Kaspersky'den "FinFisher casus yazılımı yeteneklerini geliştiriyor" tespiti

- Kaspersky GReAT Küresel Araştırma ve Analiz Ekibi Baş Güvenlik Araştırmacısı Igor Kuznetsov:- "Casus yazılımın yüksek hassasiyetle konuşlandırılmasının ve analiz edilmesinin pratikte imkansız olması, kurbanlarının savunmasız olduğu ve araştırmacıların özel bir zorlukla karşı karşıya kaldığı anlamına geliyor"

Ekonomi 14.10.2021, 11:21
Kaspersky'den

İSTANBUL (AA) - Kaspersky araştırmacılarının ulaştığı bulgular, FinFisher'ın bugüne kadar tespit edilmesi en zor casus yazılımlardan biri olduğunu ortaya koydu.

Şirket açıklamasına göre, Kaspersky araştırmacıları, Windows, Mac OS, Linux ve yükleyicileri için FinSpy casus yazılımlarına yapılan son güncellemeler hakkında kapsamlı bir araştırma yayımladı. Tamamlanması 8 ay süren araştırma, casus yazılımın geliştiricileri tarafından kullanılan dört katmanlı gizleme ve gelişmiş anti-analiz önlemlerinin yanı sıra kurbanlara virüs bulaştırmak için bir UEFI ön yükleme kitinin kullanıldığını ortaya çıkardı. Bulgular, FinFisher'ın bugüne kadar tespit edilmesi en zor casus yazılımlardan biri olduğunu ve savunmadan kaçınmaya büyük önem verildiğini gösteriyor.

FinSpy veya Wingbird olarak da bilinen FinFisher, Kaspersky'nin 2011'den beri takip ettiği bir gözetim aracı. Araç çeşitli kimlik bilgilerinin, dosya listelerinin ve silinen dosyaların yanı sıra çeşitli belgeleri toplama, canlı akışla veri kaydetme, web kamerası ve mikrofona erişim sağlama yeteneğine sahip. Windows implantları, FinFisher'ın radarın altına girdiği 2018 yılına kadar birkaç kez tespit edildi ve gözlem altına alındı.

Kaspersky çözümleri TeamViewer, VLC Media Player ve WinRAR gibi meşru uygulamaların kötü amaçlı kod içeren ve herhangi bir kötü amaçlı yazılıma bağlanamayan şüpheli yükleyicilerini tespit etti.

Casus yazılım virüslü uygulamada önceki sürümlerin aksine iki yeni bileşen tarafından korunuyordu (kalıcı olmayan ön doğrulayıcı ve son doğrulayıcı). İlk bileşen, bulaştığı aygıtın bir güvenlik araştırmacısına ait olmadığından emin olmak için birden çok güvenlik denetimi gerçekleştiriyor. Kod güvende olduğundan emin olunca sunucu tarafında Post-Validator bileşeni devreye giriyor ve tam teşekküllü Truva atı platformunun dağıtımını üstleniyor.

FinFisher, 4 adet özel yapım karmaşık "obfuscator" ile büyük ölçüde karıştırılan bir örnek. Bu gizlemenin birincil işlevi casus yazılım analizini yavaşlatmak. Truva atı ayrıca bilgi toplamak için tuhaf yollara başvuruyor. Örneğin, bir HTTPS protokolüyle korunan trafiği engellemek için tarayıcılardaki geliştirici modundan yararlanıyor.

Araştırmacılar ayrıca, Windows UEFI ön yükleyicisinin yerini alan bir FinFisher örneği keşfetti. Bu bileşen, sistem açıldıktan sonra kötü amaçlı bileşenle birlikte işletim sistemini başlatıyor. Bu bulaşma yolu, saldırganların üretici yazılımı güvenlik kontrollerini atlamalarına gerek kalmadan bir ön yükleme seti çalıştırmalarına olanak sağlıyor. UEFI enfeksiyonları nadir ve genellikle yürütülmesi zor olurken, iyi saklanmaları ve temizlenmelerinin zor oluşuyla öne çıkıyorlar. Bu örnekte saldırganlar UEFI ürün yazılımının kendisine değil, bir sonraki ön yükleme aşamasına bulaştıysa da kötü amaçlı modül ayrı bir bölüme kurulduğundan ve virüslü makinenin ön yükleme sürecini kontrol edebildiğinden saldırı gizlenmeyi başarıyordu.


- "Tüm yazılımlarınızı düzenli olarak güncellemeyi unutmayın"


Açıklamada görüşlerine yer verilen Kaspersky GReAT Küresel Araştırma ve Analiz Ekibi Baş Güvenlik Araştırmacısı Igor Kuznetsov, FinFisher'ı güvenlik araştırmacıları için erişilebilir kılmak adına yapılan çalışmaların büyüklüğünün etkileyici ve endişe verici olduğunu belirterek, şunları kaydetti:

"Görünüşe göre geliştiriciler, en az Truva atının kendisi kadar şaşırtma ve analiz karşıtı önlemlere dikkat etmişler. Sonuç olarak algılama ve analizden kaçabilme yetenekleri, casus yazılımın izlenmesini ve tespit edilmesini özellikle zorlaştırıyor. Casus yazılımın yüksek hassasiyetle konuşlandırılmasının ve analiz edilmesinin pratikte imkansız olması, kurbanlarının savunmasız olduğu ve araştırmacıların özel bir zorlukla karşı karşıya kaldığı anlamına geliyor. Her bir örneği çözmek için çok büyük miktarda kaynak ayırmak gerekiyor. FinFisher gibi karmaşık tehditlerin güvenlik araştırmacılarının iş birliği yapmasının, bilgi alışverişinde bulunmasının ve bu tür tehditlerle mücadele edebilecek yeni güvenlik çözümlerine yatırım yapmasının önemini gösterdiğine inanıyorum."

Kaspersky, FinFisher gibi tehditlerden korumak için şunları öneriyor:

"Uygulamalarınızı ve programlarınızı güvenilir web sitelerinden indirin. İşletim sisteminizi ve tüm yazılımlarınızı düzenli olarak güncellemeyi unutmayın. Birçok güvenlik sorunu yazılımların güncellenmiş sürümleri yüklenerek çözülebilir. E-posta eklerine güvenmeyin. Bir eki açmak veya bir bağlantıyı takip etmek için tıklamadan önce dikkatlice düşünün. Gerçekte nereye gittiklerini görmek için bağlantıların ve eklerin üzerine gelip bekleyin. Bilinmeyen kaynaklardan yazılım yüklemekten kaçının. Kötü amaçlı dosyalar içerebilirler. Tüm bilgisayarlarda ve mobil cihazlarda, Kaspersky Internet Security for Android veya Kaspersky Total Security gibi güçlü bir güvenlik çözümü kullanın."

Kuruluşların korunması için ise Kaspersky şunları öneriyor:

"Kurumsal olmayan yazılım kullanımı için bir politika oluşturun. Güvenilmeyen kaynaklardan yetkisiz uygulama indirmenin riskleri konusunda çalışanlarınızı eğitin. Hedefli saldırıların çoğu kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığından, personelinize temel siber güvenlik hijyen eğitimi verin.

Anti-APT ve EDR çözümlerini kurun. Tehdit keşfi ve tespiti, soruşturma ve olayların zamanında düzeltilmesi özelliklerini etkinleştirin. SOC ekibinizin en son tehdit istihbaratına erişimini sağlayın ve profesyonel eğitimlerle düzenli olarak becerilerini yükseltin. Yukarıdakilerin tümü Kaspersky Expert Security çerçevesi altında mevcuttur. Uygun uç nokta korumasının yanı sıra, özel hizmetler yüksek profilli saldırılara karşı yardımcı olabilir. Kaspersky Managed Detection and Response hizmeti, saldırganlar hedeflerine ulaşmadan saldırıların erken aşamada belirlenmesine ve durdurulmasına yardımcı olur."

Yorumlar (0)
6
kapalı
Günün Anketi Tümü
TV366 yayınlarını nasıl buluyorsunuz?
TV366 yayınlarını nasıl buluyorsunuz?
Namaz Vakti 25 Ekim 2021
İmsak 05:35
Güneş 07:01
Öğle 12:34
İkindi 15:28
Akşam 17:57
Yatsı 19:17
Puan Durumu
Takımlar O P
1. Trabzonspor 10 24
2. Hatayspor 10 20
3. Alanyaspor 10 20
4. Fenerbahçe 10 19
5. Karagümrük 10 18
6. Beşiktaş 9 17
7. Konyaspor 10 17
8. Galatasaray 9 17
9. Altay 10 15
10. Adana Demirspor 10 13
11. Başakşehir 10 12
12. Gaziantep FK 10 12
13. Öznur Kablo Yeni Malatya 10 12
14. Sivasspor 10 11
15. Kayserispor 10 11
16. Giresunspor 10 9
17. Antalyaspor 10 9
18. Göztepe 10 8
19. Kasımpaşa 10 6
20. Rizespor 10 4
Takımlar O P
1. Ümraniye 10 24
2. Ankaragücü 10 24
3. Eyüpspor 10 20
4. Erzurumspor 10 19
5. Bandırmaspor 10 18
6. Kocaelispor 9 16
7. Tuzlaspor 9 14
8. Gençlerbirliği 9 14
9. Samsunspor 9 12
10. Boluspor 9 11
11. Bursaspor 9 11
12. Menemenspor 10 11
13. İstanbulspor 9 10
14. Denizlispor 9 10
15. Altınordu 10 10
16. Adanaspor 10 9
17. Manisa FK 10 9
18. Ankara Keçiörengücü 9 7
19. Balıkesirspor 9 6
Takımlar O P
1. Chelsea 9 22
2. Liverpool 9 21
3. Man City 9 20
4. West Ham 9 17
5. Brighton 9 15
6. Tottenham 9 15
7. M. United 9 14
8. Everton 9 14
9. Leicester City 9 14
10. Arsenal 9 14
11. Wolverhampton 9 13
12. Brentford 9 12
13. Aston Villa 9 10
14. Watford 9 10
15. Crystal Palace 9 9
16. Southampton 9 8
17. Leeds United 9 7
18. Burnley 9 4
19. Newcastle 9 4
20. Norwich City 9 2
Takımlar O P
1. Real Sociedad 10 21
2. Real Madrid 9 20
3. Sevilla 9 20
4. Atletico Madrid 9 18
5. Real Betis 10 18
6. Osasuna 10 18
7. Rayo Vallecano 10 16
8. Athletic Bilbao 9 16
9. Barcelona 9 15
10. Valencia 10 13
11. Espanyol 10 13
12. Mallorca 10 12
13. Villarreal 9 11
14. Elche 10 10
15. Celta de Vigo 9 7
16. Granada 9 7
17. Cádiz 10 7
18. Deportivo Alaves 9 6
19. Levante 10 5
20. Getafe 9 2

Gelişmelerden Haberdar Olun

@