Bilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptx
Bilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptxBilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptx
Bilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptx
memrah2955
Internet.ppt_4
Internet.ppt_4Internet.ppt_4
Internet.ppt_4
Rahme Latif Gündoğan
Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)
Cihan Özhan
Biricikoglu Islsisguv Sunum
Biricikoglu Islsisguv SunumBiricikoglu Islsisguv Sunum
Biricikoglu Islsisguv Sunum
eroglu
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı Tespiti
Sparta Bilişim
SİBER GÜVENLİK
SİBER GÜVENLİKSİBER GÜVENLİK
SİBER GÜVENLİK
gereksizlerim
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
BGA Cyber Security
Sysmon İle Siber Tehdit Avcılığı (Threat Hunting)
Sysmon İle Siber Tehdit Avcılığı (Threat Hunting)Sysmon İle Siber Tehdit Avcılığı (Threat Hunting)
Sysmon İle Siber Tehdit Avcılığı (Threat Hunting)
Oğuzcan Pamuk

Ransomware Nedir, Nasıl Korunulur?

  • 2. İbrahim AKGÜL • Resmi olarak - Security Researcher • Hobi olarak – Driver Developer, low-level olan her şey • Ex olarak – Exploit ve Virüs yazarı (malware değil!) • Ek gelir olarak – Bug Hunting, Pentest, Kaynak Kod Analizleri • Sektör Tecrübesi – 2000 - …… (Havacılık ve Finans) • Blog: kernelturk.blogspot.com - yılda bir kez güncellenir 
  • 4. Ransomware Evrimi Böyle devam ediyor.. • AES-256 encryption • Artık .EXE ler’de şifreleniyor • Yönetici hakkı yoksa dosyaları Varsa Petya ile MBR’ı şifreliyor
  • 7. Ne kadar yetenekliler? Yayılmak için -Sosyal Mühendisliği iyi kullanıyorlar - Çalıştırılabilmek için inandırıcılığı yüksek dosya biçimlerini seçiyorlar Bulaşabilmek İçin - Evasion teknikleri - Shellcode -Exploit - Scripting - Dga - Tor Başarılı Şantaj için - Güvenilir Encryption teknikleri kullanırlar - Ödeme işlemleri takip edilemeyen kanallar üzerinden gerçekleşir.
  • 8. • Ransomware yazarlarının kusursuz zararlı üretmek gibi bir dertleri yok. Tek beklentileri şantaj aşamalarını hızlıca tamamlamak ve güvenilir bir şekilde hedeflenen ödemeyi almak! • Hedeflerini gerçekleştirebilmek için her yolu mübah görüyorlar. Bazen çok etkili social engineering, evasion hatta 0 day tekniklerini kullanıyorken, bazen de basit bir standalone executable ile de encrypt işlemlerini gerçekleştirebiliyorlar. • Formlarını çok hızlı şekilde değiştirebildiklerinden Process bazlı davranış engelleme sistemlerinden rahatlıkla kurtulabiliyorlar. Bunu başarabilmek için tüm yönleri ile normal olan bir uygulama gibi çalışabiliyorlar. • Sistemlerinzde yer alan hiçbir güvenlik önleyici cihazı dert etmiyorlar. Çünkü bir kez çalıştırıldıktan sonra dosyalarınıza kavuşmak için tüm yetkileri sizin elinizle alacaklarından gayet eminler. • - Bir Ransomware salgının başarılı sayılabilmesi için tamamlaması gereken 5 adım vardır. Bunlar; . Cihaza herhangi bir yolla gir ve çalış . Cihaz kullanıcısının dikkatini çekip işlemin kesilmesine fırsat vermeden görevini tamamla . Görev sonrası bilgilendirme yaparak şantaja başla . Fidyeyi al . Fidye alındıktan sonra cihazı eski haline getir. Ransomware ilk iki aşama da başarısız olursa bu tüm görevin başarısızlıkla sonuçlandığı anlamına gelir Şayet son 3 adımda başarısız olursa bu Ransomware için kısmi bir başarı sayılır ve zarar verdiği
  • 9. Bilinmeyen bir Encryption zararlısını engelleyebilmenin yöntemlerinden 2’si şöyledir; • Sızma aşamasındayken Ağ katmanında, • Injection veya Encryption aşamasındayken, Endpoint katmanında. Endpoint katmanındayken Encryption Ransomware’ı engellemenin 3 yolu vardır. Bunlar; • Encryption veya Injection aşamasında kullanılabilecek API’lerin Kernel’de hook’lanması ile (veya Ca • Encryption için C&C iletişimi aşamasında OS Network katmanında (TDI.sys, NDIS.sys) • Dosyaların Encryption’ı esnasında File System seviyesinde I/O audit yapılması ile (Fltmgr.sys, Disk.
  • 10. Encryption Ransomware Tehditlerini Engellemede Bakış Açıları Process Bazlı davranış analizinde karar faktörleri, • Yapılan istek Authenticode bir process’den mi geliyor? • Yapılan istek Whitelist’de yer alan bir process’den mi geliyor? • Yapılan istek Injecte edilen bir thread üzerinde mi geliyor? • Yapılan istek Hook edilen blacklistli fonksiyonlardan mı geliyor? ……….. Process bazlı yaklaşım iyi bilinen zararlı davranışları için oldukça etkilidir. Ancak yüksek oranda normal davranış sergileyen veya potansiyel bilinmeyen evasion teknikleri karşısında zararlılar için tek başlarına yetersiz kalmaktadır. Ağ Tabanlı davranış analizinde karar faktörleri, • C&C haberleşmesi, key’in alınması, mail gönderimi vs..yapılan ip • Yeni alınmış bir domain name’den mi geliyor? • Repütasyon bilgisi black ya da Unknown’mu? • Honeypot veya Ağ tabanlı analiz sistemlerinden alınan sonuçlar • «Dosya sistemi seviyesinde engelleme» yaklaşımında process davranışlarının bir önemi yoktur. • İsteği yapan process’den ziyade isteğin yapıldığı dosya nesnesinin yapısı risk faktörü olarak değerlendirilir. • Korunması hedeflenen dosya tipine ait dosya yapısına karşı yapılacak her türlü IO isteği denetime tabidir.
  • 13. IOAudit Farklı Ne Yapıyor? Ne Yapar: 1. Zararlılarla ve yaptıkları ile ilgilenmez 2. Koruduğu dosya tiplerine karşı yapılan her türlü aktiviteyi on-Access analiz eder 3. Sadece file monitoring değil I/O Auditing yaparak illegal I/O requestlere karşı bloklama gerçekl 4. Dosya yapısına müdahale etmeyen normal processlerin işleyişine karışmaz! Açıklama: IOAudit bir Anti değildir. Anti’ler için tamamlayıcı bir endpoint güvenlik çözümüdür. Desteklediği her dosya tipine yapılan File I/O isteklerini denetleyerek yapısal bütünlük koruması vaat eder. Şimdiye kadar bilinen bütün Encryption Ransomware ataklarına karşı koruduğu dosya formatlarında %99 başarı elde etmiştir.
  • 14. SIEM Entegrasyonu ile Kurumsal Yapınızdaki IOAudit Yüklü Tüm Sistemlerden İstihbararat Alabilirsiniz
  • 15. Cryptolocker saldırısı esnasında IOAudit’in Davranışı
  • 16. APP-1 APP-2 Cryptxxx Win32 API Interface CreateFile WriteFile MoveFile NtCreateFile NtWriteFile NtSetInformationFile I/O Manager irp_mj_create irp_mj_write irp_mj_set_informatio n Filter Manager Gelen IO isteklerini Filter Driver’a iletir ve gelen cevaba göre File System’e gönderir. IOAudit.sys Filter Driver Dosya üzerinde yapılan tüm IO istekleri önce burada filtre edilir File System Driver Filter Driver tarafından işlenen ve modifiye edilen IO isteğini Disk’e gönderir File System Driver Filter Driver tarafından işlenen ve modifiye edilen IO isteğini Storage Driver’a gönderir IOAudit.dll Yapısal kontrollerin yapıldığı ve ihlal prosedürünün işletildiliği interface IOAudit Gui.exe
  • 17. The highest technique is to have no technique My technique is a result of your technique; my movement is a result of your movement.

Editor's Notes

  • #7: Ransomware salgını o kadar hızlı ilerliyor ki , sunum üstünde de göreceğiniz gibi Mischa zararlısı güncel trend şemasında yer almıyor bile!