Haber Detayı

CrossRAT zararlı yazılımı, windows & Linux & Mac İşletim Sistemlerini Hedef Alıyor!
Okunma : 1231 05.02.2018 17:18:02
 Süresiz Yayın 20.05.2018 21:05:29
CrossRAT zararlı yazılımı ile, siber suçlular artık Windows, Mac OS, Solaris ve Gnu/Linux sistemlerini hedef alıyorlar.

CrossRAT HAKKINDA

 

CrossRAT  zararlı yazılımı ile, siber suçlular artık Windows, Mac OS, Solaris ve Gnu/Linux sistemlerini hedef alıyorlar.EFF/Lookout ‘in yayınladığı makalede, gelişmiş bir APT grubunun küresel çapta mobil casusluk faaliyeti yaptığı belirtildi.

 

Rapor, Dark Caracal adlı grubun bilgisayarların yerine cep telefonlarına karşı gerçekleştirdiği büyük çaplı siber suç faaliyetlerini göstermesine rağmen, CrossRAT(sürüm 0.1) adlı yeni bir çapraz platformlarda çalışan zararlı yazılımı tespit edildi.

 

CrossRAT, çapraz platformda çalışabilen, uzaktan erişim Truva atı, 4 popüler işletim sistemini hedef alıyor. (Windows, Mac OS, Solaris ve Gnu/Linux işletim sistemleri) CrossRAT, işletim sistemlerine uzaktan bağlantı sağlayarak, dosya sisteminin manipüle edilmesini, ekran görüntüsünün alınmasını, zararlı kod parçacıklarının çalıştırılmasını ve bu bağlantının kalıcı hale getirilmesi gibi bir çok zararlı işlem yapmaktadır.

 

Siber Güvenik Araştırmacı'larının raporlarına göre; Dark Caracal adlı korsan grubun zararlı yazılımı dağıtmak için herhangi bir “0.gün” zafiyeti kullanmadıkları, sadece basit bir sosyal mühendislik saldırısı, Facebook ve WhatsApp grupları üzerinden ya da sahte internet sitelerinden kullanıcıların bilgisayarına bulaştığı tespit edildi.

 

VirusTotal sitesinden yapılan taramaya göre, 58 popüler anti-virüs firmasından sadece 2 tanesi CrossRAT zararlı yazılımını tespit edebildi. Eski NSA Hacker’ı Patrick Wardle bu zararlı yazılımı inceleyerek, çalışma mekanizması, yetenekleri ve komuta kontrol bağlantılarını araştırıyor. Yazının detaylı adresi, kaynaklar kısmından erişilebilir.

 

 

CrossRAT ÇALIŞMA MANTIĞI

 

Siber Güvenlik Araştırmacıları, bu zararlı yazılımı incelerken, java dilinde yazıldığı için, tersine mühendislik çalışamalarıyla kaynak kodlara ulaşıldığı belirtildi. Hedeflenen sisteme yerleştikten sonra,(hmar6.jar) önce işletim sistemini denetler ve kendisini sisteme kurar. Bunun yanında, bulaştığı sistem hakkında bilgi toplamaya başlar. Bunlardan bazıları, işletim sistemi sürümü, kernel numarası ve mimarisidir.

 

.

 

Ayrıca GNU/Linux sistemler için, systemd komutu kullanarak hangi distro paketi olduğunu tespit etmeye çalışır.(fedora,centos,debian,kali v.s.)CrossRAT, daha sonra virüslü sistem her yeniden başlatıldığında kendisini komuta & kontrol sunucusuna kaydederek, uzaktan yollanan komutların çalıştırılması ve verilerin sızdırılmasına olanak sağlar.

 

Zararlı yazılım öntanımlı olarak sahip olduğu bazı tetikleme komutlarını komuta & Kontrol sunucusundan alarak bazı temel gözetim teknikleri ile işlem yapabilmektedir.

 

Yapılan araştırmada, CrossRAT ‘ın içinde pasif durumda bir Keylogger modülü olduğu belirtiliyor.!

 

 

İlginçtir ki, zararlı yazılım açık kaynaklı bir java kütüphanesi olan jnativehook kullanarak çalışıyor, (bu kütüphane, klavyeyı ve fare hareketlerini izlemek için yapılmış) ancak bu keylogger ı etkinleştirmek için önceden tanımlanmış herhangi bir komuta sahip olmadığı görülüyor. Güvenlik araştırmacılarına göre, bu durum tamamen versiyon 0.1 sürümüne sahip olduğu için, zararlı yazılımın sonraki versiyonlarında bu modülünde aktif olacağından endişe ediliyor.

 

SİSTEMİMİZE CrossRAT BULAŞTIĞINI NASIL ANLARIZ?

 

Öncelikle, CrossRAT ‘ın çalışma mantığı işletim sistemine özgü olduğu için, zararlı yazılımın tespiti hangi işletim sistemine sahip olduğunuza bağlı olarak değişecektir.

Windows İçin;

  • Bilgi Güvenliği Yönetim Sistemleri Birimi tarafından geliştirilen , CrossRAT Temizleme Aracı ile, sisteminize bulaşma var ise, sorunsuz bir şekilde kaldırabilirsiniz.

 

CrossRAT’dan NASIL KORUNURUZ?

 

  • CrossRAT zararlı yazılımın çalışabilmesi için Java JRE/ Java SDK  yüklü olması gereklidir, eğer bilgisayarınızda java yazılımı yüklü değilse, CrossRAT bilgisayarınızda çalışmayacaktır.
  • Yapılması gereken şeylerin başında, kurumsal bilgisayarlar ile kesinlikle WhatsApp , Facebook gibi platformları kullanmamak, ve şüpheli/güvenliği olmayan sitelere girmemek en başta geliyor.
  • Ayrıca kurumsal anti-virüs mutlaka yüklenmeli, eğer domain’de olmayan bir makinaniz var ise, mutlaka davranış temelli anti-virüs yazılımı kullanılması gerekiyor.
  • Mac Os kullanıcı ise ayrıca, Eski NSA hacker’ı olan Patrick in geliştirdiği BlockBlock’u da kullanabilirler.

Blockblock;

https://objective-see.com/products/blockblock.html

 

Çeviri: BGYS Birimi

Kaynaklar:

https://www.eff.org/press/releases/eff-and-lookout-uncover-new-malware-espionage-campaign-infecting-thousands-around

https://objective-see.com/blog/blog_0x28.html

https://objective-see.com/products/blockblock.html

https://thehackernews.com/2018/01/crossrat-malware.html

https://postimg.org/image/41h85p9rf/

http://securityaffairs.co/wordpress/68235/malware/crossrat-dark-caracal.html

https://gbhackers.com/apt-crossrat-malware/