XÜSUSİ RABİTƏ VƏ İNFORMASİYA
TƏHLÜKƏSİZLİYİ DÖVLƏT XİDMƏTİ

KOMPÜTER İNSİDENTLƏRİNƏ QARŞI MÜBARİZƏ MƏRKƏZİ

İnsident bildir

Məqalələr > Azərbaycanda aktiv zərərverici proqramlar və onlarla mübarizə yolları

29 May 2014

İnkişaf edən texnologiyalar, bu texnologiyaların həyatımızda tətbiqi nə qədər həyati fəaliyyətlərimizi asanlaşdırsa da özüylə eyni zamanda müxtəlif diqqət edilməsi gərəkən məsələləri və problemləri də gətirməkdədir. Texnologiyanın sürətli inkişafı, brendlərin və xidmətlərin bir-birini sürətlə əvəz etməsi onların təhlükəsizlik testlərinə ayrılan zamanını gün-gündən daha da qısaldır ki, bu da hər yeni gün yeni boşluqların yaranmasına eyni zamanda yeni boşluqlar və texnologiyalardan istifadə edən pisniyyətli proqramçıların və onların məhsulları olan zərərverici proqramların (malware) yayılmasına və çoxalmasına müsbət təsir edir.

Azərbaycanda  aktiv zərərverici proqramlar və onlarla mübarizə yolları:

RAT(Remote Administration Tool).
Bu tip proqram təminatları yoluxdurulmuş(Zombi) sistemlərdə cəsus rolunu oynayır və dəqiq olaraq deyə bilərik ki, yoluxmuş sistemi tamamilə 1-ci ələ (İdarəetməni əlində saxlayan) şəxsə verir. Yazılan yeni RAT-lar istifadəçinin səs danışıqlarına qulaq asa bilir, ekran görüntüsü ala bilir, canlı izləmə, keylogger-klaviatura ilə daxil edilən məlumatları oxuya bilir, zombi sistemdə kod icra etməyə imkan yaradır və s. İndi bu tip proqram təminatı ilə qarşı-qarşıya olduğunuzu təsəvvür edin. Daxil olduğunuz saytların şifrələri, bank hesab nömrələriniz, göndərdiyiniz məktublar, Messenger tipli proqramlarla danışdığlarınız başqa şəxsə ötürülür.

Son zamanlarda en geniş yayılan RAT-lar:
XtremeRAT
DarkComet
SpyEYE

Bəs nə etməli?
İlk öncə gəlin bu tip yüklənə fayllara nəzər yetirək. Məqaləni hazırlayarkən internetdə rast gəldiyimiz bir fayl bizə şübhəli gəldi.

Burda ilk öncə diqqətlə fikir versəniz saytın statistikası 121 nəfərin bu faylı yüklədiyini göstərir. Bu isə o deməkdir ki, Antivirus proqram təminatı olmayan və ya Update edilməmiş Antivirus olan komputerlər artıq bu zərərli proqram təminatına yoluxub. Daha sonra nəyə diqqət yetirilməsi vacib olan və şübhə yaradan məsələ faylın həcmidir. Əvvəla GTA5 970kb həcmində ola bilməz. Digər şübhəli məqam GTA adətən bu cür sadə downloader hazırlamır.

Bəs ev şəraitində nə edə bilərik?

Hər bir Antivirus proqram təminatının şübhələndiyiniz faylları Antivirus laboratoriyasına göndərməyiniz üçün müvafiq bölmələri var. Axtarış üçün [Antivirus Adi + Submit suspicous] kəlməsini axtarmağınız kifayətdir. Bundan sonra əgər həmin faylı şəxsi Antivirus proqram təminatınız detect etməyibsə yenidən analiz üçün bazaya göndərə bilərsiniz. Mən bu faylı yenidən bazaya göndərirəm və nəticə.

Bundan sonra nə etməli? Proqramı silmək ən yaxşı variantdır. 

KİMM Lab olaraq proqramı silməzdən öncə proqramı analiz edib sizlərlər nəticəni paylşamaq qərarına gəldik. Proqram SFX arxiv ilə sıxışdırılıb. 7zip ilə arxivi ilk öncə extract edirik .

Extractdan sonrakı vəziyyət. Yuxarıda şəkildə extractan sonra görkənən fayllar "Ardamax Keylogger"in standart fayllarıdır. Keyloggerlər klaviatura ilə daxil etdiyiniz məlumatlar log şəklində toplanaraq 2-ci ələ ötürülür. Dəqiqlik üçün faylları scan edərək yoxlayaq.

ALERT: [TR/Agent.4096.P] POL\POL.003 <<< Is the TR/Agent.4096.P Trojan
ALERT: [TR/Spy.Ardamax.T.68] POL\POL.004 <<< Is the TR/Spy.Ardamax.T.68 Trojan
ALERT: [TR/Crypt.XPACK.Gen3] POL\POL.exe <<< Is the TR/Crypt.XPACK.Gen3 Trojan

Yoxlamanın nəticəsindən də görə bilərsiniz ki, fayllar spy kategoriyalı Ardamax adlı troyan olaraq müəyyənləşdi. Əslində deyə bilərik ki, o qədər də professional şəkildə hazırlanmayıb. Log Viewer-in setup zamanı silinməməsi həmçinin test faylı bunu göstərir. Ümümiyyətlə bü cür cəsus proqramlarını statik analiz etmək düzgün deyil. Bu tip proqramları virtual maşınlarda virtual mühitlər qurub şəbəkəni sniff edib proqramın bütün qoşulmalarına nəzarət etməklə analiz etmək olar.


Soxulcanlar.

Soxulcanlar yoluxduqları komputerlərdə özlərini yaymağı bacarırlar və əsas məqsədləri bacardıqları qədər çox komputerə yoluxmaqdır. Bunu ya şəbəkə yolu ilə, fayl infection ilə ya da özlərini gəzdirilə bilən sürücülər yolu ilə edirlər.
Ən geniş yayılan metodlar son 2 üsuldur.

1 ci yoluxma texnikasına isə çox az rast gəlinməyinə baxmayaraq daha çox səs gətirən soxulcanlardır. Ən məşhur misalı Conficker (Kido, Downup). Confickerin əslində çox maraqlı tarixçəsi var. Microsoftun Windows əməliyyat sistemindəki bir açığı (MS08-67 https://technet.microsoft.com/library/security/ms08-067) bildirməsinin üzərindən bir müddət keçəndən sonra bu soxulcan yayıldı.

Symantec şirkətinin statistikası.

Daha sonra Stuxnet soxulcanı. İranı hədəf aldığı üçün Azərbaycanda da olduqca geniş yayıldı.

Stuxnet haqqında http://en.wikipedia.org/wiki/Stuxnet

Qısa olaraq belə deyə bilərik ki, onun yayılmasında 0-day exploitin köməyi oldu. Analitiklər Stxunetin normal virus proqramçıları tərəfindən deyil arxasında müəyyən ölkələrin dayandığını bildirdilər. Xüsusilə İran Atom Elektrik Stansiyalarını tam olaraq Siemens Scada sistemini hədəf alan Stuxnet Rusiyalı mütəxəsislər tərəfindən tapılmışdı. Xatırladım ki, ilk olaraq Stuxneti 2010-cu ildə VirusBlokAda (Belarusiya Antivirus) şirkəti tapmışdı. Bundan əlavə olaraq Rootkit texnikası Stuxnet tamamilə gözə görünməz etməyi bacarmışdı.

Bütün bunlarla yanaşı olaraq Azərbaycanda ən çox yayılan viruslar arasında həmçinin Sality, Ramnitidə və ZEUS-u qeyd etmək vacibdir.

Bu cür təhlükələr hər an qarşınıza çıxa bilər.Tək çıxış yolu Antivirus, Anti-Spyware, Anti-Logger kimi proqram təminatlarından istifadə etməkdir.

Bəs hansı Antivirus yaxşıdır?

Əlbətdə seçim olduqca çoxdur. Bəzən nəyin yaxşı olub olmadığını bilmirik. Bu zaman köməyimizə http://www.av-comparatives.org/ kimi neytral hec bir kommersiya güdməyən təhlükəsizlik proqramlarını test edən təşkilatlar gəlir. Məhz bu tip təşkilatlar hər il təhlükəsizlik proqramlarını müəyyən kriteriyalara görə test edir və statistikanı rəsmi saytında yerləşdirir.

Məhz bu tip təşkilatların köməkliyi ilə Antivirus seçiminizi rahat şəkildə edə bilərsiniz. Unutmayın Antivirus işlətmək qədər, onun virus bazasını da vaxtı-vaxtında yeniləmək vacibdir. Əks təqdirdə ən yaxşı Antivirus təminatı belə sizi qoruya BİLMƏZ!!!

 

Flash sürücü təhlükəsizliyi.

Yuxarıda da qeyd etdiyimiz kimi viruslar və soxulcanlar özlərini flash sürücülərin köməkliyi ilə də yaya bilirlər. Faiz hesabı vermək lazım olarsa deyə bilərik ki, yoluxmaların 75% faiz məhz bu üsullarla gerçəkəşir. Belə olduqda isə təhlükəsizliyə diqqət yetirmək lazımdır. Sırf Autorun.inf faylları ilə yoluxmanın qarsısını almaq üçün UsbDiskSecurity kimi proqram təminatlarından istifadə edə bilərsiniz. Amma məsləhət gördüyümüz texnika UsbVaccine-dir. http://www.pandasecurity.com/usa/homeusers/downloads/usbvaccine/ Panda şirkətinin hazırladığı bu proqram flash sürücülərin tərkibinə [nonreadable+nonwriteable] pozula bilməyən+yazıla bilməyən+oxuna bilməyən Autorun.inf faylı yazır. Beləliklə sistemə yoluxmuş malware özünü sürücüyə kopyalasa belə Autorun faylını kopyalaya bilmir. Belə olduqda isə virus remotedə özünü işə sala bilmir. 

Windows Shortcut Exploit

Stuxnet virusu ilə yuxarıda adı çəkilən anti Autorun təhlükəsizlik vasitələrinin bypass-ı üçün "0 day" exploit gəldi. Cari boşluq Windows əməliyyat sisteminin bütün versiyalarında mövcud idi. Boşluq adındanda göründüyü kimi lnk(Shortcut link)formatında olan fayllara ikonun mənimsədilməsində dəqiq olaraq shell32.dll kitabxanasında tapılmışdı. Yəni əgər Windows Explorer ilə diskin içərisinə nəzər yetirilərsə soxulcan avtomatik olaraq lazımı faylları işə salırdı. Nəticədə isə köçürülə bilən disklərdə təhlükəsizlik üçün Autorun funksiyası DİSABLE olsa belə soxulcan özünü məhz bu boşluğun köməkliyi ilə işə salaraq kopyalaya bilirdi. Stuxnetin bunu necə etdiyini Sophos Lab-ın hazırladığı videodan izləyə bilərsiniz.

Ətraflı məlumat üçün:
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2568
https://technet.microsoft.com/library/security/ms10-046

Bu tip explotasiyaya qarşı isə çıxış yolu Patchingdir.

 

 

ZEUS Trojan Botnet.

Yuxarıda gördüyünüz Kaspersky LAB-ın açıqladığı ZEUS troyanına məxsus root serverlərin yerləşdiyi ölkələr üzrə statistikasıdır. Azərbaycanda da yetəri qədər rast gəlinən ZEUS troyanı bir bank hesabı troyanıdır. ZEUS troyanı serverinin qurulmasında ölkələr təsadüfi olaraq seçilmir. Məqsəd daha rahat və problemsiz şəkildə fəaliyyət göstərməkdir. Qeyd edək ki, ZEUS ən güclü bank troyanları siyahısında yer alır. Yeni aşkar edildiyi zamanlarda Antiviruslardan yayınmasının səbəbinin rootkit teknikası istifadə etdiyi bildirilmişdi.

Nə kimi funksıyaları mövcuddur?
- Troyan sistemə yoluxdan sonra müəyyən serverlər ilə əlaqə yaradır.
Bu ünvanlara kompüterdə istifadə olunmuş bank hesablarını və şifrələrini və yoluxma haqqında digər məlumatları göndərir və bəzi bank sistemlərinə aid logoları yükləyir. Bu loqolardan daha sonra “man-in-the-browser” hücumlarında istifade edir. Bundan əlavə olaraqda istifadəçinin daxil etdiyi açarları (key) qeydiyyata alır. Botnet olaraqda fəliyyət göstərməsi Zbotun hal-hazırda ən aktiv funksiyalarından biridir. Hər nə qədər bir müddət bundan öncə Microsoft, ABŞ təhlükəsizlik xidməti ilə birlikdə Zbota aid vacib serverlərin tapılaraq məhv edildiyini bildirsələrdə hələdə zbot online həyatımızda fəaliyyət göstərir və hələdə təhlükə mənbəyi olaraq qalır. Artıq bütün ödənişlərin internet üzərindən həyata keçirildiyini fikirləşsəz ZEUS troyanının bank hesablarınızı ələ keçirtmədə nə qədər ciddi bir ziyanverici olması barədə uzun danışmaq yersiz olar.

 

KİMM Lab olaraq sizlərə antiviruslarınızı daima yeniləməyinizi, sisteminizi daima yeni çıxan boşluqlara qarşı patch etməyinizi və internet texnologiyaları haqqında çıxan yeni xəbərləri izləməyinizi məsləhət görürük.