Kayıtlar

Nisan, 2019 tarihine ait yayınlar gösteriliyor

FASTCash ve Uygulanabilecek SIGMA Kuralı

Resim
FASTCash Genel Bakış 2 Kasım 2018 tarihinde US-CERT (United States Computer Emergency Readiness Team) tarafından yayınlanan bir raporla[1,2] Lazarus (US-CERT’teki adıyla Hidden Cobra) grubunun yeni bir aktivitesini bildirdi. Yayınlanan rapora göre Lazarus grubunun FASTCash isimli bir zararlı yazılımı kullanarak ATMlerden izinsiz olarak para çektikleri anlaşıldı. Bu aktivitelerin 2016 yılında Asya ve Afrika’da başladığı ortaya çıktı. Lazarus, Kuzey Kore kökenli siber suç ve istihbarat grubudur. Kendisini ilk olarak Sony’nin 2014 yılında hacklenmesiyle duyduk. WannaCry isimli zararlının (ransomware) arkasında olduklarına dahil bilgiler bulunmaktadır. FastCash zararlısı Lazarus grubunun istediği miktarlarda (hesap bakiyesi olmasa dahi) istedikleri kadar para çekmelerini sağlıyor. Aşağıdaki görsel Lazarus grubunun FastCash’i nasıl kullandığını gösteriyor.


FastCash’in çalışma mantığı[1]

Özet Bu analizimizde Kuzey Kore kökenli Lazarus grubunun ne kadar karmaşık ve bilgi seviyelerinin ne kad…

Ryuk ve Uygulanabilecek SIGMA Kuralları

Resim
Ryuk Genel bakış Kripto paraların popülerliğinin artması ve takip edilebilirliğinin zor olmasından dolayı kripto para cinsinden fidye isteyen zararlı yazılımların sayısı her geçen gün artmaktadır. Sisteme bulaşıp sistemdeki dosyaları şifreleyip, belirli bir para karşılığı dosyalarınızı tekrardan eski haline getireceğini söyleyen zararlı yazılım türüne fidye yazılımı denir. WannaCry, BadRabbit, Petya bunlardan en çok duyulanlarıdır. Ryuk zararlısı da bir fidye yazılımı olup Hermes fidye yazılımını geliştiren grupla bağlantısı olduğu idda ediliyor.
Özet Bu analiz, 2018 yılının Noel zamanı aktivitesini arttıran Ryuk fidye yazılımının neler yaptığını anlatmaya yöneliktir. Ryuk, başka bir dropper içerisinde gelip kendini ortaya çıkartıyor. Zararlının amacı sistemdeki dosyaları şifreleyip, kurbandan para almak. Kullanılan MITRE ATT&CK vektörleri ve sürecin genel olarak işleyişi hakkında bilgileri aşağıdaki görsellerde bulabilirsiniz.


Temel Bilgiler Bu bölümde verilecek olan bilgiler ry…

Charming Kitten

Resim
Genel Bakış Charming Kitten, 2014 yılından beri aktif olduğu düşülen İran kökenli bir siber casusluk grubudur. Hedef kitlesini İran’da veya İran dışında (Türkiye, ABD, İsrail, Birleşik Krallık vs.) yaşayan spesifik bireyler oluşturuyor. Hedefledikleri bireylerin genelde İran ile ilgisi olan konularda akademik, insan hakları veya medya üzerinde çalışması olan kişiler olduklarını görüyoruz. Bu grubun ilk amacı ise hedeflerin kişisel e-mail adreslerini veya Facebook hesaplarını ele geçirmek. Bu grubun uyguladığı taktik, teknik ve prosedür (TTP) yine İran kökenli olan Rocket Kitten ile çok benzediği için bu iki grup arasındaki sınırın çizilmesi çok zor olabiliyor[1]. Özet Bu analiz, İran kökenli Charming Kitten grubunun neler yaptığını, hangi tekniklerle saldırılarını gerçekleştirdiği, hedef kitlesinin kim olduğu ve ne kadar tehlikeli olabileceklerini gösteriyor. Hedeflerinin İran kökenli olan veya İran ile ilgili araştırma yapan insanlar olduğunu gördüğümüz bu grup, genellikle oltalama m…