ARAMA

VİDEO

FOTO
sv
Anasayfa
ABONE OL

TunnelSnake operasyonuna dikkat

17 Mayıs 2021 22:19
Kaspersky araştırmacıları, 2019'dan beri aktif olan ve Asya ve Afrika'daki bölgesel diplomatik kuruluşları hedef alan gelişmiş kalıcı tehdit (APT) kampanyası TunnelSnake'i ortaya çıkardıklarını açıkladı.
avatar

bulentc

Yorum Yaz

Favorilere Ekle

Saldırganlara virüs bulaşmış bir bilgisayara gizli erişim yetkisi sağlayan kötü amaçlı programlar veya yazılım araçları rootkit olarak isimlendiriliyor. Rootkitler, işletim sisteminin yapısına uyum sağlama yetenekleri nedeniyle gizlilik ve tespitten kaçabilmeleriyle ünlü. Yıllar boyunca Microsoft tarafından sistemleri korumak için alınan önlemler sayesinde rootkit bileşenlerinin başarılı bir şekilde yerleştirilmesi ve yürütülmesi zor bir görev haline geldi. Bu nedenle çoğu Windows rootkit artık TunnelSnake gibi yüksek profilli APT saldırılarında kullanılıyor.

Kaspersky, kampanyayla ilgili yaptığı araştırmada hedeflenen ağlarda benzersiz bir rootkit tespit etmesinin ardından ürünlerinden benzer bir dizi uyarı almaya başladı. Moriya olarak adlandırılan bu rootkit, işletim sistemi çekirdeğinin bulunan, olarak yalnızca ayrıcalıklı ve güvenilir kodun çalıştığı bir bellek bölgesi olan Windows çekirdeğinin adres alanından geçen ağ paketlerini yakalıyor ve denetliyor. Bu, kötü amaçlı yazılımın kendisine teslim edilen benzersiz kötü amaçlı paketleri işletim sisteminin ağ yığını tarafından işlenmeden önce yakalamasına izin veriyor.

Bu teknik sayesinde saldırganlar güvenlik çözümleri tarafından tespit edilmekten kaçınmayı başardı. İkinci olarak rootkit, yaygın kullanılan arka kapılardan farklı olarak komut istemek için herhangi bir sunucuya ulaşma yoluna gitmedi. Bunun yerine bunları kötü amaçlı yazılımın incelediği ağ trafiğinin büyük bir kısmıyla harmanlanmış, özel olarak işaretlenmiş paketler halinde teslim aldı. Bu teknik rootkitin komuta kontrol altyapısını sürdürme ihtiyacını ortadan kaldırmasına, analizleri engellemesine ve aktivitesini gizlemesine izin verdi.

Moriya, çoğunlukla hedeflenen organizasyon içindeki savunmasız web sunucularına yönelik saldırılar sonucunda konuşlandırıldı. Bir örnekte saldırganlar, virüslü sunucunun uzaktan kontrolüne izin veren kötü amaçlı bir kod olan China Chopper web kabuğunu sunucuya bulaştırdı. Bu web kabuğu ile elde edilen erişim sayesinde Moriya dağıtılmış oldu.

Ayrıca saldırganların yerel ağdaki ana bilgisayarları taramasına, yeni hedefler bulmasına ve yanal hareket yapılmasına olanak tanıyan, rootkit ile birlikte özel olarak yapılmış veya daha önce çeşitli Çince konuşan aktörler tarafından kullanıldığı görülen çeşitli araçlara da rastlandı.

Neler yapılmalı?

Kaspersky uzmanları, şirketinizi gelişmiş kalıcı tehdit kampanyalarından korumak için şunları öneriyor:

  • Boşlukları ve savunmasız sistemleri ortaya çıkarmak için kuruluşun BT altyapısında düzenli güvenlik denetimleri yapın.
  • Kaspersky Endpoint Security for Business gibi kanıtlanmış bir uç nokta güvenlik çözümü kullanın. Rootkit ve diğer yeni kötü amaçlı yazılım türlerini tespit edebilmesi için çözümü her zaman güncel tutun.
  • Anti-APT ve EDR çözümleri kullanın. Bu tehdit keşfi ve tespiti, soruşturma ve olayların zamanında düzeltilmesini sağlayacaktır. SOC ekibinizin en son tehdit istihbaratına erişimini sağlayın ve onları profesyonel eğitimlerle düzenli olarak geliştirin. Yukarıdakilerin tümü Kaspersky Expert Security Framework içinde mevcuttur.
  • Kaspersky GReAT uzmanları tarafından yakın zamanda geliştirilen Hedefli Kötü Amaçlı Yazılım Tersine Mühendislik çevrimiçi eğitimiyle en son hedeflenen tehditlerle mücadele etmek için siber güvenlik ekibinizi güçlendirin.
etiketlerETİKETLER
benzer içeriklerBENZER İÇERİKLER
Samsung’dan mobilde sürdürülebilirlik hamlesi
Üniversite kayıtlarında bu şikayetlere dikkat!
Medya okuryazarı olmanın püf noktaları neler?
USB’lere dikkat! Saldırganlar eski teknikleriyle saldırıyor
Start-upların teknoloji savaşına dikkat!
Z kuşağı dijital ödemede lider

Bu yazı yorumlara kapatılmıştır.

Sıradaki içerik:

TunnelSnake operasyonuna dikkat

Cihaz İnceleme