Backdoor Destover Hakkında

Yazar: Mustafa Çelen · 11 Aralık 2014

Şu sıralar, dikkat edilmesi gereken yeni bir yazılım, daha doğrusu solucan tehdidi baş gösterdi. Bilgi sızdırma tehlikesi bulunan bu yazılım için çok dikkatli olunması gerekiyor. Malum, güncel ve sürekli gelişen tehditler, ağ ve sistemlerimizi oldukça zorluyor…

Özet

1 Aralık 2014 günü FBI (A.B.D. Federal Araştırma Bürosu) “Backdoor.Destover” olarak adlandırlan çok tehlikeli bir zararlı yazılım ile ilgili bir flaş uyarı bülteni yayınladı. Geniş bir yelpazedeki kurumsal ağları hedef alan bu zararlı yazılım bulaştığı bilgisayarda Master Boot Record (MBR – Ana Önyükleme Kaydı) alanını silerek bilgisayarı kullanılamaz ve verileri ulaşılamaz hale getirmektedir.

Tehdit Teknik Detayları

“Backdoor.Destover” dikkat çekecek ve önemli hedeflere karşı kullanılan ve kimin yazdığını henüz bilmediğimiz bir zararlı yazılımdır. Bu zararlı yazılımın henüz duyulmuş kurbanları olmasa bile, geçtiğimiz hafta SONY firmasına karşı düzenlenen saldırıda kullanıldığı düşünülmektedir.

Saldırı Vektörü

Zararlının ilk bileşeni “diskpartmg16.exe” henüz bilinmeyen bir yöntemle hedef bilgisayara bulaştırılıyor. Saldırganların bulaştırma işlemini oltalama saldırısı (phishing) veya normal internet kullanımı sırasında (“drive-by-download”) ile gerçekleştirdiği düşünülmektedir. İlk bulaştırma işlemi konusunda araştırmalar devam etmektedir.
Zararlı yazılımın bileşeni çalıştırıldığında kendini, -K komut satırı argümanını kullanarak, bir servis (“WinsSchMgmt”) olarak sisteme yüklemektedir. Bu işlemden sonra –S komut satırı argümanını kullanarak kendini bir kez daha çalıştırmakta ve sonlandırmaktadır.
“WinsSchMgmt” servisi –S parametresini aldıktan sonra son derece tehlikeli olan “igfxtrayex.exe” ve “net_ver.dat” dosyalarından oluşan (Wiper) zararlısını indiriyor ve igfxtrayex.exe’yi çalıştırıyor.
“Net_ver.dat”, kurbanın makine adı (hostname), IP adresini, ve 2 rakamını içeren (HOSTNAME|IPAddress|2) bir konfigürasyon dosyası. dosyası bir konfigürasyon dosyasıdır. Daha sonra 139 ve 445 portları üzerinden ağ bağlantısı kurmaktadır, bu özelliği solucan (worm) benzeri yeteneklerinin olabileceğinin bir göstergesidir.
“WinsSchMgmt” tarafından çalıştırılan “igfxtrayex.exe” dosyası, kendini kopyalıyor. Bu kopya 10 dakika bekledikten sonra “taskhostXX.exe” (buradaki XX rastgele belirlenen ASCII karakterlerdir) adıyla 3 dosya içerisine kendini 3 kez kopyalıyor.
Bu kopyalar kendi içlerinde bulunan sabit iletişim bilgilerini kullanarak 8000 ve 8080 portları üzerinden komuta sunucularıyla iletişim kurmaktadır. Önceden belirlenmiş IP adreslerden birine ulaşamazsa bir sonrakini deniyor.
Komuta sunucularından hiç birine bağlanamazsa “cmd.exe/c net stop MSExchengeIS /y” komutunu çalıştırıp zararlının 2 saat uyumasını sağlıyor. 2 saatin sonunda bilgisayar yeniden başlatılıyor.
Zararlı daha sonra “usbdrv3_32bit.sys” ve “usbdrv3_64bit.sys” sistem dosyalarını igfxtrayex.exe’nin 0X81 ve 0X83 bölümlerinden indiriliyor. Zararlı yazılım Windows 2000, XP, 2003, Vista ve 2008 (32 bit) için ticari olarak satılan bir yazılıma ait olan bu .sys dosyalarını kullanarak dosyalara ve disk alanlarına erişip okuma/yazma işlemlerini gerçekleştiriyor.
“Igfxtrayex.exe” bu .sys dosyalarını kullanarak MBR kayıtlarının üzerine veri yazıyor.

Symantec Backdoor.Destover adlı bu zararlıyı tespit edecek bir güncelleme yayınlamıştı.

Savunma Stratejileri ve Öneriler

Bilgi güvenliği konusunda kademeli güvenlik yaklaşımı öneriliyor. Bu şekilde uçtan uca ve izlenebilir bir güvenlik altyapısı kurmak mümkündür.
Bütün güvenlik çözümlerinizin lisanslı, doğru kurallara sahip ve güncel olduğundan emin olun.
Bütün işletim sistemlerinin ve internete açık sistemlerin güncel, güvenlik yamaları yapılmış ve güncel antivirüse sahip olduğunu kontrol edin.
Sistemlerde kullanılmayan bütün portların ve servislerin kapalı olduğundan emin olun.

En İyi Uygulama

Bilgi güvenliği konusunda temel hijyen kurallarına uymak, ağ ve sistemlerinizi bunun gibi zararlı yazılımlardan korumak için atabileceğiniz ilk etkili adımdır. Bu önlemler zararlıların bulaşmasını bir ölçüde engelleyeceği gibi ağ üzerinde yayılmalarını da yavaşlatacaktır.

Daha güvenli bir bilişim altyapısı için asgari olarak aşağıdaki adımların atılmasını önerilmektedir:

Sistemler üzerindeki standart (default) kullanıcı hesaplarını kapatın.
Kullanıcılarınızı bilmedikleri bağlantılara güvenmemeleri gerektiği konusunda eğitin.
Tarayıcıları her zaman mümkün olan en düşük yetkilerle çalıştırın.
Destekleyen sistemlerde Data Execution Prevention (DEP) özelliğini devreye alın.
İşletim sistemleri ve yazılımlar için düzenli bir güncelleme ve yama yönetimi süreci oluşturun.
Daha fazla bilgi için http://technet.microsoft.com/en-us/library/dd277328.aspx adresini ziyaret edebilirsiniz.
Backdoor.Destover zararlı yazılımıyla ilgili ayrıntılı bilgi için: http://www.symantec.com/security_response/writeup.jsp?docid=2014-120209-5631-99