McAfee Labs Raporu, Yeni Mobil Bankacılık, Makro ve Dosyasız Kötü Amaçlı Yazılımlardaki Gelişmeleri Açıklıyor
Yazan: Vincent Weafer, Başkan Yardımcısı, Intel Security McAfee Labs
2015'in 3. çeyreği, sosyal mühendislikle yeniden biçimlendirilmiş eski tehditlerin, kök kullanıcı takımlarının (rootkit) yerini alan yeni dosyasız kötü amaçlı yazılımların, hatalı kodlanmış mobil uygulamaların ve ekosistemin en zayıf halkası olan son kullanıcılara yapılan saldırıların örneklerini sundu.
Intel Security’nin bugün yayınlanan “McAfee Labs Tehditler Raporu: Kasım 2015”te, her çeyrek yapılan klasik siber değerlendirmelerin yanı sıra, şu konulara da değindi:
Rapor, 2015’in üçüncü çeyreğinde bize, tehdit teknolojisi eğrisinin önünde olmak için her zaman yenilikçi olmak zorunda olmamız gerektiğini bir kez daha hatırlatıyor. Ayrıca, güvenli uygulama kodlaması için en iyi uygulamalar gibi sağduyulu çözümleri ve e-dolandırıcılık (spearphishing) gibi her zaman kullanılan taktiklere karşı koymak için kullanıcı eğitimini asla boşlamamamız gerektiğinin de bir kez daha altını çiziyor.
Arka plan mobil uygulama kodlama uygulamaları
McAfee Labs tarafından yaklaşık 300,000 mobil uygulama üzerinde yapılan iki aylık bir analiz, Doğu Avrupa’daki binlerce mobil bankacılık hesabından çıkar sağlamaya çalışan iki mobil
bankacılık Truva atını keşfetmesine neden oldu. Endüstri tarafından “Android/OpFake” ve “Android/Marry” olarak bilinen bu iki kötü amaçlı yazılım türü, mobil uygulamaları, uygulama verilerini yöneten arka plan servis sağlayıcılara bağlayan zayıf mobil uygulama kodlamasının zaafiyetini kullanmak üzere tasarlanmış.
Bilindiği üzere, mobil uygulamalar genellikle güvenli veri depolaması ve iletişim için, arka plan servislere bel bağlıyorlar. Mobil uygulama geliştiricilerse, uygulamalarını bu arka plan servislerle bütünleştirmek ve gerekli ayarlamaları yapmakla yükümlü. Eğer uygulama geliştiriciler bu arka plan servis sağlayıcıların güvenlik kılavuzunu uygulamada başarısız olurlarsa, kullanıcı verileri saldırılara açık hale gelebiliyor. Kişisel ve profesyonel işlerin mobil bulutlarda yönetilmesinin gittikçe artmasına bağlı olarak, bu konudaki tehlike artıyor.
McAfee Labs, yakın zamanda sonlandırılmış, iki farklı mobil bankacılık Truva atını kullanan iki siber suç kampanyasıyla ilgili araştırma yaptı. Bu araştırmanın sonucunda, her iki kampanyada da, arka plan kodlamalarındaki zafiyet kullanılarak, kök (root) özel haklarının kötüye kullandığı ortaya çıkarıldı. Hazırlanan bir SMS gönderim düzeneğiyle kredi kartı numaralarının çalınmasına ve sahte işlemler gerçekleştirilmesine neden olan Truva atları, 13,842 banka müşterisinin 171,256 SMS’ini ele geçirdi ve bulaştığı 1,645 mobil cihazda uzaktan komutlar çalıştırdı.
Intel Security, yazılım geliştiricilerin, en iyi arka plan kodlama uygulamalarına ve servis sağlayıcılar tarafından sağlanan güvenli kodlama kılavuzuna daha fazla dikkat etmeleri gerektiğini vurguluyor. Kullanıcılaraysa, sadece iyi bilinen kaynaklardan mobil uygulama indirmelerini ve cihazları için en iyi kök dizin (rooting) uygulamalarını izlemeleri öneriliyor.
Kötü amaçlı makro yazılımlarla yapılan e-dolandırıcılık son altı yılın en yüksek seviyesine ulaştı
McAfee Labs geçen yıldan beri kötü amaçlı makro kodlarda dört kat artış kaydetti. Bu da 2009’dan beri kategorinin en yüksek büyüme oranına denk düşüyor. Kurumsal kullanıcıları aldatmak için tasarlanmış, kötü yazılım taşıyan e-mail eklerinin açılmasıyla uygulanan e-dolandırıcılık kampanyalarının dönüşü, konunun ön plana çıkmasına neden oldu. Bu yeni makrolar, kötü amaçlı kod yükleri indirildikten sonra da gizlenmeyi başardılar.
Bu tarz kötü amaçlı makrolar 1990’larda kullanıcıların başını epey ağrıtmıştı. Ancak Microsoft gibi platform sağlayıcıların, otomatik makro çalıştırılmasını durduran varsayılan ayarlarını (default settings) yeniden programlamasından sonra, bu makroların sayıları azalmıştı.
İlk makro kampanyaları her tanımlamada kullanıcılara odaklanırken, yeni kötü amaçlı makro yazılımlarsa, tekrarlanan ihtiyaçları için, makroları kullanarak kolay programlar oluşturan büyük organizasyonlara odaklandılar. Bugün bu zararlı e-postalar, kullanıcılara organizasyonun işi bağlamında uygun görünmek üzere geliştirilmiş durumda. Böylece kullanıcılar makroların çalışmasına hiç düşünmeden izin veriyor.
E-dolandırıcılığa karşı kullanıcıların farkındalığını artırmaya ek olarak Intel Security, organizasyonların makro güvenlik ayarlarını “yüksek” seviyeye çıkarmalarını ve e-posta geçitlerinin özellikle makro içeren ekleri filtreleyecek şekilde ayarlanmasını öneriyor.
Dosyasız kötü amaçlı yazılımlardaki yenilikler
McAfee Labs, 2015’in ilk üç çeyreğinde 74,471 dosyasız saldırı örneği yakaladı. En yaygın üç dosyasız kötü amaçlı yazılım tipi, kodlarını doğrudan bir platform fonksiyonunun uygun bir bellek alanına yüklüyor veya bir kernel seviyesi API’ın arkasına gizliyor ya da işletim sisteminin kütüğüne saklıyor.
Çoğu zararlı enfeksiyon, tespit ve analiz edilebilen ve suçlu olduğu kanıtlanabilen bazı dosya tiplerini sisteme bırakıyorken, yeni nesil Kovter, Powelike ve XswKit gibi saldırılar, diskte bir iz bırakmaksızın belleğe yerleşmek için, işletim sistemi platformu servislerinin zafiyetini kullanmak üzere tasarlanmışlar.
Intel Security, saldırı taşıyıcılarını bloke etmek için e-posta ve ağ korumaları ile birlikte, güvenli ağ dolaşımı ve e-posta uygulamalarını öneriyor.
2015 3. Çeyrek Tehdit İstatistikleri
2015 3. çeyreğinde tehdit alanına ilişkin istatistikler ve daha fazla bilgi için, bu adresi ziyaret ederek raporun tamamına ulaşabilirsiniz: http://www.mcafee.com/November2015ThreatsReport
McAfee Labs Hakkında
McAfee Labs, Intel Security’nin tehdit araştırma birimidir ve tehdit araştırması, tehdit istihbaratı ve siber güvenlik düşünce liderliği için dünyanın önde gelen kaynaklarından biridir. McAfee Labs’in 400’den fazla araştırmacıdan oluşan ekibi, önemli tehdit vektörlerindeki (dosya, web, mesaj ve ağ) milyonlarca algılayıcıdan veriler toplar. Sonra çapraz vektör tehdit korelasyon analizini uygular ve bulut temelli McAfee Global Threat Intelligence servisi yoluyla sıkı bir şekilde entegre olduğu McAfee uç nokta, içerik ve ağ güvenlik ürünlerine gerçek zamanlı tehdit istihbaratını dağıtır. Endüstrideki en geniş güvenlik ürün portföyüne sahip Intel Security, McAfee Labs ile, uygulama profili ve gri liste yönetimi gibi ana tehdit bulma teknolojilerini geliştiriyor.
Intel Security Hakkında
McAfee Labs'i bünyesine katan ve daha da güçlenen Intel Security, Security Connected stratejisi, donanımla genişletilmiş güvenliğe olan yenilikçi yaklaşımı ve eşsiz McAfee Global Threat Intelligence ile, dünya çevresinde kurumsal ve kişisel kullanım için, sistemleri, ağları ve mobil cihazları koruyan proaktif, denenmiş güvenlik çözümlerini ve servisleri geliştirmeye odaklanmıştır. Intel Security, güvenliği her mimaride ve her bilgi işlem platformunda temel bir bileşen yapmak için, McAfee’nin deneyim ve uzmanlığını, Intel’in yenilikçi ve denenmiş performansı ile birleştiriyor. Intel Security’nin misyonu, dijital dünyada herkese tehlikesiz ve güvenli bir şekilde yaşama ve çalışma güvencesi sağlamaktır. www.intelsecurity.com.
Hiç bir bilgisayar sistemi tam güvenli olamaz.
Not: Intel, Intel Security, Intel logosu, McAfee ve McAfee logosu, Intel Corporation’ın ABD ve diğer ülkelerde tescilli ve kayıtlı tescilli ticari markalarıdır.
*Diğer isimler ve markaların haklarının başkalarına ait olduğu iddia edilebilir.
###