TR-14-023 (Server Message Block (SMB) Worm Zararlı Yazılımına İlişkin Güvenlik Uyarısı)

Genel Bilgi

Kamuya açık çeşitli kaynaklardan, Server Message Block (SMB) Worm türünde bir zararlı yazılımın son dönemde siber saldırganlar tarafından çeşitli hedef şirketlere yönelik siber saldırılarda kullanıldığı bilgisi alınmıştır. Söz konusu zararlı yazılım, Microsoft Windows SMB üzerinden “brute force authentication” kullanarak yayılmaktadır. 445 sayılı SMB portu üzerinden sistemlere bulaştıktan sonra her 5 dakikada bir komuta kontrol sunucusuna log verisi göndermektedir. Bu log verisi, başarılı olan SMB bulaşma girişimleri bilgisini içermektedir. Yazılımda SMB bağlantılarına ilişkin şifreleri tahmin etmek için geliştirilmiş bir mekanizma da bulunmaktadır. Şifrelerin doğru tahmin edilmesi durumunda dosya paylaşım bağlantısı kurularak zararlı yazılım yeni bulaştığı sistemde çalışmaya başlamaktadır. Yazılımın çeşitli bileşenleri bulunmaktadır.

Yazılımın “listening implant” adı verilen bileşeni ile TCP 195 portuna yapılan bağlantılar ("sensvc.exe" ve "msensvc.exe için) ve TCP 444 portuna ("netcfg.dll") yapılan bağlantılar izlenmektedir.

Yazılımın bir diğer bileşeni bir servis DLL’i olarak tasarlanan “Ligtweight Backdoor”dur. Dosya transferi, sistem izleme, manipüle etme, dosya zamanı eşleştirme ve proxy özellikleri bulunan bu bileşen sistemlerde rastgele kod ve komut çalıştırılmasına da imkan vermektedir. Ayrıca hedef sistemlerin güvenlik duvarında portlar açıp, Universal Plug & Play (UNPN) mekanizmalarını kullanarak yönlendiriciler ve ağ geçidi cihazları hakkında bilgi toplamakta, port adreslemeleri yaparak hedef sistemlere NAT şebekelerinden bağlantılara izin vermektedir.

Yazılımın “proxy tool” bileşeni TCP 443 portu üzerinde çalışarak, hedef sistemin izlenmesi, sistemde rastgele kod çalıştırılması, dizin ve işlemlerin listelenmesi ve dosya transferi yapılmasına imkan vermektedir.

Yazılımın “destructive hard drive tool” bileşeni hedef sistemlerin kurtarılmasını ve yedekten döndürülmesini zorlaştırmak amacıyla hard diskte bulunan verileri geri döndürülemez şekilde silmek için tasarlanmıştır. Söz konusu bileşen saldırganın hedef sistemde sahip olduğu kullanıcı veya yönetici yetkilerine bağlı olarak, sistemde bazı dosyaların yok edilmesi veya sistemin tamamıyla kullanılmaz hale getirilmesine imkan verebilmektedir.

“Destructive Target Cleaning Tool” adlı zararlı yazılım bileşeni hedef sistemlerde Master Boot Record (MBR) üzerine yazarak sistemleri tamamıyla kullanım dışı bırakabilmektedir. Bu bileşende bir uygulama dosyası, tahrip edici özellikleri içeren DLL ve çalıştırılacak komutları içeren şifrelenmiş bir komut dosyası yer almaktadır.

Etki

Söz konusu zararlı yazılımın bulaştığı Microsoft Windows tabanlı sistemleri kullanılmaz hale getirmesi, sistemlerde veri tahribatına yol açması ve kritik verilerin siber saldırganlar tarafından ele geçirilmesine imkan vermesi ihtimal dahilindedir.

Çözüm

Kullanıcıların güncel anti-virüs yazılımları kullanmaları, işletim sistemleri ve uygulama yazılımlarına ilişkin güvenlik güncellemelerini düzenli olarak yapmaları, ayrıca kritik sistemlere yönelik yedekleme ve kurtarma planları oluşturarak hayata geçirmeleri tavsiye edilmektedir.

Kaynaklar

• https://www.us-cert.gov/ncas/alerts/TA14-353A

Kamuoyuna Saygıyla Duyurulur!...

2014-12-23