Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
Küresel Siber Suçla Mücadele ve
Trend Saptırma Teorisi
Utku Sen
Hakkında
• Security Engineer @Sony
• Twitter:@utku1337
• Detaylar: utkusen.com
Ajanda
• Suç grupları ve Ransomware Tehditleri
• Bu işle neden mücadele edemiyoruz?
• Mücadele için nasıl bir öneride bulu...
Ransomware
Güncel Mücadele Yöntemleri
• Antivirus firmalarının imza tabanlı tespitleri (!)
• Deneysel heuristic tespit metotları
• Ran...
Baş Etmek Neden Zor?
• Güçlü encryption algoritmalarının yan etkileri.
• Tersine mühendislik zaman almakta
• Suçluların bu...
Ransomware Kaynakları
• Devlet destekli suç grupları (Rusya, Çin)
• Bireysel suçlular
• Ransomware servisleri
Ransomware Servisleri
Kod Satışları
Ne Yapılmalı?
Trend Saptırma Teorisi
• Eğer bir tehditle mücadele edemiyorsan onu
mücadele edilebilir bir hale dönüştür
Neler Yapılmalı?
• Dil trendini high level dillere kaydır.
• Kodların içine backdoor yerleştir
• Kodları yayınla, piyasaya...
Neler Elde Edebiliriz?
• Ransomware’lar daha kolay analiz edilebilir
• Backdoor’lar ile zarar geri döndürülebilir
• İnsanl...
İki Deney
Hidden Tear - EDA2
Hidden Tear
• Ağustos 2015’te yayınlandı
• C# ile yazıldı.
• Kısa sürede tüm güvenlik dünyasında
konuşulmaya başlandı.
• E...
Hidden Tear
Temel İşleyiş
• İlk çalıştığında 15 karakterlik random bir string
üretir
• Bu string ile bütün dosyaları AES-2...
Hidden Tear
Güvenlik Açıkları
• Random string üretmek için .Net’in “Random
Class”ı kullanıldı
• “Random Class” seed olarak...
Hidden Tear
Güvenlik Açıkları
• Encrypt edilen bir dosyanın son değiştirilme tarihini
milisaniye cinsinden al, bu değeri s...
Linux.Encoder.1
• Hidden Tear’ın Linux sistemlerde çalışan kopyası
• Bu açık kullanılarak BitDefender tarafından decrypt
e...
Cryptear.B
• Trendmicro decrypt edilemeyeceğini iddia
etmesine rağmen bu yöntemle decrypt edildi
EDA2
• Ekim 2015’te yayınlandı
• Ana kod C#’da Web Panel’i Php’de yazıldı.
• Hidden Tear’ın güvenlik açıklarının çözülmüş ...
No Name Ransomware Olayı
• Polonyalı bir hacker EDA2 kodunu kullanarak 700’ün
üstünde bilgisayarı encrypt etti.
• Ransom n...
No Name Ransomware Olayı
• Backdoor kullanılarak decryption key’leri ele
geçirildi, dosyalar kurtarıldı.
No Name Ransomware Olayı
• Pwnie Awards 2016, Best Backdoor
kategorisinde adaylık
• Aday gösterilen ilk Türk.
Magic Ransomware Olayı
• Rus bir grup EDA2 kodlarını kullanarak Magic
Ransomware’ı oluşturdu
• Dosyaların kurtarılması içi...
Magic Ransomware Olayı
• Grup bunu kullanarak şantaj yapmaya başladı
• Hidden Tear ve EDA2 projelerinin silinmesini
talep ...
Sonuçlar
Olumlu Sonuçlar
• Ransomware code satış piyasası bitme
noktasına geldi.
• Ransomware servis piyasası bitme noktasına
geldi...
Olumlu Sonuçlar
• Decompile edilmesi kolay olan kodlar ağırlık
kazandı.
Olumlu Sonuçlar
• Security dünyası yeni bir teori kazandı.
Olumsuz Sonuçlar
• Backdoor'lar zaman içinde fixlendi, çözüm
bulunamayan türevler arttı.
• Ransomware oluşturma bariyeri dü...
Yapılan Yanlışlar
• Antivirüs firmalarına fazla güvenmek
• Çok kompleks olmayan backdoor’lar
• Kurbanlara ulaşmada yaşanan ...
?
Nächste SlideShare
Wird geladen in …5
×

#İstSec'17 Küresel Siber Suçla Mücadele ve Trend Saptırma Teorisi

3.630 Aufrufe

Veröffentlicht am

Küresel Siber Suçla Mücadele ve Trend Saptırma Teorisi - Utku Şen

Veröffentlicht in: Technologie
  • Als Erste(r) kommentieren

#İstSec'17 Küresel Siber Suçla Mücadele ve Trend Saptırma Teorisi

  1. 1. Küresel Siber Suçla Mücadele ve Trend Saptırma Teorisi Utku Sen
  2. 2. Hakkında • Security Engineer @Sony • Twitter:@utku1337 • Detaylar: utkusen.com
  3. 3. Ajanda • Suç grupları ve Ransomware Tehditleri • Bu işle neden mücadele edemiyoruz? • Mücadele için nasıl bir öneride bulundum? • Hidden Tear ve EDA2 deneyleri • Deneyin sonuçları
  4. 4. Ransomware
  5. 5. Güncel Mücadele Yöntemleri • Antivirus firmalarının imza tabanlı tespitleri (!) • Deneysel heuristic tespit metotları • Ransomware örneklerine tersine mühendislik yapıp güvenlik açığı bulmak
  6. 6. Baş Etmek Neden Zor? • Güçlü encryption algoritmalarının yan etkileri. • Tersine mühendislik zaman almakta • Suçluların bulunamaması • İnsanların fidye ödemesinden kaynaklı ekonominin hep ayakta kalması
  7. 7. Ransomware Kaynakları • Devlet destekli suç grupları (Rusya, Çin) • Bireysel suçlular • Ransomware servisleri
  8. 8. Ransomware Servisleri
  9. 9. Kod Satışları
  10. 10. Ne Yapılmalı?
  11. 11. Trend Saptırma Teorisi • Eğer bir tehditle mücadele edemiyorsan onu mücadele edilebilir bir hale dönüştür
  12. 12. Neler Yapılmalı? • Dil trendini high level dillere kaydır. • Kodların içine backdoor yerleştir • Kodları yayınla, piyasaya kendi kodunu kullandır
  13. 13. Neler Elde Edebiliriz? • Ransomware’lar daha kolay analiz edilebilir • Backdoor’lar ile zarar geri döndürülebilir • İnsanlar para ödeme alışkanlığını terk eder • Kod satış/servis satış piyasası zarar görür
  14. 14. İki Deney Hidden Tear - EDA2
  15. 15. Hidden Tear • Ağustos 2015’te yayınlandı • C# ile yazıldı. • Kısa sürede tüm güvenlik dünyasında konuşulmaya başlandı. • Encryption modülündeki güvenlik açıkları backdoor olarak kullanıldı.
  16. 16. Hidden Tear Temel İşleyiş • İlk çalıştığında 15 karakterlik random bir string üretir • Bu string ile bütün dosyaları AES-256 algoritmasını kullanarak encrypt eder. • Kullanılan stringi uzak bir sunucuya gönderir.
  17. 17. Hidden Tear Güvenlik Açıkları • Random string üretmek için .Net’in “Random Class”ı kullanıldı • “Random Class” seed olarak “Environment.TickCount” değişkenini kullanıyordu • “Environment.TickCount” = sistemin başlangıcından itibaren geçen milisaniye (32bit) • Seed’i tespit etmek = Oluşan stringi tespit etmek
  18. 18. Hidden Tear Güvenlik Açıkları • Encrypt edilen bir dosyanın son değiştirilme tarihini milisaniye cinsinden al, bu değeri seed olarak kullanıp stringi üret. 1 2 3 4 Random String Üretimi Dosyanın Açılması Dosyanın Değiştirilmesi Dosyanın Kapatılması
  19. 19. Linux.Encoder.1 • Hidden Tear’ın Linux sistemlerde çalışan kopyası • Bu açık kullanılarak BitDefender tarafından decrypt edildi
  20. 20. Cryptear.B • Trendmicro decrypt edilemeyeceğini iddia etmesine rağmen bu yöntemle decrypt edildi
  21. 21. EDA2 • Ekim 2015’te yayınlandı • Ana kod C#’da Web Panel’i Php’de yazıldı. • Hidden Tear’ın güvenlik açıklarının çözülmüş ve daha gelişmiş hali olarak lanse edildi • Ana koddaki problemler çözülse de Web Panel’ine backdoor yerleştirildi • Kısa sürede suçlular arasında yaygınlaştı
  22. 22. No Name Ransomware Olayı • Polonyalı bir hacker EDA2 kodunu kullanarak 700’ün üstünde bilgisayarı encrypt etti. • Ransom notunda “parayı ödemeden asla dosyalarınıza ulaşamazsınız, polis beni bulamaz” gibi ibareler yer alıyordu.
  23. 23. No Name Ransomware Olayı • Backdoor kullanılarak decryption key’leri ele geçirildi, dosyalar kurtarıldı.
  24. 24. No Name Ransomware Olayı • Pwnie Awards 2016, Best Backdoor kategorisinde adaylık • Aday gösterilen ilk Türk.
  25. 25. Magic Ransomware Olayı • Rus bir grup EDA2 kodlarını kullanarak Magic Ransomware’ı oluşturdu • Dosyaların kurtarılması için backdoor’u kullanmaya çalıştık • C&C Server’ı suspend edilmişti.
  26. 26. Magic Ransomware Olayı • Grup bunu kullanarak şantaj yapmaya başladı • Hidden Tear ve EDA2 projelerinin silinmesini talep ettiler. • Hidden Tear ve EDA2 Github’dan kaldırıldı, grup decryption keylerini yayınladı
  27. 27. Sonuçlar
  28. 28. Olumlu Sonuçlar • Ransomware code satış piyasası bitme noktasına geldi. • Ransomware servis piyasası bitme noktasına geldi. (2015-2016) • Akademi, üzerinde çalışmak için açık kaynak kodlara sahip oldu.
  29. 29. Olumlu Sonuçlar • Decompile edilmesi kolay olan kodlar ağırlık kazandı.
  30. 30. Olumlu Sonuçlar • Security dünyası yeni bir teori kazandı.
  31. 31. Olumsuz Sonuçlar • Backdoor'lar zaman içinde fixlendi, çözüm bulunamayan türevler arttı. • Ransomware oluşturma bariyeri düştü.
  32. 32. Yapılan Yanlışlar • Antivirüs firmalarına fazla güvenmek • Çok kompleks olmayan backdoor’lar • Kurbanlara ulaşmada yaşanan zorluklar
  33. 33. ?

×