BiznetBiznet

WANNAMINE Zararlı Yazılım Analizi

Yazar: Fatih Kayran

Son zamanlarda Bitcoin, Ethereum gibi kripto para birimlerine (cryptocurrency) talebin artması ve bu para birimlerinin oldukça hızlı değer kazanması, saldırganların gözünü bu alana çevirmesine ve kendilerine ait sistemler üzerinde para madenciliği yapılmasına neden olan pek çok zararlı yazılımın ortaya çıkmasına neden oldu.

Özellikle farklı varyantlarda ortaya çıkan bu zararlı yazılımlar wannacry, petya, notpetya gibi fidye yazılımların kullandığı vektörlerle sistemlere bulaşmakta ve kalıcılığını sağlamaktadır. Ransomware’lardan farklı olarak dosyaları encrypt edip, fidye karşılığında decryption işlemi yapmak yerine mevcut sistem üzerinde cryptocurrency mining yapılmasına neden olmaktadır. İncelenen zararlı yazılım Monero(XMR) olarak bilinen cryptocurrency mining yapılmasına neden olmaktadır.

Bu zararlıların sistemlere yayılmak için kullandığı en önemli zaafiyetlerden birisi NSA araçlarının yayınlanması ile ortaya çıkan EternalBlue (CVE-2017-0144/MS17-010) exploitidir. Buna ek olarak anti-virüs yazılımlarına yakalanmamak için dosyasız bulaşma, servis olarak kendini kalıcı hale getirme, diğer sistemlere yayılmak için WMI arabirimleri gibi yöntemlere de sahip olmaya başladılar. Ayrıca zararlı yazılım, bulaştığı sistemler üzerindeki credential bilgilerini mimikatz ile toplayarak ve EternalBlue exploitini kullanarak network üzerindeki başka sistemlere de sıçrayabilmektedir.

Benzer araştırmaları incelediğimizde, raporun ilerleyen bölümlerinde analiz sonuçlarını verdiğimiz zararlı yazılım ve diğer varyantlar arasında benzerlikler bulunmakla beraber bulaşma şekilleri, bağlantı yaptığı IP adresleri ve sunucular, dosya şifrelemesi ve servis isimleri gibi bilgilerde farklılıklar bulunmaktadır.

Bu rapor kapsamında zararlı yazılıma ilişkin detaylarla birlikte, zararlı yazılımın sistemlerden nasıl temizleneceği ve benzer saldırılardan etkilenmemek için yapılması gerekenler raporun son kısmında bulunmaktadır.

Rapora bu bağlantıdan erişebilirsiniz.

 

fatih.kayran
Yazar: fatih.kayran