8 Haziran günü
Honda’nın Twitter hesabından yapılan bir duyuruda “bazı teknik sorunlar”
yaşadıkları duyuruldu. Otomotiv üreticisinin işlerinin Amerika, Avrupa ve
Japonya’da durmasına neden olan şeyin bir fidye yazılım olduğu ortaya çıktı. Endüstriyel
kontrol sistemlerini etkilediği bilinen ve “Ekans” veya “Snake” (Ekans’ın tersten
okunuşu) olarak adlandırılan fidye yazılımın Honda’nın üretimini rehin aldığı
düşünülüyor. Bu zararlı yazılımın bazı özelliklerine ve bu olaydan çıkartılacak
derslere bakalım.
Ekans (Snake) Fidye
Yazılımı Nedir?
Bildiğiniz gibi fidye yazılımlar genellikle bulaştıkları sistem üzerinde bulunan dosyaları şifreleyerek kullanılmaz hale getirdikten sonra dosyaların açılması için kullanıcıdan ara ister. 2019 yılının sonunda tespit edilen Ekans fidye yazılımını diğerlerinden ayıran en önemli özelliklerden birisi endüstriyel kontrol sistemlerini (EKS) de hedef alan bazı işlevlerinin bulunmasıydı. Dosyaları şifrelemeye başlamadan önce; Ekans kaynak kodunda önceden belirlenmiş bazı prosesleri durduruyor. Listede güvenlik yazılımları, veritabanaları ve EKS yönetim yazılımları bulunuyor.
Bildiğiniz gibi fidye yazılımlar genellikle bulaştıkları sistem üzerinde bulunan dosyaları şifreleyerek kullanılmaz hale getirdikten sonra dosyaların açılması için kullanıcıdan ara ister. 2019 yılının sonunda tespit edilen Ekans fidye yazılımını diğerlerinden ayıran en önemli özelliklerden birisi endüstriyel kontrol sistemlerini (EKS) de hedef alan bazı işlevlerinin bulunmasıydı. Dosyaları şifrelemeye başlamadan önce; Ekans kaynak kodunda önceden belirlenmiş bazı prosesleri durduruyor. Listede güvenlik yazılımları, veritabanaları ve EKS yönetim yazılımları bulunuyor.
Çeşitli fidye
yazılımların EKS’leri etkilediği daha önce görüldü, bu anlamda bir fabrikanın
üretiminin fidye yazılım nedeniyle durması yeni bir gelişme değil. Daha önce
yaşanan olaylara bakıldığında EKS’lerin etkilenmesinin nedeninin bu sistemleri
yöneten bilgisayarların erişim veya hizmet dışı kalmasıydı. Kısaca; fidye
yazılım doğrudan EKS’yi hedef almıyor ancak EKS’nin çalışması için gerekli
bilgisayarı devre dışı bırakınca EKS’yi ister istemez etkiliyordu. Ekans’ta
ise; EKS’leri (başta GE ve Honeywell olmak üzere) doğrudan hedef alan kod parçaları
mevcut. Bu anlamda bir ilk olabilir.
İçeriğinde bulunan
kodun bir kısmının daha önce Arap yarımadasında bazı ülkelerde tespit edilen ve
“Megacortex” olarak adlandırılan zararlı yazılımla aynı olması nedeniyle
aralarında bir bağlantı olabilir. Megacortex’in İran çıkarlarını korumak için
geliştirildiği iddia edilmişti ancak teknik olarak bunu destekleyen herhangi
bir bulgu olmadığı için Megacortex ve Ekans’ın İran kökenli olduğunu söylemek doğru
olmaz.
Zararlı yazılımın
hedef sisteme nasıl bulaştığı veya yayılmak için hangi yöntemleri kullandığına
dair pek bilgi bulunmuyor.
Ekans (Snake)
Fidye Yazılımına Kısa bir Teknik Bakış
Ekans.exe olarak
kaydettiğim numuneye bakarsak dosya boyutunun yaklaşım 3.9 MB olduğunu
görüyoruz.
Virustotal sonuçlarında
ise 49 antivirüsün bu zararlıyı tespit edebildiğini görebiliriz.
Bu haliyle güncel
bir antivirüsü olan herhangi bir sistem için tehdit oluşturmayacak gibi
duruyor.
Bu aşamada kısa
bir statik analiz kapsamında dosyanın içerisinde bulunan stringlere bakmak iyi
olabilir. Dosyanın ilk 10 satırı bunun bir EXE olduğunu doğruluyor.
Stringlere
bakınca zararlı yazılımın GO diliyle yazıldığını düşünmemize sebep olacak birçok
ipucuna rastlıyoruz.
Herhangi bir hex editörler
baktığımızda GO konusundaki şüphelerimizi doğrulayabilecek “Go Build ID”
ibaresini görebiliyoruz.
Hex editör bize
ek olarak ilginç bir bilgi daha veriyor, göreceğiniz gibi zararlı yazılım
içerisinde mds[.]honda[.]com alanadı görülebiliyor.
Bu alanadını
hangi amaçla kullandığını henüz söylemek zor ancak bu bulgu olayın Honda’da
yaşanmasının bir tesadüf olmadığını düşündürüyor. Honda hedef alınmış, hatta
Honda’nın kullandığı belli bir sistem hedef alınmış olabilir.
Bundan sonraki
adımda yapılacak şey artık zararlı yazılımı tetikleyip neler yaptığına bakmak.
Aşağıdaki ekran
görüntüsünde zararlı yazılımın çalıştırılmış halini görebilirsiniz, sonuç: yok.
Kısaca zararlı yazılım hiçbir şey yapmıyor. Masaüstüne bıraktığım dosyayı da
şifrelemedi, bilgisayarda başka herhangi bir değişikliğe de neden olmadı.
Ekans’ın
davranışlarına yakından bakınca bunun nedeni ortaya çıkıyor. Ekans, Honda’nın
hedef aldığı kısmında olmadığını anladı ve devreye girmedi.
Statik analiz sırasında
karşımıza çıkan MDS[.]HONDA[.]COM adresi aslında kontrol amaçlı kullanılıyor. Aşağıda dinamik analiz sırasında ağ geçidine
gönderilen DNS sorgularını görebilirsiniz.
Zararlı yazılım
çalıştığında önce bu alanadına ulaşıp ulaşamadığını test ediyor ve ulaşamıyorsa
herhangi bir zarar vermiyor. Bunun sonucunda yukarıdaki alanadını DNS kayıtlarına eklememiş Honda ofislerinin (Örn. Türkiye) bu saldırıdan etkilenmemeleri doğaldır.
Saldırı sadece Honda’yı hedef almakla kalmamış, Honda içerisinde belli bir bölgeyi hedef almış gibi görünüyor. Bu noktada Ekans’ın attığı adımları şöyle özetleyebiliriz;
Saldırı sadece Honda’yı hedef almakla kalmamış, Honda içerisinde belli bir bölgeyi hedef almış gibi görünüyor. Bu noktada Ekans’ın attığı adımları şöyle özetleyebiliriz;
- Doğru hedefte olup olmadığının kontrolü
- Belirlenmiş proseslerin durdurulması
- Dosyaların şifrelenmesi
- Kullanıcıdan fidye istenmesi
Sonuçta GO
dilinde yazılmış basit bir fidye yazılım gibi duran şey aslında belli bir hedefe
özel olarak hazırlanmış bir saldırının parçası gibi duyuyor.
Alınabilecek Teknik Tedbirler Nedir?
Olayla ilgili henüz bilinmeyen çok şey var. Bunların başında ilk bulaşma vektörü geliyor. Daha önce yaşanan bir veri ihlalinde çalınmış kullanıcılarla RDP üzerinden oluşturulan bir bağlantı mı? USB bellek mi? Oltalama e-postası mı? Açıkçası fikrimiz yok. Bu nedenle önerileri bildiğimiz kadarına veya jenerik noktalarla sınırlı tuttum.
Çok sayıda zararlı yazılımda olduğu gibi Ekans da dijital olarak imzalanmamış. Aşağıdaki örnekte solda Ekans.exe’yi, sağda ise Windows Görev Yöneticisinin özelliklerini görebilirsiniz.
Kuruluş ağındaki sistemlerde dijital imzası olmayan uygulamaların çalıştırılması engellenmelidir.
Bütün sistemlerde antivirüs olduğundan emin olun. Ağa bağlı tek bir sistemde antivirüs yoksa, hiçbirinde yokmuş gibi düşünülebilir.
Yedek almanın ve bunu farklı bir yerde tutmanın önemi her geçen gün artıyor. Şaka gibi gelebilir ancak yakın zamanda bir sızma testinde sunucudaki bir diskin yedeğinin AYNI sunucu üzerinde başka bir diske alındığını gördüm. (C:’nin yedeğini D:’ye aldıklarını düşünün). NAS benzeri bir yedekleme çözümü kullanıyorsanız; bunlarda da zafiyetleri çıktığını ve bu sistemlerin de güvenliğinin alınması gerektiğini unutmayın.
Ağ segmentasyonu mutlaka yapılmalıdır. Ağınızı VLAN’lara ayırmak ve bunların arasındaki geçişleri denetlemek bu tür olaylarda zararlı yazılımın veya saldırganın yayılmasını zorlaştıracaktır.
Olay tespitini hızlandıracak mekanizmalar kurulmalıdır. Fidye yazılım gibi kendini hemen belli etmeyen olayların ortalama tespit sürelerinin yüzlerce gün olarak ifade edildiği düşünülürse bu konu ciddiye alınmalıdır. SIEM yatırımı bu konuda en son yapılması gereken yatırımdır, ondan önceki adımların atıldığından emin olunmalıdır (örn. Log kontrolü, merkezi log yönetimi, vb. ).
Olayla ilgili henüz bilinmeyen çok şey var. Bunların başında ilk bulaşma vektörü geliyor. Daha önce yaşanan bir veri ihlalinde çalınmış kullanıcılarla RDP üzerinden oluşturulan bir bağlantı mı? USB bellek mi? Oltalama e-postası mı? Açıkçası fikrimiz yok. Bu nedenle önerileri bildiğimiz kadarına veya jenerik noktalarla sınırlı tuttum.
Çok sayıda zararlı yazılımda olduğu gibi Ekans da dijital olarak imzalanmamış. Aşağıdaki örnekte solda Ekans.exe’yi, sağda ise Windows Görev Yöneticisinin özelliklerini görebilirsiniz.
Kuruluş ağındaki sistemlerde dijital imzası olmayan uygulamaların çalıştırılması engellenmelidir.
Bütün sistemlerde antivirüs olduğundan emin olun. Ağa bağlı tek bir sistemde antivirüs yoksa, hiçbirinde yokmuş gibi düşünülebilir.
Yedek almanın ve bunu farklı bir yerde tutmanın önemi her geçen gün artıyor. Şaka gibi gelebilir ancak yakın zamanda bir sızma testinde sunucudaki bir diskin yedeğinin AYNI sunucu üzerinde başka bir diske alındığını gördüm. (C:’nin yedeğini D:’ye aldıklarını düşünün). NAS benzeri bir yedekleme çözümü kullanıyorsanız; bunlarda da zafiyetleri çıktığını ve bu sistemlerin de güvenliğinin alınması gerektiğini unutmayın.
Ağ segmentasyonu mutlaka yapılmalıdır. Ağınızı VLAN’lara ayırmak ve bunların arasındaki geçişleri denetlemek bu tür olaylarda zararlı yazılımın veya saldırganın yayılmasını zorlaştıracaktır.
Olay tespitini hızlandıracak mekanizmalar kurulmalıdır. Fidye yazılım gibi kendini hemen belli etmeyen olayların ortalama tespit sürelerinin yüzlerce gün olarak ifade edildiği düşünülürse bu konu ciddiye alınmalıdır. SIEM yatırımı bu konuda en son yapılması gereken yatırımdır, ondan önceki adımların atıldığından emin olunmalıdır (örn. Log kontrolü, merkezi log yönetimi, vb. ).
No comments:
Post a Comment