Alienvaultlabs tarafından hazırlanan bir çalışmayı Türkçeleştirdim. Flame, Duqu, Stuxnet gibi zararlı yazılımlar arasındaki "akrabalık ilişkilerini" ortaya koymuş. Çizimleri hoşuma gitti.
Bu zararlılar özellikle APT (Advanced Persistent Threat) olaylarında kullanılıyor (Flame adındaki zararlıyı Fransa Cumhurbaşkanı'nın hacklenmesi olayından hatırlayacaksınız).
1. Malware Never Dies
Malware Ölmez!
Alper Başaran
basaranalper@gmail.com
Twitter:@basaranalper
www.alperbasaran.com
2. Zararlı Yazılımlar Ölümsüzdür
• 2012 yılı içerisinde yapılan çeşitli araştırmalar
bize zararlı yazılımların aslında
kaybolmadıklarını göstermiştir
• Çok tehlikeli bazı zararlı yazılımlar
incelendiğinde aralarındaki «akrabalık»
ilişkileri ortaya çıkmaktadır
• Kaynak: AlienVaultLabs
www.alperbasaran.com
3. Kim veya kimler
tarafından yazıldığı
Kaynak
Zararlının ilk
görüldüğü tarih
Tespit
Tarihi
Zararlının hedef
aldığı sistemler
Hedef
Zararlı tarafından
kullanılan yöntemler
Saldırı
Yöntemi
www.alperbasaran.com
4. A.B.D/İsrail ürünü.
Kaynak
Haziran 2010
Tespit
Tarihi
İran Nükleer
Sanayii
Hedef
Siemes SCADA sistemlerini hedef alıyor.
Windows «sıfır gün» açıklarını kullanarak veya USB bellek yardımı
Saldırı ile bulaşıyor. Ağ üzerindeki bir makineye bulaştıktan sonra bütün ağa yayılıyor.
Yöntemi
www.alperbasaran.com
5. Belli değil.
Wiper benzeri
Kaynak
Ağustos 2012
Tespit
Tarihi
Suudi Arabistan
Devlet petrol şirketi Aramco.
Bazı Amerikan bankaları.
Hedef
Windows sistemlere saldırıyor. Master Boot Kayıtlarının üzerine yazabiliyor.
İnternete bağlı bilgisayarlara bulaşıyor, ağdaki diğer bilgisayarlara yayılıyor.
Saldırı
Yöntemi
www.alperbasaran.com
6. Belli değil. Flame, Stuxnet
ve Duqu benzeri. Flame yazarı
Tarafından yazılmış olabilir.
Kaynak
Haziran 2012
Tespit
Tarihi
Ortadoğu bankaları.
Lübnan, Filistin ve İsrail’de
faal
Hedef
Windows 7 açıklarını kullanarak bankacılık erişim ve hesap bilgilerini çalıyor.
Saldırı
Yöntemi www.alperbasaran.com
7. A.B.D. ve İsrail olduğu söyleniyor.
Stuxnet’in kullanıldığı oprasyon
Kapsamında yayınlanmış olabilir.
Kaynak
Mayıs 2012. Wiper olarak bilinen
zararlıyı araştırıken keşfedilmiş.
Tespit
Tarihi
İran Petrol Bakanlığı ancak bütün
Ortadoğu’da yaygın olarak
görülmektedir.
Hedef
Yerel ağ üzerinden veya USB bellek aracılığıyla yayılıyor.
Bulaştığı sisteme, saldırganların uzaktan erişmesini sağlamak için arka kapı
(backdoor) yerleştiriyor.
Saldırı
Yöntemi www.alperbasaran.com
8. Bilinmiyor.
Numune bulunamadı
Kaynak
Nisan 2012
Tespit
Tarihi
İran
Hedef
Disk üzerindeki bütün verileri siliyor.
Kendi izlerini de siliyor.
Saldırı
Yöntemi www.alperbasaran.com
9. Bilinmiyor.
Çin’den şüpheleniyor.
Kaynak
Ocak 2012.
Temmuz 2012’de yeni
Tespit sürüm bulundu
Tarihi
Havacılık sanayii
Hedef
Eposta tabanlı saldırılar yapıyor.
Saldırı Bir sürümü A.B.D. Savunma Bakanlığı tarafından kullanılan akıllı kartlarını ele geçirdi
Yöntemi www.alperbasaran.com
10. Stuxnet’le ortak kodlar içeriyor.
Kaynak
Eylül 2011.
Stuxnet ile aynı saldırı platformunu
kullanıyor.
Tespit
Tarihi
İran’daki makinelere saldırıyor
Hedef
CVE-2011-3402 açığından faydalanıyor.
İran nükleer programına yönelik bir
siber-casusluk harekatının parçası
Saldırı olduğu düşünülüyor.
Yöntemi www.alperbasaran.com