Dosya depolama

“Modern İnternet saldırıları” makalesi Sophos Plc ve SophosLabs tarafından sunulmaktadır.

Ağustos 2007

E-posta yoluyla zararlı içerik yaymak, e-posta saldırılarının yaygın bir zayıflığıdır çünkü kuruluşların gelen postada sıkı filtreleme politikaları uygulayarak tehditle başa çıkmalarına olanak tanır. Bu, içeriği engellemenize veya çok daha dikkatli bir şekilde kontrol etmenize olanak tanır. Kötü amaçlı yazılım yaratıcıları genellikle, yalnızca ana bileşeni (parolaları çalmak için bir arka kapı programı veya bir tuş kaydedici — bir klavye casusu) değil, aynı zamanda bir Truva atı indiricisini de içeren büyük ölçekli spam posta listeleri kullanır. Tek amacı, diğer içeriği yüklemek (genellikle HTTP üzerinden) ve çalıştırmaktır. Bir indirici kullanmak, kötü amaçlı yazılım yaratıcılarına birkaç avantaj sağlar:

  • E-posta mesajlarının ve ana kötü amaçlı bileşenlerin ayrılması.

    Yükleme işlevi, birçok farklı şekilde çok kompakt bir ikili dosyada uygulanabilir. Bu, posta koruma sisteminden geçebilecek kötü amaçlı dosyalar oluşturmayı kolaylaştırır. Ayrıca, yayılmış indirici başlatıldıktan hemen sonra indirme başlamayabilir. Gecikme, virüs bulaşmış bilgisayarda kötü amaçlı etkinliği tespit etmeyi zorlaştırır. Bu, yaratıcıların bilgisayarda kullanılan çeşitli davranış analizi teknolojilerinden kaçmasına da olanak tanır.

  • Uzaktaki içeriğin (ana bileşenin) değiştirilmesi.

    Saldırı sırası, son URL tarafından yerleştirilen içeriği değiştirerek kolayca değiştirilebilir. Genellikle bu, sunucu otomasyonu yoluyla yapılır. Bu, birden fazla tehdit varyasyonu oluşturmanıza olanak tanır. Genellikle bunlar, yeniden paketleme, yeniden şifreleme veya otomatik yeniden derleme ile uygulanır, sonuç olarak yüzlerce benzersiz varyasyon oluşturulur. Statik URL’lerde bulunan kötü amaçlı yazılımları izlemek, güncellemelerinin sıklığını takip etmenizi sağlar. Otomasyonun kullanımı açıktır. Birçok komut dosyası ailesi günde birkaç kez güncellenir ve bazı kötü şöhretli aileler 1-4 gün aralıklarla yeniden oluşturulur.

  • Aşamalı indirme.

    Yükleyicinin ana bileşeni bir kerede yüklemesi gerekmez. İndirme mekanizması, içeriği çeşitli alanlardan yükleyen diğer indirici bileşenlerini kullanabilir. Çoğu zaman indirici, indirme ile ilgili daha fazla talimat içeren yalnızca yapılandırma dosyasını alır.

Bu mekanizma, kötü amaçlı yazılım yaymak için İnternet’i kullanmanın en yaygın yollarından birini tanımlar. Aslında, burada İnternet, gerekli içeriğin yüklenebileceği bir dosya depolama alanı olarak kullanılmaktadır. Sık yazılım güncellemeleri için otomasyonun kullanılması, birden fazla alanı içeren çok katmanlı indirme ile birleştiğinde, genellikle çok sayıda kötü amaçlı yazılım bileşeni ve URL’nin kullanıldığı son derece karmaşık enfeksiyon mekanizmalarının oluşturulmasına yol açar. Kötü amaçlı yazılım yaratıcıları için, bu tür teknikler son derece esnek bir ortam yaratır.

Son iki yılda, güvenlik alanında çalışan şirketler, Truva atı indiricilerinin sayısında keskin bir artış kaydetmiştir [17]. Bu tür birçok Truva ailesi vardır. Bunlar arasında en ünlülerinden biri Clagger’dır [18]. Bu aile, antivirüs yazılımları tarafından tespit edilmekten kaçınmak için birçok kez değiştirilmiştir. Şubat 2007’den bu yana, neredeyse 80 benzersiz varyasyon tespit edilmiştir (örneğin, Mal/Clagger). Bu indirici genellikle e-posta spam yoluyla dağıtılır, alınan örneklerin zaman dağılımından da anlaşılacağı gibi, etkinlik dalgaları saldırı dalgalarıyla çakışır. Clagger indiricilerinin büyük bir kısmı, İnternet bankacılığı kimlik bilgilerini toplamak için kullanılan başka bir kötü şöhretli aile olan Cimuz’dan kötü amaçlı yazılım indirmek ve yüklemek için dağıtılmıştır [19].
2007 yılında, ek yerine sadece bir bağlantı içeren spam e-postaların sayısında bir artış oldu. Alıcının bağlantıya tıklamasını sağlamak için sosyal mühendislik araçları kullanıldı. Genellikle böyle bir sayfa, kullanıcı sayfayı ziyaret ettiğinde kötü amaçlı yazılım yükleyen ve çalıştıran kötü amaçlı bir komut dosyası içerir.

eCard [20, 21, 22] spam e-postalarındaki son artış, bu tür saldırıların mükemmel bir örneğidir. Kullanıcı bir e-posta mesajındaki bağlantıya tıklarsa, Şekil 1’de gösterilen sayfaya benzer bir sayfaya gider.

Şek. 1. Bir kullanıcı Mal/Dorf spam mesajından bir bağlantıyı takip ettiğinde görüntülenen web sayfası.

Sayfa, bir dizi tarayıcı güvenlik açığından yararlanmaya çalışan kötü amaçlı bir betik (Troj/JSXor-Gen [23] olarak tanımlanıyor) içeriyor (bkz. Şek. 2) kötü amaçlı Dorf bileşenlerini indirmeye ve çalıştırmaya çalışır [24]. Gizliliği ihlal edilmiş bir bilgisayar, daha fazla spam gönderimi ve kötü amaçlı sayfaların barındırılması için kullanılabilir (böyle bir bilgisayardan gönderilen mesajlar ona bir bağlantı içerecektir). Diğer İnternet saldırılarında, benzer JSXor-Gen komut dosyaları kullanılır. Kullanıcı bir tehlikeye girmiş siteyi ziyaret ettiğinde yüklenirler (bkz. Bölüm 3.1). Tüm bunlar, İnternet’in çok esnek bir saldırı aracı olduğunun bir başka kanıtıdır.

Şek. 2. Dorf saldırısında kullanılan JSXor-Gen komut dosyasının ekran görüntüsü (üst: kod çözülmüş komut dosyası, alt: orijinal komut dosyası).

İleri

Destek birimiyle iletişime geçin




Ayrıca şuraya gidebilirsiniz:

Önceki
Modern kötü amaçlı yazılımlarda İnternet’in rolü
Sonraki
Mükemmel yem