Kaspersky'den 'Finfisher Casus Yazilimi Yeteneklerini Gelistiriyor' Tespiti
Kaspersky GReAT Küresel Arastirma ve Analiz Ekibi Bas Güvenlik Arastirmacisi Igor Kuznetsov: 'Casus yazilimin yüksek hassasiyetle konuslandirilmasinin ve analiz edilmesinin pratikte imkansiz olmasi, kurbanlarinin savunmasiz oldugu ve arastirmacilarin özel bir zorlukla karsi karsiya kaldigi anlamina geliyor'.
Kaspersky arastirmacilarinin ulastigi bulgular, FinFisher'in bugüne kadar tespit edilmesi en zor casus yazilimlardan biri oldugunu ortaya koydu.
Sirket açiklamasina göre, Kaspersky arastirmacilari, Windows, Mac OS, Linux ve yükleyicileri için FinSpy casus yazilimlarina yapilan son güncellemeler hakkinda kapsamli bir arastirma yayimladi. Tamamlanmasi 8 ay süren arastirma, casus yazilimin gelistiricileri tarafindan kullanilan dört katmanli gizleme ve gelismis anti-analiz önlemlerinin yani sira kurbanlara virüs bulastirmak için bir UEFI ön yükleme kitinin kullanildigini ortaya çikardi. Bulgular, FinFisher'in bugüne kadar tespit edilmesi en zor casus yazilimlardan biri oldugunu ve savunmadan kaçinmaya büyük önem verildigini gösteriyor.
FinSpy veya Wingbird olarak da bilinen FinFisher, Kaspersky'nin 2011'den beri takip ettigi bir gözetim araci. Araç çesitli kimlik bilgilerinin, dosya listelerinin ve silinen dosyalarin yani sira çesitli belgeleri toplama, canli akisla veri kaydetme, web kamerasi ve mikrofona erisim saglama yetenegine sahip. Windows implantlari, FinFisher'in radarin altina girdigi 2018 yilina kadar birkaç kez tespit edildi ve gözlem altina alindi.
Kaspersky çözümleri TeamViewer, VLC Media Player ve WinRAR gibi mesru uygulamalarin kötü amaçli kod içeren ve herhangi bir kötü amaçli yazilima baglanamayan süpheli yükleyicilerini tespit etti.
Casus yazilim virüslü uygulamada önceki sürümlerin aksine iki yeni bilesen tarafindan korunuyordu (kalici olmayan ön dogrulayici ve son dogrulayici). Ilk bilesen, bulastigi aygitin bir güvenlik arastirmacisina ait olmadigindan emin olmak için birden çok güvenlik denetimi gerçeklestiriyor. Kod güvende oldugundan emin olunca sunucu tarafinda Post-Validator bileseni devreye giriyor ve tam tesekküllü Truva ati platformunun dagitimini üstleniyor.
FinFisher, 4 adet özel yapim karmasik "obfuscator" ile büyük ölçüde karistirilan bir örnek. Bu gizlemenin birincil islevi casus yazilim analizini yavaslatmak. Truva ati ayrica bilgi toplamak için tuhaf yollara basvuruyor. Örnegin, bir HTTPS protokolüyle korunan trafigi engellemek için tarayicilardaki gelistirici modundan yararlaniyor.
Arastirmacilar ayrica, Windows UEFI ön yükleyicisinin yerini alan bir FinFisher örnegi kesfetti. Bu bilesen, sistem açildiktan sonra kötü amaçli bilesenle birlikte isletim sistemini baslatiyor. Bu bulasma yolu, saldirganlarin üretici yazilimi güvenlik kontrollerini atlamalarina gerek kalmadan bir ön yükleme seti çalistirmalarina olanak sagliyor. UEFI enfeksiyonlari nadir ve genellikle yürütülmesi zor olurken, iyi saklanmalari ve temizlenmelerinin zor olusuyla öne çikiyorlar. Bu örnekte saldirganlar UEFI ürün yaziliminin kendisine degil, bir sonraki ön yükleme asamasina bulastiysa da kötü amaçli modül ayri bir bölüme kuruldugundan ve virüslü makinenin ön yükleme sürecini kontrol edebildiginden saldiri gizlenmeyi basariyordu.
- "Tüm yazilimlarinizi düzenli olarak güncellemeyi unutmayin"
Açiklamada görüslerine yer verilen Kaspersky GReAT Küresel Arastirma ve Analiz Ekibi Bas Güvenlik Arastirmacisi Igor Kuznetsov, FinFisher'i güvenlik arastirmacilari için erisilebilir kilmak adina yapilan çalismalarin büyüklügünün etkileyici ve endise verici oldugunu belirterek, sunlari kaydetti:
"Görünüse göre gelistiriciler, en az Truva atinin kendisi kadar sasirtma ve analiz karsiti önlemlere dikkat etmisler. Sonuç olarak algilama ve analizden kaçabilme yetenekleri, casus yazilimin izlenmesini ve tespit edilmesini özellikle zorlastiriyor. Casus yazilimin yüksek hassasiyetle konuslandirilmasinin ve analiz edilmesinin pratikte imkansiz olmasi, kurbanlarinin savunmasiz oldugu ve arastirmacilarin özel bir zorlukla karsi karsiya kaldigi anlamina geliyor. Her bir örnegi çözmek için çok büyük miktarda kaynak ayirmak gerekiyor. FinFisher gibi karmasik tehditlerin güvenlik arastirmacilarinin is birligi yapmasinin, bilgi alisverisinde bulunmasinin ve bu tür tehditlerle mücadele edebilecek yeni güvenlik çözümlerine yatirim yapmasinin önemini gösterdigine inaniyorum."
Kaspersky, FinFisher gibi tehditlerden korumak için sunlari öneriyor:
"Uygulamalarinizi ve programlarinizi güvenilir web sitelerinden indirin. Isletim sisteminizi ve tüm yazilimlarinizi düzenli olarak güncellemeyi unutmayin. Birçok güvenlik sorunu yazilimlarin güncellenmis sürümleri yüklenerek çözülebilir. E-posta eklerine güvenmeyin. Bir eki açmak veya bir baglantiyi takip etmek için tiklamadan önce dikkatlice düsünün. Gerçekte nereye gittiklerini görmek için baglantilarin ve eklerin üzerine gelip bekleyin. Bilinmeyen kaynaklardan yazilim yüklemekten kaçinin. Kötü amaçli dosyalar içerebilirler. Tüm bilgisayarlarda ve mobil cihazlarda, Kaspersky Internet Security for Android?veya?Kaspersky Total Security gibi güçlü bir güvenlik çözümü kullanin."
Kuruluslarin korunmasi için ise Kaspersky sunlari öneriyor:
"Kurumsal olmayan yazilim kullanimi için bir politika olusturun. Güvenilmeyen kaynaklardan yetkisiz uygulama indirmenin riskleri konusunda çalisanlarinizi egitin. Hedefli saldirilarin çogu kimlik avi veya diger sosyal mühendislik teknikleriyle basladigindan, personelinize temel siber güvenlik hijyen egitimi verin.
Anti-APT ve EDR çözümlerini kurun. Tehdit kesfi ve tespiti, sorusturma ve olaylarin zamaninda düzeltilmesi özelliklerini etkinlestirin. SOC ekibinizin en son tehdit istihbaratina erisimini saglayin ve profesyonel egitimlerle düzenli olarak becerilerini yükseltin. Yukaridakilerin tümü Kaspersky Expert Security çerçevesi altinda mevcuttur. Uygun uç nokta korumasinin yani sira, özel hizmetler yüksek profilli saldirilara karsi yardimci olabilir. Kaspersky Managed Detection and Response hizmeti, saldirganlar hedeflerine ulasmadan saldirilarin erken asamada belirlenmesine ve durdurulmasina yardimci olur."
Kaynak: AA
Sirket açiklamasina göre, Kaspersky arastirmacilari, Windows, Mac OS, Linux ve yükleyicileri için FinSpy casus yazilimlarina yapilan son güncellemeler hakkinda kapsamli bir arastirma yayimladi. Tamamlanmasi 8 ay süren arastirma, casus yazilimin gelistiricileri tarafindan kullanilan dört katmanli gizleme ve gelismis anti-analiz önlemlerinin yani sira kurbanlara virüs bulastirmak için bir UEFI ön yükleme kitinin kullanildigini ortaya çikardi. Bulgular, FinFisher'in bugüne kadar tespit edilmesi en zor casus yazilimlardan biri oldugunu ve savunmadan kaçinmaya büyük önem verildigini gösteriyor.
FinSpy veya Wingbird olarak da bilinen FinFisher, Kaspersky'nin 2011'den beri takip ettigi bir gözetim araci. Araç çesitli kimlik bilgilerinin, dosya listelerinin ve silinen dosyalarin yani sira çesitli belgeleri toplama, canli akisla veri kaydetme, web kamerasi ve mikrofona erisim saglama yetenegine sahip. Windows implantlari, FinFisher'in radarin altina girdigi 2018 yilina kadar birkaç kez tespit edildi ve gözlem altina alindi.
Kaspersky çözümleri TeamViewer, VLC Media Player ve WinRAR gibi mesru uygulamalarin kötü amaçli kod içeren ve herhangi bir kötü amaçli yazilima baglanamayan süpheli yükleyicilerini tespit etti.
Casus yazilim virüslü uygulamada önceki sürümlerin aksine iki yeni bilesen tarafindan korunuyordu (kalici olmayan ön dogrulayici ve son dogrulayici). Ilk bilesen, bulastigi aygitin bir güvenlik arastirmacisina ait olmadigindan emin olmak için birden çok güvenlik denetimi gerçeklestiriyor. Kod güvende oldugundan emin olunca sunucu tarafinda Post-Validator bileseni devreye giriyor ve tam tesekküllü Truva ati platformunun dagitimini üstleniyor.
FinFisher, 4 adet özel yapim karmasik "obfuscator" ile büyük ölçüde karistirilan bir örnek. Bu gizlemenin birincil islevi casus yazilim analizini yavaslatmak. Truva ati ayrica bilgi toplamak için tuhaf yollara basvuruyor. Örnegin, bir HTTPS protokolüyle korunan trafigi engellemek için tarayicilardaki gelistirici modundan yararlaniyor.
Arastirmacilar ayrica, Windows UEFI ön yükleyicisinin yerini alan bir FinFisher örnegi kesfetti. Bu bilesen, sistem açildiktan sonra kötü amaçli bilesenle birlikte isletim sistemini baslatiyor. Bu bulasma yolu, saldirganlarin üretici yazilimi güvenlik kontrollerini atlamalarina gerek kalmadan bir ön yükleme seti çalistirmalarina olanak sagliyor. UEFI enfeksiyonlari nadir ve genellikle yürütülmesi zor olurken, iyi saklanmalari ve temizlenmelerinin zor olusuyla öne çikiyorlar. Bu örnekte saldirganlar UEFI ürün yaziliminin kendisine degil, bir sonraki ön yükleme asamasina bulastiysa da kötü amaçli modül ayri bir bölüme kuruldugundan ve virüslü makinenin ön yükleme sürecini kontrol edebildiginden saldiri gizlenmeyi basariyordu.
- "Tüm yazilimlarinizi düzenli olarak güncellemeyi unutmayin"
Açiklamada görüslerine yer verilen Kaspersky GReAT Küresel Arastirma ve Analiz Ekibi Bas Güvenlik Arastirmacisi Igor Kuznetsov, FinFisher'i güvenlik arastirmacilari için erisilebilir kilmak adina yapilan çalismalarin büyüklügünün etkileyici ve endise verici oldugunu belirterek, sunlari kaydetti:
"Görünüse göre gelistiriciler, en az Truva atinin kendisi kadar sasirtma ve analiz karsiti önlemlere dikkat etmisler. Sonuç olarak algilama ve analizden kaçabilme yetenekleri, casus yazilimin izlenmesini ve tespit edilmesini özellikle zorlastiriyor. Casus yazilimin yüksek hassasiyetle konuslandirilmasinin ve analiz edilmesinin pratikte imkansiz olmasi, kurbanlarinin savunmasiz oldugu ve arastirmacilarin özel bir zorlukla karsi karsiya kaldigi anlamina geliyor. Her bir örnegi çözmek için çok büyük miktarda kaynak ayirmak gerekiyor. FinFisher gibi karmasik tehditlerin güvenlik arastirmacilarinin is birligi yapmasinin, bilgi alisverisinde bulunmasinin ve bu tür tehditlerle mücadele edebilecek yeni güvenlik çözümlerine yatirim yapmasinin önemini gösterdigine inaniyorum."
Kaspersky, FinFisher gibi tehditlerden korumak için sunlari öneriyor:
"Uygulamalarinizi ve programlarinizi güvenilir web sitelerinden indirin. Isletim sisteminizi ve tüm yazilimlarinizi düzenli olarak güncellemeyi unutmayin. Birçok güvenlik sorunu yazilimlarin güncellenmis sürümleri yüklenerek çözülebilir. E-posta eklerine güvenmeyin. Bir eki açmak veya bir baglantiyi takip etmek için tiklamadan önce dikkatlice düsünün. Gerçekte nereye gittiklerini görmek için baglantilarin ve eklerin üzerine gelip bekleyin. Bilinmeyen kaynaklardan yazilim yüklemekten kaçinin. Kötü amaçli dosyalar içerebilirler. Tüm bilgisayarlarda ve mobil cihazlarda, Kaspersky Internet Security for Android?veya?Kaspersky Total Security gibi güçlü bir güvenlik çözümü kullanin."
Kuruluslarin korunmasi için ise Kaspersky sunlari öneriyor:
"Kurumsal olmayan yazilim kullanimi için bir politika olusturun. Güvenilmeyen kaynaklardan yetkisiz uygulama indirmenin riskleri konusunda çalisanlarinizi egitin. Hedefli saldirilarin çogu kimlik avi veya diger sosyal mühendislik teknikleriyle basladigindan, personelinize temel siber güvenlik hijyen egitimi verin.
Anti-APT ve EDR çözümlerini kurun. Tehdit kesfi ve tespiti, sorusturma ve olaylarin zamaninda düzeltilmesi özelliklerini etkinlestirin. SOC ekibinizin en son tehdit istihbaratina erisimini saglayin ve profesyonel egitimlerle düzenli olarak becerilerini yükseltin. Yukaridakilerin tümü Kaspersky Expert Security çerçevesi altinda mevcuttur. Uygun uç nokta korumasinin yani sira, özel hizmetler yüksek profilli saldirilara karsi yardimci olabilir. Kaspersky Managed Detection and Response hizmeti, saldirganlar hedeflerine ulasmadan saldirilarin erken asamada belirlenmesine ve durdurulmasina yardimci olur."