SlideShare a Scribd company logo
1 of 31
Download to read offline
www.zemana.com 1 / 31
Emre TINAZTEPE
Lead Software Architect
Ransomcrypt Zararlıları
Çalışma Mantıkları ve Analiz Yöntemleri
www.zemana.com 2 / 31
Zemana Hakkında
• 2007 yılında kurulan global bir internet güvenliği şirketi,
• Proaktif güvenlik çözümleri sağlayıcısı,
• Finansal hedefli saldırılar konusunda uzmanlaşmış kadro,
• Dünya çapında korunan 10 milyon son kullanıcı,
• Bağımsız test kuruluşları tarafından onaylanmış ürünler.
www.zemana.com 3 / 31
Hakkımda
• Maltepe Askeri Lisesi ve Kara Harp Okulu Mezunu,
• 15 yıla yakın bir süredir programlama ile ilgileniyor,
• 7 yıldır zararlı yazılımlar alanında çalışıyor,
• Sistem programcısı, meraklı ve iyi bir okuyucu.
www.zemana.com 4 / 31
Kızın Elimizde
www.zemana.com 5 / 31
RDP Sapığı Mağdur Profilleri
• Sunucu sistemlerine izinsiz erişilen şirketlerin mağdur profiline bakıldığında:
– Sunucuların internete bağlı olduğu ve uzak masaüstü bağlantısının açık olduğu,
– Kullanıcı adlarının genellikle “Admin, Administrator, Şirket Adı” olduğu,
– Sunucu şifrelerinin ise genellikle “123456, Server, Password veya Şirket Adı” olduğu,
– Sunucu erişim yetkisine sahip farklı kişilerde düşük güvenlikli çeşitli kullanıcı adı ve şifrelerinin bulunduğu,
– Herhangi bir güvenlik önlemi veya yetkilendirme olmadan şifreye sahip herkesin sunucuya erişebildiği,
– Sunucuda bulunan verilerin yedeğinin bulunmadığı anlaşılmıştır.
www.zemana.com 6 / 31
Mağdur Şirket
www.zemana.com 7 / 31
Helal-i hoş olsun?
• Büyük çaplı bir dizayn firması, satışlarının büyük bir kısmını internetten yapıyor,
• Logo muhasebe yazılımını tek bir bilgisayarda kullanıyor ve yedek almıyor,
• Bu ay tahsil etmesi gereken 170.000 TL bu programda kayıtlı 
• 10 bilgisayarcı çağırmış (4 kutu AV ile gelen var),
• 16 Nisan 2014’de mail yoluyla gelen bir faturaya tıklıyor ama bir türlü açamıyor 
• Bir kaç gün sonra hiç bir program açılmıyor,
• Günün sonunda bizzat şirket sahibinden duyduğum cümle:
“Emre Bey, benim dosyalarım açılsın da, virüsü yazan adama verdiğimiz para helal-i hoş olsun”
www.zemana.com 8 / 31
Saldırı Çeşitleri
• Dosyaları kısmi şifreleme,
• Tamamen şifreleme,
• Login ekranını şifreleme,
• İşletim sistemini tamamen şifreleme (BIOS Boot Locker).
www.zemana.com 9 / 31
İş Modeli
Spam Mail
Dosyaları
Şifrele
Not Bırak
Para para
para
www.zemana.com 10 / 31
İş Modeli
www.zemana.com 11 / 31
Koskoca AntiVirüs
• Malware analiz laboratuarı nedir?
• Packer nedir? Ne işe yarar?
• AV Bypass nedir? Nasıl yapılır?
• Katmanlı güvenlik ve önemi.
• Basit önlemler:
– Dosya uzantılarını göster,
– Dosya türünü göster,
– Zoom trick,
– Virus Total Uploader.
www.zemana.com 12 / 31
Semptomlar
• Açılmayan faturalar,
• Yüksek bilet tutarları,
• Yazım hataları olan mailler,
• Papua Yeni Gine Prensi’nden gelen mektuplar,
• Klasör görünümlü dosyalar (eski XP klasörlerine benzer),
• Çirkin PDF ikonları,
• Onay ya da giriş isteyen sayfalar (captcha gibi güven verici).
www.zemana.com 13 / 31
5 Dosya Gönderdim Geldi Mi?
• Yaşanmış bir olay :
- 5 malware örneği gönderdim, geldi mi?
- Hmmmm, az önce geldi, 4 dosya 1 dizin.
- Ne dizini?
- Valla dizine tıkladım açılmadı.
- Aferin 
www.zemana.com 14 / 31
Dosya Yapısı
• Her dosya !crypted! kelimesi ile başlıyor,
• Hemen arkasından bilgisayara ait unique id
geliyor,
• Dosyanın kalanında ise veri şifrelenmiş bir
şekilde tutuluyor,
• RSA 2048 ile şifrelendiği için brute force
saldırıları ile sonuç almak mümkün değil.
www.zemana.com 15 / 31
Çözüm Sürecinde Yapılan Hatalar
• Anti virüs ile tarama yapmak ve zararlıyı silmek,
• Bilgisayarcı çağırmak 
• Dosyaları bir bilgisayardan alarak başka bir bilgisayara kopyalamak (bedava decryption
denemeleri )
www.zemana.com 16 / 31
Çözüm
• Harici bir boot disk ile sistemi başlatmak,
• Hardcoded şifre kullanan zararlıları reverse ederek şifreyi elde etmek,
• Brute force saldırısına açık dosyaları brute force ile kurtarmak,
• Known Plain Text Attack ile şifreyi elde etmek,
• Saldırgana fidye ödemek.
www.zemana.com 17 / 31
Amatör Saldırganlar
• Şifreleme algoritmasını yanlış kullanmak,
• Üretilen rasgele sayıları sadece «Rakam» ile sınırlamak ve brute
force saldırısını mümkün kılmak.
www.zemana.com 18 / 31
Fatmal
• Fatura Zararlısı,
• 3-4 aylık periyotlarla saldırılar düzenleyen bir çete,
• Genellikle aynı packerı kullanarak AV Bypass yapılıyor (Run PE),
• Genel olarak hedef kredi kartı ve kişisel veri hırsızlığı,
• Daha önce RDP açığı bulunan sistemlere yaptıkları saldırılarda
çok sayıda şirketi zarara uğrattılar.
www.zemana.com 19 / 31
Run PE
• AV Bypass için gayet etkili bir yöntem,
• Hala bir çok antivirüs rahatlıkla bypass edilebiliyor,
• Manuel unpacking zaman alıcı.
Orijinal Dosya
Kendini Tekrar
Çalıştır
Unpack
İşlemini
Gerçekleştir
Enfeksiyona
Başla
www.zemana.com 20 / 31
Run PE
Zararlı Dosya (Packed) Zararlı Dosya (Unpacked)
Şifreli Kısım Çalışabilir Kısım
www.zemana.com 21 / 31
XOR Nedir?
• Artı, eksi gibi bir operatör,
• Oyun programlama gibi alanlarda imleç görünürlüğü için kullanılır,
• Neredeyse bütün şifreleme algoritmalarının temelini oluşturur,
• Kullanımı çok basittir ve encrypted zararlıların neredeyse tamamında kullanılır.
A xor B = C
B xor C = A
A xor C = B
ise
www.zemana.com 22 / 31
Initialization Vector ve AES
• Her blok (CBC) bir önceki blok ile XOR’lanır. Zincirleme kelimesinin buradan gelmektedir.,
• İlk blok için IV kullanılarak sanki bir önceki blokmuş gibi işleme sokulur,
• Normal XOR’un aksine, şifrelenen dosyada aynı olan blokların farklı şifrelenmesine olanak
sağlar,
• Genellikle kullanılan şifrenin uzunluğunda olur,
• Kullanılmaz ise şifreyi known plain text attack ile elde şansınız yüksektir.
www.zemana.com 23 / 31
CBC ve IV
www.zemana.com 24 / 31
2 MB limiti
• Hız kazanmak için her dosyanın ilk 2 MB’lık kısmı şifrelenir,
• Dosyanın başlık kısmı dahil ilk 2 MB’ı bozulduğu için dosya açılamaz,
• Şifreleme algoritması düzgün kullanıldığında gayet efektiftir.
www.zemana.com 25 / 31
Dosyayı Çalıştıralım
www.zemana.com 26 / 31
Şifreleme Algoritması
• Dosyalar AES ile şifrelenmiş ve anahtar rasgele üretiliyor,
• Rasgele üretilen anahtar ise RSA 2048 ile şifrelenerek kullanıcıya gösteriliyor,
• AES’de kullanılan mode’un CTR modu olduğunu kodu reverse ederek anlıyoruz,
• Tüm dosyalarda kullanılan IV sabit ise tüm dosyalar çözülebilir.
www.zemana.com 27 / 31
CTR Mode
www.zemana.com 28 / 31
Zemana Fatmal Decryptor
www.zemana.com 29 / 31
Zemana Fatmal Decryptor
• Şifre : Vahşi Yaşam
www.zemana.com 30 / 31
Zemana Fatmal Decryptor
XOR = XOR Cipher
(2MB Boyutunda)
www.zemana.com 31 / 31
Teşekkürler

More Related Content

What's hot

Microsoft Active Directory'deki En Aktif Saldirilar
Microsoft Active Directory'deki En Aktif SaldirilarMicrosoft Active Directory'deki En Aktif Saldirilar
Microsoft Active Directory'deki En Aktif SaldirilarAdeo Security
 
Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)Alper Başaran
 
Siber Olaylara Müdahale ve Hukuki Boyutları
Siber Olaylara Müdahale ve Hukuki BoyutlarıSiber Olaylara Müdahale ve Hukuki Boyutları
Siber Olaylara Müdahale ve Hukuki BoyutlarıAlper Başaran
 
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik TemelleriBeyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik TemelleriPRISMA CSI
 
Bilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İnceleme
Bilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İncelemeBilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İnceleme
Bilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İncelemeBGA Cyber Security
 
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)BGA Cyber Security
 
SDU Siber Güvenlik Zirvesi - Anıl Baran Yelken - Python ile Sızma Testi Araç...
SDU Siber Güvenlik Zirvesi - Anıl Baran Yelken - Python ile Sızma Testi Araç...SDU Siber Güvenlik Zirvesi - Anıl Baran Yelken - Python ile Sızma Testi Araç...
SDU Siber Güvenlik Zirvesi - Anıl Baran Yelken - Python ile Sızma Testi Araç...SDU CYBERLAB
 
Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)
Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)
Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)PRISMA CSI
 
Kaynak Kod Analiz Süreci
Kaynak Kod Analiz SüreciKaynak Kod Analiz Süreci
Kaynak Kod Analiz SüreciPRISMA CSI
 
Beyaz Şapkalı Hacker CEH Eğitimi - Parola Kırma Saldırıları
Beyaz Şapkalı Hacker CEH Eğitimi - Parola Kırma SaldırılarıBeyaz Şapkalı Hacker CEH Eğitimi - Parola Kırma Saldırıları
Beyaz Şapkalı Hacker CEH Eğitimi - Parola Kırma SaldırılarıPRISMA CSI
 
İnternet Üzerinde Anonimlik ve Tespit Yöntemleri
İnternet Üzerinde Anonimlik ve Tespit Yöntemleriİnternet Üzerinde Anonimlik ve Tespit Yöntemleri
İnternet Üzerinde Anonimlik ve Tespit YöntemleriBGA Cyber Security
 
Heybe Pentest Automation Toolkit - Sec4U
Heybe Pentest Automation Toolkit - Sec4U Heybe Pentest Automation Toolkit - Sec4U
Heybe Pentest Automation Toolkit - Sec4U Bahtiyar Bircan
 
Ddos analizi
Ddos analiziDdos analizi
Ddos analizifangjiafu
 
Beyaz Şapkalı Hacker CEH Eğitimi - Exploit Aşaması
Beyaz Şapkalı Hacker CEH Eğitimi - Exploit AşamasıBeyaz Şapkalı Hacker CEH Eğitimi - Exploit Aşaması
Beyaz Şapkalı Hacker CEH Eğitimi - Exploit AşamasıPRISMA CSI
 
Hosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm Önerileri
Hosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm ÖnerileriHosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm Önerileri
Hosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm ÖnerileriBGA Cyber Security
 
Kritik Altyapılarda Siber Güvenlik
Kritik Altyapılarda Siber GüvenlikKritik Altyapılarda Siber Güvenlik
Kritik Altyapılarda Siber GüvenlikAlper Başaran
 
Sızma Testlerinde Fiziksel Güvenlik Riskleri
Sızma Testlerinde Fiziksel Güvenlik RiskleriSızma Testlerinde Fiziksel Güvenlik Riskleri
Sızma Testlerinde Fiziksel Güvenlik RiskleriBGA Cyber Security
 
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru EntegrasyonuBaşarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru EntegrasyonuBGA Cyber Security
 

What's hot (20)

Microsoft Active Directory'deki En Aktif Saldirilar
Microsoft Active Directory'deki En Aktif SaldirilarMicrosoft Active Directory'deki En Aktif Saldirilar
Microsoft Active Directory'deki En Aktif Saldirilar
 
Olay Mudahale ve EDR
Olay Mudahale ve EDROlay Mudahale ve EDR
Olay Mudahale ve EDR
 
Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)
 
APT Saldırıları
APT SaldırılarıAPT Saldırıları
APT Saldırıları
 
Siber Olaylara Müdahale ve Hukuki Boyutları
Siber Olaylara Müdahale ve Hukuki BoyutlarıSiber Olaylara Müdahale ve Hukuki Boyutları
Siber Olaylara Müdahale ve Hukuki Boyutları
 
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik TemelleriBeyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
 
Bilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İnceleme
Bilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İncelemeBilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İnceleme
Bilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İnceleme
 
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
BGA SOME/SOC Etkinliği - APT Tehditlerine Karşı 7/24 Güvenlik İzlemesi (SOC)
 
SDU Siber Güvenlik Zirvesi - Anıl Baran Yelken - Python ile Sızma Testi Araç...
SDU Siber Güvenlik Zirvesi - Anıl Baran Yelken - Python ile Sızma Testi Araç...SDU Siber Güvenlik Zirvesi - Anıl Baran Yelken - Python ile Sızma Testi Araç...
SDU Siber Güvenlik Zirvesi - Anıl Baran Yelken - Python ile Sızma Testi Araç...
 
Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)
Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)
Beyaz Şapkalı Hacker CEH Eğitimi - Pasif Bilgi Toplama (OSINT)
 
Kaynak Kod Analiz Süreci
Kaynak Kod Analiz SüreciKaynak Kod Analiz Süreci
Kaynak Kod Analiz Süreci
 
Beyaz Şapkalı Hacker CEH Eğitimi - Parola Kırma Saldırıları
Beyaz Şapkalı Hacker CEH Eğitimi - Parola Kırma SaldırılarıBeyaz Şapkalı Hacker CEH Eğitimi - Parola Kırma Saldırıları
Beyaz Şapkalı Hacker CEH Eğitimi - Parola Kırma Saldırıları
 
İnternet Üzerinde Anonimlik ve Tespit Yöntemleri
İnternet Üzerinde Anonimlik ve Tespit Yöntemleriİnternet Üzerinde Anonimlik ve Tespit Yöntemleri
İnternet Üzerinde Anonimlik ve Tespit Yöntemleri
 
Heybe Pentest Automation Toolkit - Sec4U
Heybe Pentest Automation Toolkit - Sec4U Heybe Pentest Automation Toolkit - Sec4U
Heybe Pentest Automation Toolkit - Sec4U
 
Ddos analizi
Ddos analiziDdos analizi
Ddos analizi
 
Beyaz Şapkalı Hacker CEH Eğitimi - Exploit Aşaması
Beyaz Şapkalı Hacker CEH Eğitimi - Exploit AşamasıBeyaz Şapkalı Hacker CEH Eğitimi - Exploit Aşaması
Beyaz Şapkalı Hacker CEH Eğitimi - Exploit Aşaması
 
Hosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm Önerileri
Hosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm ÖnerileriHosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm Önerileri
Hosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm Önerileri
 
Kritik Altyapılarda Siber Güvenlik
Kritik Altyapılarda Siber GüvenlikKritik Altyapılarda Siber Güvenlik
Kritik Altyapılarda Siber Güvenlik
 
Sızma Testlerinde Fiziksel Güvenlik Riskleri
Sızma Testlerinde Fiziksel Güvenlik RiskleriSızma Testlerinde Fiziksel Güvenlik Riskleri
Sızma Testlerinde Fiziksel Güvenlik Riskleri
 
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru EntegrasyonuBaşarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
 

Viewers also liked

Bilgisayarda Güvenlik ve Tehlikeleri
Bilgisayarda Güvenlik ve TehlikeleriBilgisayarda Güvenlik ve Tehlikeleri
Bilgisayarda Güvenlik ve TehlikeleriBilal Akçay
 
GÜVENLİ YAZILIM GELİŞTİRME EĞİTİMİ İÇERİĞİ
GÜVENLİ YAZILIM GELİŞTİRME EĞİTİMİ İÇERİĞİGÜVENLİ YAZILIM GELİŞTİRME EĞİTİMİ İÇERİĞİ
GÜVENLİ YAZILIM GELİŞTİRME EĞİTİMİ İÇERİĞİBGA Cyber Security
 
Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığı
Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığıEvren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığı
Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığıCypSec - Siber Güvenlik Konferansı
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3BGA Cyber Security
 

Viewers also liked (6)

Bilgisayarda Güvenlik ve Tehlikeleri
Bilgisayarda Güvenlik ve TehlikeleriBilgisayarda Güvenlik ve Tehlikeleri
Bilgisayarda Güvenlik ve Tehlikeleri
 
Yazılım Güvenliği
Yazılım GüvenliğiYazılım Güvenliği
Yazılım Güvenliği
 
GÜVENLİ YAZILIM GELİŞTİRME EĞİTİMİ İÇERİĞİ
GÜVENLİ YAZILIM GELİŞTİRME EĞİTİMİ İÇERİĞİGÜVENLİ YAZILIM GELİŞTİRME EĞİTİMİ İÇERİĞİ
GÜVENLİ YAZILIM GELİŞTİRME EĞİTİMİ İÇERİĞİ
 
Bünyamin Demir - 10 Adımda Yazılım Güvenliği
Bünyamin Demir - 10 Adımda Yazılım GüvenliğiBünyamin Demir - 10 Adımda Yazılım Güvenliği
Bünyamin Demir - 10 Adımda Yazılım Güvenliği
 
Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığı
Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığıEvren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığı
Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığı
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
 

Similar to Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yöntemleri)

Ransomware Nedir, Nasıl Korunulur?
Ransomware Nedir, Nasıl Korunulur?Ransomware Nedir, Nasıl Korunulur?
Ransomware Nedir, Nasıl Korunulur?Ibrahim Akgul
 
Jetico personal firewall 2
Jetico personal firewall 2Jetico personal firewall 2
Jetico personal firewall 2Mutlu
 
WannaCry - NotPetya Olayları
WannaCry - NotPetya OlaylarıWannaCry - NotPetya Olayları
WannaCry - NotPetya OlaylarıAlper Başaran
 
Davetsiz misafirleri nasil tesbit eder ve onlardan nasil kurtulabiliriz
Davetsiz misafirleri nasil tesbit eder ve onlardan nasil kurtulabilirizDavetsiz misafirleri nasil tesbit eder ve onlardan nasil kurtulabiliriz
Davetsiz misafirleri nasil tesbit eder ve onlardan nasil kurtulabilirizilker kayar
 
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliğiBilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliğiEPICROUTERS
 
Zafiyet tespiti ve sizma yöntemleri
Zafiyet tespiti ve sizma yöntemleriZafiyet tespiti ve sizma yöntemleri
Zafiyet tespiti ve sizma yöntemleriEPICROUTERS
 
Güvenlikyazılımları
GüvenlikyazılımlarıGüvenlikyazılımları
Güvenlikyazılımlarımsbasarici
 
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux 2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux Burak Oğuz
 
Hacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıHacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıMustafa
 
Hafta2_CasusYazılımlar
Hafta2_CasusYazılımlarHafta2_CasusYazılımlar
Hafta2_CasusYazılımlarerince
 
Ozgur Yazilimlar ile Saldiri Yontemleri
Ozgur Yazilimlar ile Saldiri YontemleriOzgur Yazilimlar ile Saldiri Yontemleri
Ozgur Yazilimlar ile Saldiri YontemleriFatih Ozavci
 
Beyaz Şapkalı Hacker CEH Eğitimi - Post Exploit Aşaması
Beyaz Şapkalı Hacker CEH Eğitimi - Post Exploit AşamasıBeyaz Şapkalı Hacker CEH Eğitimi - Post Exploit Aşaması
Beyaz Şapkalı Hacker CEH Eğitimi - Post Exploit AşamasıPRISMA CSI
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Zafiyet Keşfi
Beyaz Şapkalı Hacker CEH Eğitimi - Zafiyet KeşfiBeyaz Şapkalı Hacker CEH Eğitimi - Zafiyet Keşfi
Beyaz Şapkalı Hacker CEH Eğitimi - Zafiyet KeşfiPRISMA CSI
 

Similar to Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yöntemleri) (20)

Ransomware Nedir, Nasıl Korunulur?
Ransomware Nedir, Nasıl Korunulur?Ransomware Nedir, Nasıl Korunulur?
Ransomware Nedir, Nasıl Korunulur?
 
Jetico personal firewall 2
Jetico personal firewall 2Jetico personal firewall 2
Jetico personal firewall 2
 
WannaCry - NotPetya Olayları
WannaCry - NotPetya OlaylarıWannaCry - NotPetya Olayları
WannaCry - NotPetya Olayları
 
Davetsiz misafirleri nasil tesbit eder ve onlardan nasil kurtulabiliriz
Davetsiz misafirleri nasil tesbit eder ve onlardan nasil kurtulabilirizDavetsiz misafirleri nasil tesbit eder ve onlardan nasil kurtulabiliriz
Davetsiz misafirleri nasil tesbit eder ve onlardan nasil kurtulabiliriz
 
SİBER GÜVENLİK
SİBER GÜVENLİKSİBER GÜVENLİK
SİBER GÜVENLİK
 
Odinaff Zararlısı Analizi
Odinaff Zararlısı AnaliziOdinaff Zararlısı Analizi
Odinaff Zararlısı Analizi
 
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliğiBilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
 
Zafiyet tespiti ve sizma yöntemleri
Zafiyet tespiti ve sizma yöntemleriZafiyet tespiti ve sizma yöntemleri
Zafiyet tespiti ve sizma yöntemleri
 
Güvenlikyazılımları
GüvenlikyazılımlarıGüvenlikyazılımları
Güvenlikyazılımları
 
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux 2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
 
Hacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıHacking Uygulamaları ve Araçları
Hacking Uygulamaları ve Araçları
 
Hafta2_CasusYazılımlar
Hafta2_CasusYazılımlarHafta2_CasusYazılımlar
Hafta2_CasusYazılımlar
 
Ozgur Yazilimlar ile Saldiri Yontemleri
Ozgur Yazilimlar ile Saldiri YontemleriOzgur Yazilimlar ile Saldiri Yontemleri
Ozgur Yazilimlar ile Saldiri Yontemleri
 
Beyaz Şapkalı Hacker CEH Eğitimi - Post Exploit Aşaması
Beyaz Şapkalı Hacker CEH Eğitimi - Post Exploit AşamasıBeyaz Şapkalı Hacker CEH Eğitimi - Post Exploit Aşaması
Beyaz Şapkalı Hacker CEH Eğitimi - Post Exploit Aşaması
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
 
Beyaz Şapkalı Hacker CEH Eğitimi - Zafiyet Keşfi
Beyaz Şapkalı Hacker CEH Eğitimi - Zafiyet KeşfiBeyaz Şapkalı Hacker CEH Eğitimi - Zafiyet Keşfi
Beyaz Şapkalı Hacker CEH Eğitimi - Zafiyet Keşfi
 
Bitdefender Cloud Security
Bitdefender Cloud SecurityBitdefender Cloud Security
Bitdefender Cloud Security
 
Internet.ppt_4
Internet.ppt_4Internet.ppt_4
Internet.ppt_4
 
Bilgi sis..
Bilgi sis..Bilgi sis..
Bilgi sis..
 
Man In The Middle
Man In The MiddleMan In The Middle
Man In The Middle
 

More from CypSec - Siber Güvenlik Konferansı

Minhaç Çelik - Ülkelerin Siber Güvenlik Stratejileri ve Siber Güvenlik Strate...
Minhaç Çelik - Ülkelerin Siber Güvenlik Stratejileri ve Siber Güvenlik Strate...Minhaç Çelik - Ülkelerin Siber Güvenlik Stratejileri ve Siber Güvenlik Strate...
Minhaç Çelik - Ülkelerin Siber Güvenlik Stratejileri ve Siber Güvenlik Strate...CypSec - Siber Güvenlik Konferansı
 
Adil Burak Sadıç - Siber Güvenlik mi, Bilgi Güvenliği mi, BT Güvenliği mi?
Adil Burak Sadıç - Siber Güvenlik mi, Bilgi Güvenliği mi, BT Güvenliği mi? Adil Burak Sadıç - Siber Güvenlik mi, Bilgi Güvenliği mi, BT Güvenliği mi?
Adil Burak Sadıç - Siber Güvenlik mi, Bilgi Güvenliği mi, BT Güvenliği mi? CypSec - Siber Güvenlik Konferansı
 
İsmail Burak Tuğrul - Online Bankacılık Uygulamalarında Karlılaşılan Güvenlik...
İsmail Burak Tuğrul - Online Bankacılık Uygulamalarında Karlılaşılan Güvenlik...İsmail Burak Tuğrul - Online Bankacılık Uygulamalarında Karlılaşılan Güvenlik...
İsmail Burak Tuğrul - Online Bankacılık Uygulamalarında Karlılaşılan Güvenlik...CypSec - Siber Güvenlik Konferansı
 
Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı...
Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı...Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı...
Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı...CypSec - Siber Güvenlik Konferansı
 

More from CypSec - Siber Güvenlik Konferansı (10)

Minhaç Çelik - Ülkelerin Siber Güvenlik Stratejileri ve Siber Güvenlik Strate...
Minhaç Çelik - Ülkelerin Siber Güvenlik Stratejileri ve Siber Güvenlik Strate...Minhaç Çelik - Ülkelerin Siber Güvenlik Stratejileri ve Siber Güvenlik Strate...
Minhaç Çelik - Ülkelerin Siber Güvenlik Stratejileri ve Siber Güvenlik Strate...
 
Adil Burak Sadıç - Siber Güvenlik mi, Bilgi Güvenliği mi, BT Güvenliği mi?
Adil Burak Sadıç - Siber Güvenlik mi, Bilgi Güvenliği mi, BT Güvenliği mi? Adil Burak Sadıç - Siber Güvenlik mi, Bilgi Güvenliği mi, BT Güvenliği mi?
Adil Burak Sadıç - Siber Güvenlik mi, Bilgi Güvenliği mi, BT Güvenliği mi?
 
İsmail Burak Tuğrul - Online Bankacılık Uygulamalarında Karlılaşılan Güvenlik...
İsmail Burak Tuğrul - Online Bankacılık Uygulamalarında Karlılaşılan Güvenlik...İsmail Burak Tuğrul - Online Bankacılık Uygulamalarında Karlılaşılan Güvenlik...
İsmail Burak Tuğrul - Online Bankacılık Uygulamalarında Karlılaşılan Güvenlik...
 
Yrd. Doç. Dr. Yavuz Erdoğan
Yrd. Doç. Dr. Yavuz ErdoğanYrd. Doç. Dr. Yavuz Erdoğan
Yrd. Doç. Dr. Yavuz Erdoğan
 
Canberk Bolat & Barış Vidin - İzleniyorsunuz
Canberk Bolat & Barış Vidin - İzleniyorsunuzCanberk Bolat & Barış Vidin - İzleniyorsunuz
Canberk Bolat & Barış Vidin - İzleniyorsunuz
 
Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı...
Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı...Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı...
Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı...
 
Can Deger - Ben Heykır Olcam
Can Deger - Ben Heykır OlcamCan Deger - Ben Heykır Olcam
Can Deger - Ben Heykır Olcam
 
Canberk Bolat - Alice Android Diyarında
Canberk Bolat - Alice Android DiyarındaCanberk Bolat - Alice Android Diyarında
Canberk Bolat - Alice Android Diyarında
 
Can Yıldızlı - Koryak Uzan - Fiziksel Sızma Testi (İntelRad)
Can Yıldızlı - Koryak Uzan - Fiziksel Sızma Testi (İntelRad)Can Yıldızlı - Koryak Uzan - Fiziksel Sızma Testi (İntelRad)
Can Yıldızlı - Koryak Uzan - Fiziksel Sızma Testi (İntelRad)
 
Bünyamin Demir - Secure YourApp
Bünyamin Demir - Secure YourAppBünyamin Demir - Secure YourApp
Bünyamin Demir - Secure YourApp
 

Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yöntemleri)

  • 1. www.zemana.com 1 / 31 Emre TINAZTEPE Lead Software Architect Ransomcrypt Zararlıları Çalışma Mantıkları ve Analiz Yöntemleri
  • 2. www.zemana.com 2 / 31 Zemana Hakkında • 2007 yılında kurulan global bir internet güvenliği şirketi, • Proaktif güvenlik çözümleri sağlayıcısı, • Finansal hedefli saldırılar konusunda uzmanlaşmış kadro, • Dünya çapında korunan 10 milyon son kullanıcı, • Bağımsız test kuruluşları tarafından onaylanmış ürünler.
  • 3. www.zemana.com 3 / 31 Hakkımda • Maltepe Askeri Lisesi ve Kara Harp Okulu Mezunu, • 15 yıla yakın bir süredir programlama ile ilgileniyor, • 7 yıldır zararlı yazılımlar alanında çalışıyor, • Sistem programcısı, meraklı ve iyi bir okuyucu.
  • 4. www.zemana.com 4 / 31 Kızın Elimizde
  • 5. www.zemana.com 5 / 31 RDP Sapığı Mağdur Profilleri • Sunucu sistemlerine izinsiz erişilen şirketlerin mağdur profiline bakıldığında: – Sunucuların internete bağlı olduğu ve uzak masaüstü bağlantısının açık olduğu, – Kullanıcı adlarının genellikle “Admin, Administrator, Şirket Adı” olduğu, – Sunucu şifrelerinin ise genellikle “123456, Server, Password veya Şirket Adı” olduğu, – Sunucu erişim yetkisine sahip farklı kişilerde düşük güvenlikli çeşitli kullanıcı adı ve şifrelerinin bulunduğu, – Herhangi bir güvenlik önlemi veya yetkilendirme olmadan şifreye sahip herkesin sunucuya erişebildiği, – Sunucuda bulunan verilerin yedeğinin bulunmadığı anlaşılmıştır.
  • 6. www.zemana.com 6 / 31 Mağdur Şirket
  • 7. www.zemana.com 7 / 31 Helal-i hoş olsun? • Büyük çaplı bir dizayn firması, satışlarının büyük bir kısmını internetten yapıyor, • Logo muhasebe yazılımını tek bir bilgisayarda kullanıyor ve yedek almıyor, • Bu ay tahsil etmesi gereken 170.000 TL bu programda kayıtlı  • 10 bilgisayarcı çağırmış (4 kutu AV ile gelen var), • 16 Nisan 2014’de mail yoluyla gelen bir faturaya tıklıyor ama bir türlü açamıyor  • Bir kaç gün sonra hiç bir program açılmıyor, • Günün sonunda bizzat şirket sahibinden duyduğum cümle: “Emre Bey, benim dosyalarım açılsın da, virüsü yazan adama verdiğimiz para helal-i hoş olsun”
  • 8. www.zemana.com 8 / 31 Saldırı Çeşitleri • Dosyaları kısmi şifreleme, • Tamamen şifreleme, • Login ekranını şifreleme, • İşletim sistemini tamamen şifreleme (BIOS Boot Locker).
  • 9. www.zemana.com 9 / 31 İş Modeli Spam Mail Dosyaları Şifrele Not Bırak Para para para
  • 10. www.zemana.com 10 / 31 İş Modeli
  • 11. www.zemana.com 11 / 31 Koskoca AntiVirüs • Malware analiz laboratuarı nedir? • Packer nedir? Ne işe yarar? • AV Bypass nedir? Nasıl yapılır? • Katmanlı güvenlik ve önemi. • Basit önlemler: – Dosya uzantılarını göster, – Dosya türünü göster, – Zoom trick, – Virus Total Uploader.
  • 12. www.zemana.com 12 / 31 Semptomlar • Açılmayan faturalar, • Yüksek bilet tutarları, • Yazım hataları olan mailler, • Papua Yeni Gine Prensi’nden gelen mektuplar, • Klasör görünümlü dosyalar (eski XP klasörlerine benzer), • Çirkin PDF ikonları, • Onay ya da giriş isteyen sayfalar (captcha gibi güven verici).
  • 13. www.zemana.com 13 / 31 5 Dosya Gönderdim Geldi Mi? • Yaşanmış bir olay : - 5 malware örneği gönderdim, geldi mi? - Hmmmm, az önce geldi, 4 dosya 1 dizin. - Ne dizini? - Valla dizine tıkladım açılmadı. - Aferin 
  • 14. www.zemana.com 14 / 31 Dosya Yapısı • Her dosya !crypted! kelimesi ile başlıyor, • Hemen arkasından bilgisayara ait unique id geliyor, • Dosyanın kalanında ise veri şifrelenmiş bir şekilde tutuluyor, • RSA 2048 ile şifrelendiği için brute force saldırıları ile sonuç almak mümkün değil.
  • 15. www.zemana.com 15 / 31 Çözüm Sürecinde Yapılan Hatalar • Anti virüs ile tarama yapmak ve zararlıyı silmek, • Bilgisayarcı çağırmak  • Dosyaları bir bilgisayardan alarak başka bir bilgisayara kopyalamak (bedava decryption denemeleri )
  • 16. www.zemana.com 16 / 31 Çözüm • Harici bir boot disk ile sistemi başlatmak, • Hardcoded şifre kullanan zararlıları reverse ederek şifreyi elde etmek, • Brute force saldırısına açık dosyaları brute force ile kurtarmak, • Known Plain Text Attack ile şifreyi elde etmek, • Saldırgana fidye ödemek.
  • 17. www.zemana.com 17 / 31 Amatör Saldırganlar • Şifreleme algoritmasını yanlış kullanmak, • Üretilen rasgele sayıları sadece «Rakam» ile sınırlamak ve brute force saldırısını mümkün kılmak.
  • 18. www.zemana.com 18 / 31 Fatmal • Fatura Zararlısı, • 3-4 aylık periyotlarla saldırılar düzenleyen bir çete, • Genellikle aynı packerı kullanarak AV Bypass yapılıyor (Run PE), • Genel olarak hedef kredi kartı ve kişisel veri hırsızlığı, • Daha önce RDP açığı bulunan sistemlere yaptıkları saldırılarda çok sayıda şirketi zarara uğrattılar.
  • 19. www.zemana.com 19 / 31 Run PE • AV Bypass için gayet etkili bir yöntem, • Hala bir çok antivirüs rahatlıkla bypass edilebiliyor, • Manuel unpacking zaman alıcı. Orijinal Dosya Kendini Tekrar Çalıştır Unpack İşlemini Gerçekleştir Enfeksiyona Başla
  • 20. www.zemana.com 20 / 31 Run PE Zararlı Dosya (Packed) Zararlı Dosya (Unpacked) Şifreli Kısım Çalışabilir Kısım
  • 21. www.zemana.com 21 / 31 XOR Nedir? • Artı, eksi gibi bir operatör, • Oyun programlama gibi alanlarda imleç görünürlüğü için kullanılır, • Neredeyse bütün şifreleme algoritmalarının temelini oluşturur, • Kullanımı çok basittir ve encrypted zararlıların neredeyse tamamında kullanılır. A xor B = C B xor C = A A xor C = B ise
  • 22. www.zemana.com 22 / 31 Initialization Vector ve AES • Her blok (CBC) bir önceki blok ile XOR’lanır. Zincirleme kelimesinin buradan gelmektedir., • İlk blok için IV kullanılarak sanki bir önceki blokmuş gibi işleme sokulur, • Normal XOR’un aksine, şifrelenen dosyada aynı olan blokların farklı şifrelenmesine olanak sağlar, • Genellikle kullanılan şifrenin uzunluğunda olur, • Kullanılmaz ise şifreyi known plain text attack ile elde şansınız yüksektir.
  • 23. www.zemana.com 23 / 31 CBC ve IV
  • 24. www.zemana.com 24 / 31 2 MB limiti • Hız kazanmak için her dosyanın ilk 2 MB’lık kısmı şifrelenir, • Dosyanın başlık kısmı dahil ilk 2 MB’ı bozulduğu için dosya açılamaz, • Şifreleme algoritması düzgün kullanıldığında gayet efektiftir.
  • 25. www.zemana.com 25 / 31 Dosyayı Çalıştıralım
  • 26. www.zemana.com 26 / 31 Şifreleme Algoritması • Dosyalar AES ile şifrelenmiş ve anahtar rasgele üretiliyor, • Rasgele üretilen anahtar ise RSA 2048 ile şifrelenerek kullanıcıya gösteriliyor, • AES’de kullanılan mode’un CTR modu olduğunu kodu reverse ederek anlıyoruz, • Tüm dosyalarda kullanılan IV sabit ise tüm dosyalar çözülebilir.
  • 27. www.zemana.com 27 / 31 CTR Mode
  • 28. www.zemana.com 28 / 31 Zemana Fatmal Decryptor
  • 29. www.zemana.com 29 / 31 Zemana Fatmal Decryptor • Şifre : Vahşi Yaşam
  • 30. www.zemana.com 30 / 31 Zemana Fatmal Decryptor XOR = XOR Cipher (2MB Boyutunda)
  • 31. www.zemana.com 31 / 31 Teşekkürler