INFORMATION & SECURITY TECHNOLOGIES

1. INFORMATION & SECURITY TECHNOLOGIES BOA -Trend Micro “ZararlıYazılımAnalizive APT” YasinSÜRER twitter@yasinsurer

2. ZararlıYazılımlar • Virüsler • Solucanlar • Ransomware • Bot • ArkaKapılar • Fork Bomb • RAT BOA INFORMATION AND SECURITY TECHNOLOGIES

3. ZararlıYazılımTarihi • John Von Neuman • “KendiniKopyalayabilenOtomatlar” • Frederic B. Cohen • “Yapılan İlk virüstanımı” • 80’li yıllarvevirüsler • 90’lı yıllarvevirüsler • 2000 ve 2006 BOA INFORMATION AND SECURITY TECHNOLOGIES

4. Motivasyon • Öğrenmek, DahaFazlaÖğrenmek • NelerYapabilecekleriniKeşfetmek • ÇizilenSınırlarınÖtesineGeçebilmek • KendiniİfadeEdebilmek • MesajKaygısı BOA INFORMATION AND SECURITY TECHNOLOGIES

5. EskidenVirüsYazarları • YeniTekniklerGeliştirme • PolimorfikMutasyonMotoru • Dark Avenger (MtE) • MetamorfikVirüsler • Zmist • Simile BOA INFORMATION AND SECURITY TECHNOLOGIES

6. GünümüzdeMotivasyon • Para • PolitikGörüşlerveMilliyetçilik • Vb. BOA INFORMATION AND SECURITY TECHNOLOGIES

7. ZararlıYazılımTürleri • Hardware/Firmware • ÇekirdekSeviyesinde (Kernel-Land) • Bootkit • Rootkit • KullanıcıSeviyesinde (User-Land) BOA INFORMATION AND SECURITY TECHNOLOGIES

8. ZararlıYazılımTeknikÖzellikleri • SanalOrtamlarınTespiti • VirtualBox • Vmware • Hyper-V • SıkıştırılmışKod (Obfuscation) • Şifreleme (Encryption) BOA INFORMATION AND SECURITY TECHNOLOGIES

9. GelişmişZararlıYazılımlar • Stuxnet • HIKIT • DuQu • ZeuS BOA INFORMATION AND SECURITY TECHNOLOGIES

10. ZararlıYazılımlarveKapasiteleri • GörüntüKaydetme • OrtamDinlemesi • AğTrafiğiniDinleme • KlavyeKaydetme • UzaktanKontrol • Vb. BOA INFORMATION AND SECURITY TECHNOLOGIES

11. ZararlıYazılımlarveTeknikKapasiteleri • Anti-VirüsleriAtlatabilirler • Firewall Cihazları/YazılımlarınıAtlatabilirler • SüreçleriGizleyebilirler • Dizinleri/DosyalarıGizleyebilirler • Network TrafiğiniGizleyebilirler BOA INFORMATION AND SECURITY TECHNOLOGIES

12. ZararlıYazılımlarveTeknikKapasiteleri • Anti-VirüsleriAtlatabilirler • Firewall Cihazları/YazılımlarınıAtlatabilirler • SüreçleriGizleyebilirler • Dizinleri/DosyalarıGizleyebilirler • Network TrafiğiniGizleyebilirler BOA INFORMATION AND SECURITY TECHNOLOGIES

13. GelişmişKalıcıTehditler (APT) • Veri Sızdırma • Kontrol • Bulaşma • Keşif BOA INFORMATION AND SECURITY TECHNOLOGIES

14. APT - Bileşenleri • Internet YoluileGerçekleşenEnfeksiyonlar • FizikselUnsurlarileGerçekleşenEnfeksiyonlar • HariciAtaklar BOA INFORMATION AND SECURITY TECHNOLOGIES

15. APT – Internet veYazılımEnfeksiyonları • Drive-by Download • Elektronik Posta Ekleri • DosyaPaylaşımProtokolleri • Phishing. BOA INFORMATION AND SECURITY TECHNOLOGIES

16. APT – FizikselZararlıYazılımEnfeksiyonları • Enfekte USB Diskler • Enfekte CD ve DVD • EnfekteHafızaKartları • EnfekteCihazlar • ArkaKapıAçılan (backdoored) IT Ekipmanları BOA INFORMATION AND SECURITY TECHNOLOGIES

17. APT – HariciAtaklar • Wi-Fi Hacking • Cloud Sunucular • SunucularınBarındırıldığıNoktalar • ProfesyonelAtaklar • vb... BOA INFORMATION AND SECURITY TECHNOLOGIES

18. APT – Hedefler • İlk HedefliAtakÖrneği • “U.S. Air Force – 2006” • AskeriKurumlar • DevletKuruluşları • BankacılıkveFinans • SavunmaSanayii • Herkes! BOA INFORMATION AND SECURITY TECHNOLOGIES

19. APT1 – Unit 61398 • Merkez: ÇinHalkCumhuriyeti • Pudong, Shanghai • 937 KomutaKontrolSunucusu • 13 farklıülkeden, 849 farklı IP adresi • Dünyanınbirçokülkesinden, birçokfarklıkuruluşhedefhalinde. • SadeceAmerikaveKanadaüzerindebulunanvesaldırılardanetkilenenkuruluşsayısı; 141 BOA INFORMATION AND SECURITY TECHNOLOGIES

20. APT – Unit 61398 BOA INFORMATION AND SECURITY TECHNOLOGIES

21. APT1 – Unit 61398 • En ÇokHedeflenenSektörler/Kurumlar • IT • Havacılık • KamuKuruluşları • Telekomünikasyon • Enerji • Finans • Eğitim • Vb. BOA INFORMATION AND SECURITY TECHNOLOGIES

22. APT1 – Unit 61398 • Tekbirkuruluştançalınanveriboyutu (sıkıştırılmışolarak) 6.5 terabyte . • Saldırganların, sızdıklarısistemde en uzun, 1.764 gün, ortalamaise356 günkaldıklarıtespitedildi. BOA INFORMATION AND SECURITY TECHNOLOGIES

23. APT1 – Unit 61398 • Tekbirkuruluştançalınanveriboyutu (sıkıştırılmışolarak) 6.5 terabyte . • Saldırganların, sızdıklarısistemde en uzun, 1.764 gün, ortalamaise356 günkaldıklarıtespitedildi. BOA INFORMATION AND SECURITY TECHNOLOGIES

24. ÖrnekBir APT Saldırısı • HIKIT • GelişmişBirZararlıYazılımdır • 2011 YılındaKeşfedilmiştir • Amaç: İstihbaratToplamak • Hedef: ABD SavunmaBakanlığıileçalışanMüteahhitFirmalar. BOA INFORMATION AND SECURITY TECHNOLOGIES

25. TeknikAnaliz • Anti-VirüslerTarafındanTespitEdilemiyor • Firewall Cihazlarıtarafındantespitedilemiyor. • KendisiniSisteme (Driver) SürücüOlarakEkliyor. • UzaktanKontrolEdilebiliyor BOA INFORMATION AND SECURITY TECHNOLOGIES

26. BirazDahaTeknik • Küçükboyutlubir “*.exe” ilesistemebulaşır. • ÇalıştırılabilirDosyaiçerisinde “oci.dll” isimlibirkütüphanebarındırır. • Bu DLL sistemeimzalanmış driver modülüekler. • TümSüreçler “çekirdekmodül” üzerindenişletilir. BOA INFORMATION AND SECURITY TECHNOLOGIES

27. Kodİmzalama (Code Signing) BOA INFORMATION AND SECURITY TECHNOLOGIES

28. Kodİmzalama (Code Signing) BOA INFORMATION AND SECURITY TECHNOLOGIES

29. HIKIT veSaldırganİletişimi BOA INFORMATION AND SECURITY TECHNOLOGIES

30. HIKIT veSaldırganİletişimi BOA INFORMATION AND SECURITY TECHNOLOGIES

31. HIKIT veSaldırganİletişimi BOA INFORMATION AND SECURITY TECHNOLOGIES

32. HIKIT veSaldırganİletişimi BOA INFORMATION AND SECURITY TECHNOLOGIES

33. HIKIT veSaldırganİletişimi BOA INFORMATION AND SECURITY TECHNOLOGIES

34. Red October • 2007 yılındanberiözellikleAvrupa, OrtadoğuveAsyabölgesindeaktif. • 2012 yılınınEkimayındatespitedildi. • Hedef: DevletKurumları • Rusya • İran • Amerika • Türkiye • Amaç: İstihbarat BOA INFORMATION AND SECURITY TECHNOLOGIES

35. Red October BOA INFORMATION AND SECURITY TECHNOLOGIES

36. Red October BOA INFORMATION AND SECURITY TECHNOLOGIES

37. Red October BOA INFORMATION AND SECURITY TECHNOLOGIES

38. FinFisher • Gamma Group TarafındanGeliştirilmişbirzararlıyazılımdır • Merkeziİngiltere’debulunanbiryazılımfirması. • Lisansanlaşması, €287,000 • İlk AnlaşmaörneğiHüsnüMübarek’inofisindebulundu. • Amaç: Siberİstihbarat / DijitalGözetim • Hedef: Herkes! • Kapasite • ŞifreliİletişimiMonitörEdebilir • UzaktanKontrolEdilebilir. BOA INFORMATION AND SECURITY TECHNOLOGIES

39. FinFisher BOA INFORMATION AND SECURITY TECHNOLOGIES

40. FinFisher BOA INFORMATION AND SECURITY TECHNOLOGIES

41. FinFisher – C&C BOA INFORMATION AND SECURITY TECHNOLOGIES

42. Dexter • Dexter • 2012 AralıkAyındankeşfedilmiştir • Windows işletimSisteminiHedefAlmaktadır • Amaç: Dolandırıcılık • Hedef: PoSSistemleri • Kapasite • UzaktanKontrolEdilebilir • Çaldığıverilerintamamınıtekbirnoktadatoplar. BOA INFORMATION AND SECURITY TECHNOLOGIES

43. Dexter BOA INFORMATION AND SECURITY TECHNOLOGIES

44. Dexter BOA INFORMATION AND SECURITY TECHNOLOGIES

45. Shamoon • ShamoonyadaDisttrack • 2012 yılındatespitedilmiştir. • Amaç • Siberİstihbarat • Sabotaj • Hedef: EnerjiSektörü • Saudi Aramco • 30.000 adetmakineyebulaştı • BSOD! • RasGas BOA INFORMATION AND SECURITY TECHNOLOGIES

46. Shamoon BOA INFORMATION AND SECURITY TECHNOLOGIES

47. Shamoon BOA INFORMATION AND SECURITY TECHNOLOGIES

48. FatMal • Fatmal • 19 Aralık 2012 yılınınsonlarındakeşfedildi • Türkiye’debirçokfirma etkilendi • Turkcell • THY • Oltalama (Phising) yöntemiilebulaşıyordu. • Türü: Botnet • Amaç: Dolandırıcılık ? • Hedef: Türkiye BOA INFORMATION AND SECURITY TECHNOLOGIES

49. FatMal BOA INFORMATION AND SECURITY TECHNOLOGIES

50. FatMal – AtakGelenÜlkeler BOA INFORMATION AND SECURITY TECHNOLOGIES