XÜSUSİ DÖVLƏT MÜHAFİZƏ XİDMƏTİ
XÜSUSİ RABİTƏ VƏ İNFORMASİYA
TƏHLÜKƏSİZLİYİ DÖVLƏT AGENTLİYİ

KOMPÜTER İNSİDENTLƏRİNƏ QARŞI MÜBARİZƏ
MƏRKƏZİ

İnsident bildir

Məqalələr > İP ünvanınız zərərvericilərə yoluxmuş İP ünvanlar siyahısında qeydiyyata alınmışsa nə etməlisiniz?

1 May 2015

Mətn daxili keçidlər:
1. Yoluxmuş İP ünvanda yoluxmuş sistemin (kompüterin) tapılması
2. Yoluxmuş Kompüterdə zərərvericilərin tapılması və zərərsizləşdirilməsi
3. Zərərvericilərin növləri və funksionallığı

 

1. Yoluxmuş İP ünvanda yoluxmuş sistemin (kompüterin) tapılması 

Sizin internetə çıxış İP (public ip) ünvanınızdan bir neçə kompüter istifadə edirsə (NAT) və siz zərərvericinin hansı sistemə və ya kompütərə düşdüyünü tapa bilməniz üçün sizin şəbəkəyə bağlı avadanlıqlarınızın internetə bağlantısını loglayan sisteminiz olmalıdır. Daxili şəbəkənizi loglaşdıran sisteminiz varsa yoluxmuş İP-də sizə aid log ilə daxili logları qarşılaşdıraraq yoluxmuş avadanlığı asanlıqla müəyyən edə bilərsiniz.

Qarşılaşdırma üçün log-da istifadə edilən informasiyaları qısaca izah edək:

Yoluxmuş IP | Vaxt ±0GMT (Unix UTC) | Növü | C&C IP | Qoşulma IPsi | Qoşulma Portu | Lokal Port | Protokol
123.100.100.123|04.04.2015 21:22:28 ±00:00 (1428164548)|zeroaccess||68.227.140.229|16464|10520|udp

Yoluxmuş İP: Zərərverici yoluxmuş İP ünvanı yani sizin çıxış İP ünvanınızı göstərir (Nüm. 123.100.100.123)
Vaxt +0 GMT (Unix UTC): Yoluxmanın son aşkar olunma tarixini 0-meridana əsasən göstərir. Siz deqiq vaxt üçün +4/+5 fəsilə görə əlavə etməlisiniz və ya daha dəqiq vaxt üçün mötərəzədə qeyd olunmuş Unix UTC zaman dəyərləndirməsinə görə müəyyən edə bilərsiniz. (Nüm. 04.04.2015 21:22:28 ±00:00 (1428164548))
Növü: Yoluxmuş zərərvericinin tipi, növü. (Həmin zərərverici növləri barədə daha ətraflı məlumatı məqalənin sonunda əldə edə bilərsiniz.) (Nüm. zeroaccess)
C&C İP: Zərərvericinin idarə edildiyi mərkəzi server bağlantısı. (Command/Control Center) (Nüm. hər hansı C&C İP qeydə alınmadığına görə boş göstərilib)
Qoşulma İPsi: Zərərvericinin sizin kompüterinizdən etdiyi kənar qoşulmanın İP ünvanı. (Nüm. 68.227.140.229)
Qoşulma portu: Zərərvericinin kənar qoşulma zamanı qoşulduğu İP ünvanda istifadə etdiyi port nömrəsi. (Nüm. 16464|)
Lokal port: Zərərvericinin kənar qoşulma zamanı daxili sistemden çıxış üçün istifadə etdiyi port nömrəsi. (Nüm. 10520)
Protokol: Zərərvericinin istifadə etdiyi protokolun növü. (Nüm. udp)

QEYD:

*Əgər siz YOLUXMUŞ İP xidmətindən istifadə edərək İP ünvanınızın yoluxması barədə xəbərdarlıq əldə edirsinizsə və siz özünüz sözügedən sahənin mütəxəssisi deyilsinizsə, bu barədə dərhal cavabdeh şəxslərə məlumat verin.

*Əgər siz dinamik İP istifadəçisisinizsə və yoluxmanın sizin İP-ini istifadə etdiyiniz vaxtla üst-üstə düşmürsə yani yoluxma zamanı public İP başqa istifadəçidə olubsa bu zaman yoluxmadan narahat olmağa ehtiyac yoxdur amma belə halda da Log və İP barədə müvafiq İnternet providerinə məlumat verməyiniz xahiş olunur.

 

2. Yoluxmuş Kompüterdə zərərvericilərin tapılması və zərərsizləşdirilməsi

Yoluxmuş Kompüterdə zərərvericilərin tapılması və zərərsizləşdirilməsi üçün İlk öncə sizə şəxsi komputerinizdə Antivirus proqram təminatı istifadə etməyi məsləhət görürük. Antivirus proqram təminatı (realtime) olaraq sizin komputerlərinizi zərərvericilərdən qorumaq üçün atılacaq ilk addımdır. Bəzi istifadəçilər yoluxmadan sonra Antivirus proqram təminatını sistemə yükləyirlər və heç bir effekti olmadığı vurğulayırlar. Bu normaldır. Çünki, Antivirusların əksəriyyəti zərərvericiləri icra zamanı yani execution zamanı müəyyən edir daha sonra zərərvericilər format və iş prinsipini dəyişib özünü maşının normal bir prosesi kimi göstərə biləcəyinə görə sonradan onların antivirus tərəfindən aşkar olunması bəzən mümkünsüz olur. Günümüzdə Antivirus hazırlayan şirkətlər yoluxmanın sadəcə execution anında deyil, sonrakı proseslərdə zərərvericilərin davranışlarını görə aşkar etmək və onlarla aktiv mübarizə aparmaq üçün yeni metodlar işləyib hazırlayırlar. Lakin bir çox təhlükəli zərərvericilər yoluxduqdan sonra sistemə hər hansı bir virus əleyhinə proqram təminatının yazılmasının qarşısını almaq üçün müəyyən metodlardan istifadə edir. Buna görə də sistemə vaxtında yəni yoluxmadan öncə Antivirus proqram təminatlarını yazmaq və onun zərərverici qeydiyyat bazasını (signature) daima yeniləmək lazımdır. Unutmamaq lazımdır ki, Antivirusun əsas gücü onun zərərverici qeydiyyat (signature) bazasıdır. Bazanı yeniləmədikcə antivirusun yeni çıxan zərərvericilərlə mübarizə aparması mümkün olmayacaq.

Şüphə: Şüphə virusları təyin etmək üçün istifadə edilən metodlardan biridir. Bəs nədən şüphələnmək?!
Əvvəla internetdə gəzdiyiniz zaman bilmədiyiniz saytlardan istifadə etməkdən çəkinin. Bundan əlavə olaraqda Browserleriniz üçün web reputasıyanı təmin edən proqram təminatlarından istifadə edin. Belə programlar qeydə alınmış təhlükəli saytları sizə bildirmək üçün nəzərdə tutulub. Bunun üçün müxtəlif pluginlər və online servislər var:

TrendMicro http://global.sitesafety.trendmicro.com/

Mcafee SiteAdvisor proqram təminatı. https://www.siteadvisor.com/

Yoluxmuş Kompüterdə zərərvericilərin tapılması sistemdə olan prosesləri gözdən keçirməyinizi məsləhət görürük əgər gözünüzə dəyən sizə şüphəli görünən prosesə rast gəlsəniz həmin prosesə məxsus "Executable" faylını Antivirus labaratoriyalarına göndərməlisiniz. Bunun üçün “Sysİnternals”ın “Process Explorer” proqram təminatından istifadə etməyinizi məsləhət görürük.

https://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

Bundan əlavə olaraq “Process Explorer”dən manual analiz üçün və prosesə aid vacib informasiyanı əldə edə bilərsiniz.

Zərərli proqram təminatları özlərini növbəti sistem açılışı zamanı işə salmaq üçün özlərini “Autorun”-a yazırlar. “Autorun” zamanı işə düşən proqram təminatlar haqqında məlumat toplamaq üçün “Sysinternals”ın “Autorun” alətindən istifadə edin.
https://technet.microsoft.com/en-us/sysinternals/bb963902.aspx

“Rootkit”lərlə mübarizə: Rootkitlər sistemdə özünü gizlətmək bacarığı olan zərərlilərə verilən addır.
Ətraflı məlumat üçün: http://en.wikipedia.org/wiki/Rootkit

Aşağıdakı siyahıda sizə “Rootkit”ləri təyin etmək üçün alətlərə nümunələri təqdim edilib.
http://www.gmer.net/
https://www.malwarebytes.org/antirootkit/

Rescue Disk: Bəzən zərərli proqram təminatları fəaliyyət göstərə-göstərə onlara qarşı istifadə olunan Antivirus və bu kimi proqram təminatlarının işlərinə maneə yaradırlar. Bu tip vəziyyətlərdən ən yaxşı çıxış yolu Rescue Disklərdi. Rescue Disklər sistem yüklənməsinə ehtiyyac qalmadan birbaşa sərt disk üzərində virusları axtara bilirlər. Bundan həmçinin Rootkilərlə mübarizədə də istifadə edə bilərsiniz. İstifadə etdiyiniz Antivirus proqram təminatının “rescue disk”ini tapıb yükləyə bilərsiniz. Bunun üçün aşağıdakı mənbələrdən yararlana bilərsiniz.

Yükləmə və daha ətraflı məlumat üçün:

https://support.kaspersky.ru/viruses/rescuedisk
http://www.avira.com/en/download/product/avira-rescue-system
https://www.avast.com/faq.php?article=AVKB114
http://www.eset.com/int/support/sysrescue/

 

3. Zərərvericilərin növləri və funksionallığı:

 

conficker - Kompüter soxulcanıdır. Hansının ki yoluxması 2008ci ildən başlayıb. Zərərverici Microsoft Visual C++ proqramlaşdırma dilində yazılıb.2009-cu ildən 12.000.000 kompüteri yoluxdurub.

zeus - zərərverici 2007-ci ildə yaranmışdır. Serverlərə hücum və məlumatların ələ keçirilməsi üçün nəzərdə tutulmuşdur. C++ proqramlaşdırma dilində yazılıb. Windows əməliyyat sistemləri üçün nəzərdə tutulmuşdur.

zeroaccess - Bank hesablarınızı oğurlaya bilir. İndiyədək 2000.000 kompüteri yoluxdurub.

darkmailer - Zərərverici proqramdır, hansı ki içərisində zərərcerici proqram paketi olan şəbəkə daxili kompüterlərə çox miqdarda spam göndərir .

palevo - Backdoor tipli zərərverici proqramdır, yoluxmuş kompüteri İRC şəbəkəsinə qoşub kənar şəxslərə müdaxiləni təqdim edir.

cutwail - mail, FTP şifrələrini, brauzerlərdə yadda qalan şifrələri oğurlayır və həmçinin DDOS hücum edə bilir.

gamut - Zərərverici proqramdır, hansı ki içərisində zərərcerici proqram paketi olan şəbəkə daxili kompüterlərə çox miqdarda spam göndərir .

slenfbot - Backdoor tipli zərərverici proqramdır, yoluxmuş kompüteri İRC şəbəkəsinə qoşub kənar şəxslərə müdaxiləni təqdim edir.

dyre - Bank hesablarını oğurlayan zərərverici proqramdır.

wapomi - Faylları yoluxdurmaq üçün nəzərdə tutulub.Aparılan tədqiqatlar virusun internetdən bir neçə faylı yükləyib işə saldığını göstərir.

Gamarue - Olduqca təhlükəli troyan(botnet) hesab olunur.Sistemdə təyin edilməməsi üçün rootkit olaraq fəaliyyət göstərir.Bəzi modulları gizlətmək üçün olduqca qəliz şifrələmə, deşifrələmə və stenoqrafiya texnikalarından istifade edir.

kins - Növbəti təhlükəli botnetdir. Zeus botnetinin bir variantı olaraq tanınır. Xüsusilə də banklara zərər vermək üçün kodlaşdırılıb. RDP üzərindən də işləyir. DLL -dən istifade edərək müxtəlif pluginlər əsasında işləyə bilir.

tinba - Bu troyan isə bank sistemlərini hədəfə alıb. Mənbələrə görə Türk xakerlər tərəfindən kodlaşdırılıb. Kəşfiyyat xaraterli məlumatları əldə etmək məqsədi güdür. Belə ki keylogger,Hook texnikalarından istifadə edərək browserlərden login və şifrələri oğurlamaq üçün nəzərdə tutulub.

shiz - Sistemdə arxa qapı olaraq fəaliyyət göstərir. Əsas məqsəd uzaqdan qoşulmanı qəbul etmək və sistemin idarəsini uzaq əlaqəyə ötürmədir.

torpig - Olduqca təhlükəli rootkit sayılır. Rootkitin köməkliyi ilə Antivirus proqram təminatlarından yayınmağı bacarır.Sistemde məlumat oğurluğu üçün istifadə olunur. Yoluxma zamanı sistemdə olan istifadəçiyə aid şifrələri və başqa məlumatları sistem full access olmaq üçün oğurlayır. Belə ki, 2008ci ilin noyabr ayında Torpig 500000 online bank istifadəçi şifrələrini oğurlamağı bacarmışdı.

kelihos - Botneti zərərli P2P üzərindən işləyir. Bundan əlavə olaraq çoxlu sayda SPAM xarakterli mail göndərdiyi təyin edilmişdir. Əsas məqsədi spam xarakterli məktublar göndərməsidir, DDOS atack və bitcoin-a qarşı hücumlar üçün istifadə olunur.

dorkbot - worm ailəsindəndir. Əsas yoluxma yolları sosial şəbəkələr facebook,twitter ,usb disklər və danışıq qeydə alma proqramlarıdır. Yoluxmadan sonra botnet(COMMAND&CONTROL) olaraq fəaliyyət göstərir. Sosial şəbəkələrdə gələn uyğunsuz mesajlardan yoluxur.

gozi - Troyan proqramıdır. Əsas məqsədi şifrəli məlumatları ələ keçirməkdir. SSL-TLS ilə birgə oğurlanan məlumatlar serverdə məlumat bazasında saxlanılır. İnternet explorerlərdə olan açıqlar sayəsində geniş yayılmışdır.

other - other.exe windows üçün vacib fayl sayılmasa da lakin tez-tez problemlər əmələ gətirir. Məlumdur ki, other faylı tətbiqetmələri monitorinq edə bilir.

dridex - Bu troyan digərlərindən daha fərqli olaraq MS Word-un makrosları vasitəsilə yayılmağa başlayır. Dridex bank troyanı hesab olunur və əsas hədəf olaraq ABŞ-dan olan istifadəçilər götürülür.

bezigate - Bu bekdor sisteme istifadəçinin hər hansı bir icazəsi olmadan yüklənir. Yükləndikdən sonra kompüterinizdə çoxlu sayda zərərverici cəsus proqram paketi işə salır.

redyms - Windows əməliyyat sistemi üçün hazırlanmış zərərverici troyandır. Öz funksiyalarını işə salmaq üçün kompüterdə olan antivirusların fəaliyyətinə müdaxilə edə bilir.

misc - Mısc.exe özündə EXE faylının müxtəlif növünü cəmləyir və Windows əməliyyat sistemi üçün İMSİ tərəfindən hazırlanıb.