THT DUYURU

Web & Server Güvenliği Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini nasıl sağlayacağınızı buradan öğrenebilirsiniz.

chat
Seçenekler

Flame Virüsünün Detayları, Tespiti ve Temizlenmesi

Oğuz~#> - ait Kullanıcı Resmi (Avatar)
Forumdan Uzaklaştırıldı
Üyelik tarihi:
07/2009
Nereden:
Bursa
Yaş:
23
Mesajlar:
4.772
Konular:
1485
Teşekkür (Etti):
1877
Teşekkür (Aldı):
2499
Ticaret:
(0) %
02-06-2014 13:17
#1
Flame Virüsünün Detayları, Tespiti ve Temizlenmesi
Merhaba arkadaşlar. Bu yazımızda siber savaş araçlarından “Siber Casus” olarak nitelendirilen Flame virüsünü detayları ile birlikte inceleyeceğiz.
Silah savaşları gün geçtikçe yerini siber savaşlara bırakıyor. En son 2010 yılında Stuxnet virüsü ile İran nükleer santralleri hedef alındı. Yapılan incelemelerde virüsün 2009 yılında yazıldığı, 4 adet zero day (0 day) güvenlik zafiyeti barındırdığı ve virüsün flash diskler üzerinden yayıldığı tespit edilmiştir. 1 yıldan fazla sürede tespit edilemeden çalışmasına devam eden virüs, İran’a 800 milyon dolarlık zarar vermiştir.
Daha sonra Duqu virüsü ile Microsoft Word programındaki bir güvenlik zafiyeti kullanılarak, İran’daki nükleer santrallere ait bilgiler toplandı. Duqu ise mailler üzerinden yayılan bir zararlı yazılımdı.
Flame virüsü geçtiğimiz günlerde Rus güvenlik firması Kaspersky tarafından tespit edilmiştir. Stuxnet’e oranla 20 kat daha karmaşık bir mimariye sahip olduğu gözlenen siber casus, tahminlere göre 2010 Ağustos ayından bu yana aktif olarak çalışmaktadır.
Yapılan incelemelerde virüs başta İran, İsrail, Sudan, Suriye, Lübnan, Suudi Arabistan ve Mısır olmak üzere 600 den fazla kuruluş, akademik kurum ve devlet sistemi hedef almış durumdadır.
Makaleyi kaleme aldığım bugün dahi Flame virüsü tam olarak çözülememiştir. Kaspersky tarafından yapılan açıklamada virüsün şifrelerinin çözümlenmesi yılları bulacaktır. Ancak virüsün bazı modülleri şuan çözülmüş durumdadır. İran’ın Bilgisayar Acil Durum Tepki Ekibi (Maher)’nin yaptığı resmi açıklamaya göre virüsün 43 antivirüs uygulaması tarafından tespit edilemediği, ancak virüsün manuel yöntemler ile tespit edildiği ve virüsün en kısa sürede temizleneceği açıklaması yapıldı.
Güvenlik uzmanlarına göre, virüsün planlama ve programlamasının 5 yıl sürdüğü, iyi bir ekip tarafından hazırlandığı ve arkasında mutlaka bir devlet olduğu ileri sürülmektedir.


Flame neler yapıyor?

Flame, casusluk faaliyetlerini sürdürebilmek amacıyla, klavye, USB bağlantılar, işlemci, mikrofon, depolama aygıtları, Wi-Fi, monitör, Bluetooth gibi bir çok donanımı kullanabilecek kapasiteye sahiptir. Sızdığı bilgisayarlarda kendini belli etmemek için 5 ayrı şifreleme algoritması ile kendini kriptolayarak gizleyebilen Flame, casusluk işlemlerini arka planda yapabilmektedir.

Resim-01
Bir sisteme bulaştıktan sonra, ağ trafiğini dinleyip, ekran görüntülerini çekip, klavyede yazılanları loglayıp, mikrofon ile konuşmaları kaydeder. Flame içerisinde SqlLite3 veritabanı kullanılmış, topladığı bu bilgileri kendi veritabanında kriptolanmış bir yöntem ile sakladıktan sonra çeşitli zamanlarda gizli SSL kanallarından Flame sunucularına göndermektedir. Bu işlemlerde Flame, XMPP (Jabber) protokolünü kullanır. XMPP protokolünün en büyük özelliği, eş zamanlı aktarımlara olanak sağlayan bir protokoldür. XMPP protokolünün kullanılmasındaki asıl neden ise, bu protokolün eş zamanlı olarak metin, ses ve görüntüyü XMPP sunucularına iletebilmesidir. Flame’in yapabildiği saldırı türevleri Resim-01’deki gibidir.
Flame, Stuxnet’te olduğu gibi Autorun dosyaları üzerinden de yayılabilmektedir. Autorun üzerindeki saldırı iki kısımdan meydana gelmektedir. Bunlar “Autorun Infector” ve “Euphoria” yöntemleridir.
Autorun Infector yöntemi ile virüs depolama cihazlarında Autorun.inf dosyasını oluşturur. Böylece “shell32.dll” dosyasına kendini bulaştırarak yayılmaya çalışır.
Euphoria yöntemi ile de virüs, depolama aygıtına bir “kısa yol” dosyası (.LNK) yükler. Daha sonra bu kısa yol dosyası üzerinden depolama aygıtının takıldığı cihazlara kendini kopyalar.
Yerel ağlarda, MS10-061 güvenlik zafiyetinden faydalanarak, bir MOF dosyası kullanıp WMI (Windows Management Instrumentation – Windows Yönetim Araçları) araçlarına erişir.
Flame eğer etki alanı denetleyicilerinden yetkili bir kullanıcı hesabına ait bir bilgisayara bulaşmış ise, ağ içindeki tüm bilgisayarlara kendini kopyalar. Bulaştığı bu ağ bilgisayarlarına bir arkakapı (backdoor) oluşturarak çalışmasına devam etmektedir.

Resim-02
Kaspersky firması tarafından açıklanan, Flame virüsünün etkilemiş olduğu ülkeler Resim-02’deki gibidir. Bu saldırıda en çok zararı İran’ın gördüğünü gözlemleyebiliriz.


Flame hakkında teknik bilgiler nelerdir?

Resim-03

Flame’in çözülebilmiş bazı kodları Resim-03’deki gibidir.
20 farklı modülden oluşan Flame, 20 MB boyutundadır. Bu virüsün ana modülü mssecmgr.ocx isimli bir OCX (OLE Control Extension) dosyasıdır. Büyük ve küçük olmak üzere bu dosyanın iki ayrı versiyonu tespit edilmiştir. Büyük versiyon 6 MB boyutundadır. Küçük versiyon 900 KB boyutundadır. Virüs ilk bulaşmasının ardından virüs sunucularına bağlanarak, geri kalan modüllerini indirir. İndirilen dosyalar zff042.ocx, msdclr64.ocx, ve wavesup3.drv dosyalarıdır.
Hemen ardından mssecmgr Windows Kayıt Defter(Regedit)’ne, özel bir kimlik doğrulama paketi olarak kendini kaydeder.
Regedit’e eklenen kayıt yolu şu şekildedir. HKLM_SYSTEM\CurrentControlSet\Control\Lsa
Authentication Packages = mssecmgr.ocx

Regedit kaydı tamamlandıktan sonra virüs kendini güvenli kullanıcı hesabı ile çalıştırır.
MS10-061 zafiyetini kullandığında mof dosyası oluşturarak WMI araçlarını ele geçirmek için aşağıdaki kodlardan bat dosyasını oluşturur.
s1 = new ActiveXObject ("Wscript.Shell");
s1.Run ("% SYSTEMROOT% \ \ system32 \ \ rundll32.exe msdclr64.ocx, DDEnumCallback");

mssecmgr.ocx dosyası şuan tespit edilmiş 146 modülden oluşmaktadır.

Resim-04
Tespit edilen 146 modül Resim-04’teki gibidir. Modüller ile ilgili detayları Tablo-1’de görebilirsiniz.
Beetlejuice
Bluetooth üzerinden yayılmak için kullanılıyor. Kodlar base64 ile şifrelenmiştir.
Microbe
Tüm multimedya cihazlarının konfigürasyonu listeleyerek en uygun kayıt cihazını kullanır.
Infectmedia
Medya cihazlarına (USB Diskler v.s) bulaşmak için kullanılan modüldür.
Autorun_infector
Autorun.inf dosyasını kullanarak başka ortamlara yayılmaya çalışır.
Euphoria
.LNK dosyaları üzerinden yayılmasını sağlar.
Limbo
Uygun haklar elde edilmişse, networkteki bilgisayarlara “HelpAssistant” hesabı ile arka kapı (backdoor) oluşturur.
Frog
Güvenli hesaplar üzerinden bulaşmaya çalışır. Eğer yapamazsa Limbo’yu kullanır.
Munch
Modüller ile ilgili isteklerini http protokolü üzerinden karşılar.
Snack
Ağ arayüzlerini listeler. Bu arayüzlerdeki veri iletişimini NBNS paketleri olarak kaydeder. Toplanan veriler doğrultusunda kendini yaymak için en uygun bilgisayarı bulur.
Boot_dll_loader
Tüm ek modüllerin listesini içeren yapılandırma modülüdür.
Weasel
Bulaştığı bilgisayarların listesini toplar.
Boost
Kendi programlama mantığına aykırı gelen dosyaları izler.
Telemetry
Günlük olarak verileri loglar.
Gator
Internet bağlantısını kontrol eder. Bağlantı olması durumunda, yeni modülleri indirir ve topladığı verileri virüs sunucularına (XMPP) aktarır.
Security
Antivirüs ve güvenlik duvarı yazılımlarını atlatmaya çalışır.
Bunny
Dbquery
Driller
Headache
Gadget

Bu modüllerin amacı henüz tespit edilememiştir.
Tablo-1
%windir%\System32 klasörüne, aşağıdaki dosyaları kopyalar.
mssecmgr.ocx
advnetcfg.ocx
msglu32.ocx
nteps32.ocx
soapr32.ocx
ccalc32.sys
boot32drv.sys

Advpck.dat
ntaps.dat
Rpcnc.dat

Toplanan verileri %windir%\temp klasörüne geçici olarak kaydeder.
~ DEB93D.tmp
~ 8C5FF6C.tmp
~ DF05AC8.tmp
~ DFD85D3.tmp
~ DFL *. Tmp
~ Dra *. Tmp
~ Fghz.tmp
~ HLV *. Tmp
~ KWI988.tmp
~ KWI989.tmp
~ Rei524.tmp
~ Rei525.tmp
~ Rf288.tmp
~ Rft374.tmp
~ TFL848.tmp
~ TFL849.tmp
~ Mso2a0.tmp
~ Mso2a1.tmp
~ Mso2a2.tmp
SSTab *. dat

Ayrıca %windir% klasörüne Ef_trace.log dosyasını oluşturur.
Flame ilk bulaşmadaki konfigürasyona bağlı olarak farklılıklar gösterebilmektedir. Konfigürasyon farkından dolayı bulaşabildiği farklı dosyalar aşağıdaki gibidir.
C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr
C:\Program Files\Common Files\Microsoft Shared\MSAudio
C:\Program Files\Common Files\Microsoft Shared\MSAuthCtrl
C:\Program Files\Common Files\Microsoft Shared\MSAPackages
C:\Program Files\Common Files\Microsoft Shared\MSSndMix

Bu dizinler aşağıdaki dosyaları barındırmaktadır.
dstrlog.dat
lmcache.dat
mscrypt.dat (veya wpgfilter.dat)
ntcache.dat
rccache.dat (veya audfilter.dat)
ssitable (veya audache)
secindex.dat
wavesup3.drv

Flame’in indirmiş olduğu dosyalar ise aşağıdaki gibidir.
svchost1ex.mof
Svchostevt.mof
frog.bat
netcfgi.ocx
authpack.ocx
~ A29.tmp
rdcvlt32.exe
to961.tmp
authcfg.dat
Wpab32.bat
ctrllist.dat
winrt32.ocx
winrt32.dll
scsec32.exe
grb9m2.bat
winconf32.ocx
watchxb.sys
sdclt32.exe
scaud32.exe
pcldrvx.ocx
mssvc32.ocx
mssui.drv
modevga.com
indsvc32.ocx
comspol32.ocx
comspol32.dll
browse32.ocx

Flame virüsü nasıl temizlenir?
Flame virüsünün bulaştığından şüphe ediyorsanız eğer, yukarıdaki dosya adlarını sisteminizde taratın. Belirtmiş olduğum kayıt defteri yolunu kontrol edin. Eşleşen kayıtlara denk gelmeniz durumunda, Flame virüsü sisteminize bulaşmış demektir.
Güvenli günler dilerim…

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler