information & security technologies
DESCRIPTION
INFORMATION & SECURITY TECHNOLOGIES. BOA - Trend Micro “ Zararlı Yazılım Analizi ve APT”. YasinSÜRER twitter@yasinsurer. Zararlı Yazılımlar. Virüsler Solucanlar Ransomware Bot Arka Kapılar Fork Bomb RAT. BOA INFORMATION AND SECURITY TECHNOLOGIES. Zararlı Yazılım Tarihi. - PowerPoint PPT PresentationTRANSCRIPT
Slide 1
INFORMATION & SECURITY TECHNOLOGIES
BOA -Trend Micro
Zararl Yazlm Analizi ve APTYasinSRERtwitter@yasinsurer
BOA INFORMATION AND SECURITY TECHNOLOGIESZararl YazlmlarVirslerSolucanlarRansomwareBotArka KaplarFork BombRAT
2
BOA INFORMATION AND SECURITY TECHNOLOGIESZararl Yazlm TarihiJohn Von NeumanKendini Kopyalayabilen OtomatlarFrederic B. CohenYaplan lk virs tanm80li yllar ve virsler90l yllar ve virsler2000 ve 20063
BOA INFORMATION AND SECURITY TECHNOLOGIESMotivasyonrenmek, Daha Fazla renmekNeler Yapabileceklerini Kefetmekizilen Snrlarn tesine GeebilmekKendini fade EdebilmekMesaj Kaygs4
BOA INFORMATION AND SECURITY TECHNOLOGIESEskiden Virs YazarlarYeni Teknikler GelitirmePolimorfik Mutasyon MotoruDark Avenger (MtE)Metamorfik VirslerZmistSimile5
BOA INFORMATION AND SECURITY TECHNOLOGIESGnmzde MotivasyonParaPolitik Grler ve MilliyetilikVb.6
BOA INFORMATION AND SECURITY TECHNOLOGIESZararl Yazlm TrleriHardware/Firmwareekirdek Seviyesinde (Kernel-Land)BootkitRootkitKullanc Seviyesinde (User-Land)7
BOA INFORMATION AND SECURITY TECHNOLOGIESZararl Yazlm Teknik zellikleriSanal Ortamlarn TespitiVirtualBoxVmwareHyper-VSktrlm Kod (Obfuscation)ifreleme (Encryption)8
BOA INFORMATION AND SECURITY TECHNOLOGIESGelimi Zararl YazlmlarStuxnetHIKITDuQuZeuSStuxnet SCADA9
BOA INFORMATION AND SECURITY TECHNOLOGIESZararl Yazlmlar ve KapasiteleriGrnt KaydetmeOrtam Dinlemesi A Trafiini DinlemeKlavye KaydetmeUzaktan KontrolVb.10
BOA INFORMATION AND SECURITY TECHNOLOGIESZararl Yazlmlar ve Teknik KapasiteleriAnti-Virsleri AtlatabilirlerFirewall Cihazlar/Yazlmlarn AtlatabilirlerSreleri GizleyebilirlerDizinleri/Dosyalar GizleyebilirlerNetwork Trafiini Gizleyebilirler11
BOA INFORMATION AND SECURITY TECHNOLOGIESZararl Yazlmlar ve Teknik KapasiteleriAnti-Virsleri AtlatabilirlerFirewall Cihazlar/Yazlmlarn AtlatabilirlerSreleri GizleyebilirlerDizinleri/Dosyalar GizleyebilirlerNetwork Trafiini Gizleyebilirler12
BOA INFORMATION AND SECURITY TECHNOLOGIESGelimi Kalc Tehditler (APT)BulamaKontrolKeifVeri Szdrma13
BOA INFORMATION AND SECURITY TECHNOLOGIESAPT - BileenleriInternet Yolu ile Gerekleen EnfeksiyonlarFiziksel Unsurlar ile Gerekleen EnfeksiyonlarHarici Ataklar14
BOA INFORMATION AND SECURITY TECHNOLOGIESAPT Internet ve Yazlm EnfeksiyonlarDrive-by DownloadElektronik Posta EkleriDosya Paylam ProtokolleriPhishing.Browser zerinde tespit edilen gvenlik aklarn kullanarak sisteme siz farketmeden indirir.15
BOA INFORMATION AND SECURITY TECHNOLOGIESAPT Fiziksel Zararl Yazlm EnfeksiyonlarEnfekte USB DisklerEnfekte CD ve DVDEnfekte Hafza KartlarEnfekte CihazlarArka Kap Alan (backdoored) IT Ekipmanlar16
BOA INFORMATION AND SECURITY TECHNOLOGIESAPT Harici AtaklarWi-Fi HackingCloud SunucularSunucularn Barndrld NoktalarProfesyonel Ataklarvb...17
BOA INFORMATION AND SECURITY TECHNOLOGIESAPT Hedeflerlk Hedefli Atak rneiU.S. Air Force 2006Askeri KurumlarDevlet KurulularBankaclk ve FinansSavunma SanayiiHerkes!18
BOA INFORMATION AND SECURITY TECHNOLOGIESAPT1 Unit 61398Merkez: in Halk CumhuriyetiPudong, Shanghai937 Komuta Kontrol Sunucusu13 farkl lkeden, 849 farkl IP adresiDnyann bir ok lkesinden, bir ok farkl kurulu hedef halinde.Sadece Amerika ve Kanada zerinde bulunan ve saldrlardan etkilenen kurulu says; 141
19
BOA INFORMATION AND SECURITY TECHNOLOGIESAPT Unit 61398
20
BOA INFORMATION AND SECURITY TECHNOLOGIESAPT1 Unit 61398En ok Hedeflenen Sektrler/KurumlarITHavaclkKamu KurulularTelekomnikasyonEnerjiFinansEitimVb.21
BOA INFORMATION AND SECURITY TECHNOLOGIESAPT1 Unit 61398Tek bir kurulutan alnan veri boyutu (sktrlm olarak) 6.5 terabyte .Saldrganlarn, szdklar sistemde en uzun, 1.764 gn, ortalama ise 356 gn kaldklar tespit edildi.
22
BOA INFORMATION AND SECURITY TECHNOLOGIESAPT1 Unit 61398Tek bir kurulutan alnan veri boyutu (sktrlm olarak) 6.5 terabyte .Saldrganlarn, szdklar sistemde en uzun, 1.764 gn, ortalama ise 356 gn kaldklar tespit edildi.23
BOA INFORMATION AND SECURITY TECHNOLOGIESrnek Bir APT SaldrsHIKITGelimi Bir Zararl Yazlmdr2011 Ylnda KefedilmitirAma: stihbarat ToplamakHedef: ABD Savunma Bakanl ile alan Mteahhit Firmalar.24
BOA INFORMATION AND SECURITY TECHNOLOGIESTeknik AnalizAnti-Virsler Tarafndan Tespit EdilemiyorFirewall Cihazlar tarafndan tespit edilemiyor.Kendisini Sisteme (Driver) Src Olarak Ekliyor.Uzaktan Kontrol Edilebiliyor25
BOA INFORMATION AND SECURITY TECHNOLOGIESBiraz Daha TeknikKk boyutlu bir *.exe ile sisteme bular.altrlabilir Dosya ierisinde oci.dll isimli bir ktphane barndrr.Bu DLL sisteme imzalanm driver modl ekler.Tm Sreler ekirdek modl zerinden iletilir.26
BOA INFORMATION AND SECURITY TECHNOLOGIESKod mzalama (Code Signing)
27
BOA INFORMATION AND SECURITY TECHNOLOGIESKod mzalama (Code Signing)
28
BOA INFORMATION AND SECURITY TECHNOLOGIESHIKIT ve Saldrgan letiimi
29
BOA INFORMATION AND SECURITY TECHNOLOGIESHIKIT ve Saldrgan letiimi
30
BOA INFORMATION AND SECURITY TECHNOLOGIESHIKIT ve Saldrgan letiimi
31
BOA INFORMATION AND SECURITY TECHNOLOGIESHIKIT ve Saldrgan letiimi
rutin32
BOA INFORMATION AND SECURITY TECHNOLOGIESHIKIT ve Saldrgan letiimi
33
BOA INFORMATION AND SECURITY TECHNOLOGIESRed October2007 ylndan beri zellikle Avrupa, Ortadou ve Asya blgesinde aktif.2012 ylnn Ekim aynda tespit edildi.Hedef: Devlet KurumlarRusyaranAmerikaTrkiyeAma: stihbarat34
BOA INFORMATION AND SECURITY TECHNOLOGIESRed October
35
BOA INFORMATION AND SECURITY TECHNOLOGIESRed October
36
BOA INFORMATION AND SECURITY TECHNOLOGIESRed October
37
BOA INFORMATION AND SECURITY TECHNOLOGIESFinFisherGamma Group Tarafndan Gelitirilmi bir zararl yazlmdrMerkezi ngilterede bulunan bir yazlm firmas.Lisans anlamas, 287,000lk Anlama rnei Hsn Mbarekin ofisinde bulundu.Ama: Siber stihbarat / Dijital GzetimHedef: Herkes!Kapasiteifreli letiimi Monitr EdebilirUzaktan Kontrol Edilebilir.38
BOA INFORMATION AND SECURITY TECHNOLOGIESFinFisher
39
BOA INFORMATION AND SECURITY TECHNOLOGIESFinFisher
40
BOA INFORMATION AND SECURITY TECHNOLOGIESFinFisher C&C
41
BOA INFORMATION AND SECURITY TECHNOLOGIESDexterDexter2012 Aralk Ayndan kefedilmitirWindows iletim Sistemini Hedef AlmaktadrAma: DolandrclkHedef: PoS SistemleriKapasiteUzaktan Kontrol Edilebilirald verilerin tamamn tek bir noktada toplar. 42
BOA INFORMATION AND SECURITY TECHNOLOGIESDexter
43
BOA INFORMATION AND SECURITY TECHNOLOGIESDexter
44
BOA INFORMATION AND SECURITY TECHNOLOGIESShamoonShamoon yada Disttrack2012 ylnda tespit edilmitir.AmaSiber stihbaratSabotajHedef: Enerji SektrSaudi Aramco30.000 adet makineye bulatBSOD!RasGas
45
BOA INFORMATION AND SECURITY TECHNOLOGIESShamoon
46
BOA INFORMATION AND SECURITY TECHNOLOGIESShamoon
47
BOA INFORMATION AND SECURITY TECHNOLOGIESFatMalFatmal19 Aralk 2012 ylnn sonlarnda kefedildiTrkiyede bir ok firma etkilendi TurkcellTHYOltalama (Phising) yntemi ile bulayordu.Tr: BotnetAma: Dolandrclk ?Hedef: Trkiye48
BOA INFORMATION AND SECURITY TECHNOLOGIESFatMal
49
BOA INFORMATION AND SECURITY TECHNOLOGIESFatMal Atak Gelen lkeler
50
BOA INFORMATION AND SECURITY TECHNOLOGIESFatMal
51
BOA INFORMATION AND SECURITY TECHNOLOGIESFatMal
52
BOA INFORMATION AND SECURITY TECHNOLOGIESGeorbotGeorbot2012 ylnn sonlarna doru kefedildi.lk versiyon 2010 ylna ait.Ama: Askeri stihbaratHedef: GrcistanZaman dilimine (Timezone) gre almaktadr.KapasiteleriEkran Grnts Ses KaytTm network tarayabilmeVb..53
BOA INFORMATION AND SECURITY TECHNOLOGIESGeorbot
54
BOA INFORMATION AND SECURITY TECHNOLOGIESGeorbotGrcistan zerinde yayn yapan web siteleri ele geirildi ve zararl yazlm yklendi. (Sadece spesifik bilgiler ieren sayfalara.)Bu haber sitelerini ziyaret edenlere zararl yazlm bulatrld.Zararl yazlm altrldnda sistem zerinde tam kontrol salyordu.Zararl sadece, belirli kelimeleri ieren dkman dosyalarn aryordu.Video ve Audio kayt zellikleri ile ortam dinlemesi ve grntleme yapabilmek mmkndr.55
BOA INFORMATION AND SECURITY TECHNOLOGIESGeorbot
56
BOA INFORMATION AND SECURITY TECHNOLOGIESGeorbot
57
BOA INFORMATION AND SECURITY TECHNOLOGIESFatMalFatmal19 Aralk 2012 ylnn sonlarnda kefedildiTrkiyede bir ok firma etkilendi TurkcellTHYOltalama (Phising) yntemi ile bulayordu.Tr: BotnetAma: Dolandrclk ?Hedef: Trkiye58
BOA INFORMATION AND SECURITY TECHNOLOGIESFatMalC&C CommRusya PolonyaXtreme RATHedefAmerikaIsrailngiltereTurkiye (D leri Bakanl)
59
BOA INFORMATION AND SECURITY TECHNOLOGIESDEMO
60
INFORMATION & SECURITY TECHNOLOGIESQ&AEOF61