Haber Detayı

Adylkuzz Zararlı Yazılımına Dikkat! 7/19/2017 10:44:27 AM
 Süresiz Yayın
Adylkuzz Zararlı yazılımı tıpkı WannaCry gibi aynı zafiyetten faydalanarak sistemlere bulaşmakta.

Adylkuzz Zararlı yazılımı tıpkı WannaCry gibi aynı zafiyetten faydalanarak sistemlere bulaşmakta. Bu zararlı yazılımı WannaCry gibi fidye yazılımından ayıran en büyük farklar ise, bilgisayarınızdaki dosyaları şifrelemek yerine bilgisayarınızı kripto para(sanal para birimi) üretmek için kullanması!

Aslında kripto para zararlı yazılımları ilk değil fakat büyük ölçüde yayılan bir zararlı yazılım Adylkuzz. Avast Firması tarafından ilk olarak Ukrayna’da 23 Nisan gece yarısı tespit edilip engellenmeye başlandı. Durdurulan atak sayısı 92.000 olarak açıklandı, WannaCry kadar büyük olmasa da hala yayılmaya devam etmekte.

*WannaCry şu ana kadar Avast tarafından 250.000 kez engellendi.

 

 

Adylkuzz Bilgisayar sistemlerine tıpkı WannaCry gibi, Microsoft Windows MS17-010 SMBv1 protokolü zafiyetinden yararlanarak bulaşmaktadır. Fakat Adylkuzz WannaCry’dan bir tık daha gelişerek, oltalama e-posta’larıyla da bulaşabiliyor çünkü sisteme bulaşmak için kullanıcı etkileşimine ihtiyaç duymuyor.

Bugüne kadar görülmedik kısmı ise, WannaCry ya da türevlerinin aksine, bulaştığı sistemdeki MS17-010 açığını kapatarak, başka bir fidye yazılımın bulaşmasını engelliyor, ilginç değil mi?

 

 

Adylkuzz yayılma haritasına baktığımız da, WannaCry ‘da olduğu gibi en çok Rusya, Ukrayna, Tayvan ve Brezilya olduğunu görüyoruz.

 

 

Adylkuzz Sessizce Bilgisayarın Gücünü kullanıyor!

Adylkuzz bilgisayar sistemlerinde, WannaCry ya da türevleri olan yazılımlarda olduğu gibi dosya tutmuyor bu yüzden tespit edilmesi daha zorlaşıyor, bilgisayarınızı tek amaç için, sadece *Monero Kripto Para üretmek için Merkezi İşlemci ve Grafik İşlemci gücünü kullanıyor.

Üretilen bu para için yapılan bu kripto para Kazma/üretme (mining) ‘de karın en üst düzeye çıkarılması için ölçeklenebilir bilgi işlem gücüne ihtiyaç gerektirir. Bu sebepten ötürü, bazı kazıcılar/üreticiler(miners) büyük veri merkezi kurarak Bitcoin ya da benzeri (Litecoin/ Ethereum/ Moner v.s.) gibi üretirler. Bu tür devasa yapılar, çok büyük finansal desteğe ihtiyaç duyarlar.

Adylkuzz yazarları ise, bu maliyetten kaçınmak için, kurban bilgisayarını bu işte bedava kullanarak kazanç elde etmeye çalışmaktadırlar. Adylkuzz bulaştığı her bilgisayar sistem kaynaklarını tükettiği gibi, aslında siberkriminal işler için çalışmış oluyor. Adylkuzz ‘un kodlayanlar, olabildiğince kullanıcılara hissettirmeden ya da sistemlerde aşırı yavaşlama olmadan, arkaplanda kripto para üretmeye çalışmaktadırlar. Bu yüzden bulaşan sistemlerde farkedilmesi oldukça güç bir duruma gelir.

 

KOMUTA KONTROL MERKEZİ

Adylkuzz’un bulaştığı sistem, geniş bir kazım/üretim(mining) botnet ağının parçası hale geliyor, Komuta Kontrol Merkezi (C&C) bu sistem ağını uzaktan kontrol ederek yönetiyor. Bu kazılan/üretilen *Monero adli kripto paraları belli adreslere aktarılıyor.

 

 

Dahası, Komuta Kontrol Merkezi (C&C) bu ağa dahil olmuş olan bot(zombi) sistemlere, belirlenmiş uygulamaları indirme ve kurma talimatı veriyor. Böylece botnet operatörleri, bu sistemlerde tam yetki almış olarak, dilediği zararlı kodları yükleyebiliyor. Daha ilginç olan kısmı ise, bilinen programlama dillerin aksine, bu kod dizilimi(script) *LUA programlama dili ile yazılmış durumda, bu da çok nadir görülen bir örnek olarak karşımıza çıkıyor.

 

 

NELER YAPILMALI?

Bilgisayarınızda mutlaka güncel bir anti-virus yazılımı kullanılmalı, bilgisayarınızı kaynağını bilmediğiniz e-posta eklerini kesinlikle indirmemeli ve/veya çalıştırılmamalıdır. Eğer bilgisayarınızın gereğinden çok daha yavaş olduğunu düşünüyorsanız mutlaka, Windows işletim sisteminizin güncelleştirmelerini kontrol etmeli, eğer MS17-010 yaması yüklü değilse, zararlı yazılımın bulaşma riskine karşın, bağlı olduğunuz Teknik Destek ve/veya SOME ve/veya BGYS birimlerine haber veriniz. Anti-virüs firmaları, güncel yazılım güncelleştirmelerinde, bu zararlı yazılımın imzasını artık tanıdığı için, muhtemelen eğer sisteminize bulaştıysa tespit edip silecektir. Bu yüzden lisanslı bir anti-virüs yazılımı mutlaka kullanılmalıdır.

 

YAZIDA GEÇEN İFADELER

*Monero: Nisan 2014 yılında açık kaynak kodlu (Open-Source) Merkezsiz, Güvenli ve Dijital olarak tasarlanmış bir kripto para birimidir. Ücretsiz olarak herkes tarafından kullanılabilen, dünyanın en büyük 6. İşlem hacmine sahip (600 Milyon $) bir kripto para birimidir.

*LUA Programlama Dili: 1993 yılında ortaya çıkan, ağırlıklı olarak gömülü sistemler ve istemciler için tasarlanmış hafif paralel bir programlama dilidir. LUA, ANSI C'de yazılmış olduğu için çapraz platform destekli bir dildir.

 

 

Çeviri: Gökhan Sakar – BGYS Ekibi

 

KAYNAKLAR

http://www.neovasolutions.com/index.php/2017/05/19/adylkuzz-malware/

https://blog.avast.com/meet-adylkuzz-cryptocurrency-mining-malware-spreading-using-the-same-exploit-as-wannacry

http://www.pandasecurity.com/mediacenter/malware/adylkuzz-new-virus-wannacry/

https://www.proofpoint.com/us/threat-insight/post/adylkuzz-cryptocurrency-mining-malware-spreading-for-weeks-via-eternalblue-doublepulsar

https://www.symantec.com/connect/blogs/adylkuzz-crytocurrency-miner-not-next-wannacry

https://en.0wikipedia.org/index.php?q=aHR0cHM6Ly9lbi53aWtpcGVkaWEub3JnL3dpa2kvTW9uZXJvXyhjcnlwdG9jdXJyZW5jeSk

https://tr.0wikipedia.org/index.php?q=aHR0cHM6Ly90ci53aWtpcGVkaWEub3JnL3dpa2kvTHVhXyhwcm9ncmFtbGFtYV9kaWxpKQ