Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden
Transkript
Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden
Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TrendLabsSM 1Ç 2015 Güvenlik Özeti İçindekiler TREND MICRO YASAL UYARI Burada yer alan bilgiler genel bilgilerdir ve sadece eğitim amaçlı olarak verilmektedir. Yasal öneri teşkil etmesi amaçlanmamış olup bu şekilde değerlendirilmemelidir. Burada yer alan bilgiler her durum için geçerli olmayabilir ve en güncel durumu yansıtmıyor olabilir. Burada yer alan hiçbir şeye, sunulan belirli gerçekler ve şartlar esasında yasal tavsiyelerden yararlanmadan güvenilmemeli veya bunlara dayanılarak harekete geçilmemeli ve burada yer alan hiçbir şey aksi yönde anlaşılmamalıdır. Trend Micro önceden haber vermeksizin, istediği zaman bu belgenin içeriğini değiştirme hakkını saklı tutar. Materyalin diğer dillere çevrilmesi sadece kolaylık sağlama amacı taşır. Çevirinin doğruluğu garanti edilmez ya da zımnen ifade edilmez. Çevirilerin doğruluğuyla ilgili sorularınız için lütfen belgenin orijinal dildeki resmi sürümüne bakın. Çevirideki tutarsızlıklar ya da farklar bağlayıcı olmayıp uyum ya da uygulama amaçları üzerinde herhangi bir yasal etkisi yoktur. Trend Micro bu belgeye doğru ve güncel bilgileri dahil etmek için elinden geleni yapsa da, Trend Micro belgenin doğruluğu, kesinliği ya da eksiksizliği konusunda herhangi bir garanti vermez ya da beyanatta bulunmaz. Bu belge ve içeriğinin erişim, kullanım ve güvenilirliğinin oluşturduğu risklerin size ait olduğunu kabul ediyorsunuz. Trend Micro açık ya da zımni, her türlü garantiyi reddeder. Trend Micro ya da bu belgenin hazırlanması, üretilmesi ya da sunulması süreçlerine dahil olan taraflar bu belgeye erişim, belgenin kullanılması ya da kullanılamaması ya da kullanılması ile bağlantılı olarak ya da içerikteki hata ya da ihmallerden doğan doğrudan, dolaylı, özel, risk sebebiyle oluşan, kar kaybı ya da özel hasarlar da dahil olmak üzere, herhangi bir sonuç, kayıp ya da zarardan sorumlu olmayacaktır. Bu bilgilerin kullanılması bilgilerin “olduğu gibi” kullanılmasının kabul edildiğini gösterir. 4 Web Reklamcılığı İş Modelindeki Hatalar, Kullanıcı Güvenliğini Risk Altında Bırakıyor 11 Şifreli Fidye Yazılımı Bulaşma Sayısında Patlama, Tehdit Altındaki Kurumlar 17 Kötü Amaçlı Makro Yazılımlar, Eski ama Hala Etkili 21 On Yıllık FREAK Güvenlik Hatası Yama Yönetiminde Sorunlara Neden Oldu 26 Sağlık Hizmetleri Endüstrisi Önemli İhlallerden Etkilendi, Diğer Endüstriler Kötü Amaçlı PoS Saldırılarıyla Sarsıldı 30 Eski Tehdit Aktörleri Yeni Saldırı Kampanyası Araçları, Taktikleri ve Prosedürleriyle Yeniden Ortaya Çıktı 32 Saldırı Kitleri Karmaşıklaşmaya Devam Etti 36 Tehdit Manzarasına Genel Bakış Söz konusu olan geçtiğimiz çeyrekte görülen tehditler olduğunda, ne kadar özen gösterilirse gösterilsin, kullanıcıları korumak pek mümkün değil gibi görünmektedir. Siber suçluların ve tehdit aktörlerinin kurbanlarına ve hedeflerine ulaşmak için yeni kanallar oluşturmalarına gerek yoktur. Gerekli temelin büyük bir bölümü zaten hazır olduğu için, yapmaları gereken tek şey, bu yolu takip etmektir. En büyük güvenlik açıkları, genellikle en çok gözden kaçırılan açıklardır. Örneğin kötü amaçlı reklamlar yeni değildir. Birçok kullanıcı bunlara alışmıştır. Kullanıcılar kendilerini en yeni güvenlik çözümleri ve teknik bilgilerle silahlandırsalar da, hiçbir şey onları sıfırıncı gün saldırılarıyla bütünleşmiş kötü amaçlı reklamlara karşı hazır hale getiremez. Bu Şubat ayında yaşanan Adobe® Flash® olayı, böyle bir saldırının ne kadar etkili olabileceğini göstermiştir. Mobil kullanıcılar da bundan etkilenmiştir. Aynı ay Google Play™'deki uygulama kaldırmalarından da anlaşılacağı gibi, kötü amaçlı reklam yazılımları tehdit olmaya devam etmektedir. Güvenli gibi görünen yüksek riskli uygulamaları yükleyen milyonlarca kullanıcının cihazları, uygulamalar kaldırılmadan önce bu uygulamalardan olumsuz etkilenmiştir. Reklam ağlarının kesinlikle kendi güvenliklerini güçlendirmeleri gerekmektedir. Birçok kullanıcı da, eski teknolojiyi ciddi bir sorun olarak görmemektedir. Bulaşan kötü amaçlı makro yazılımların (Microsoft™ Word® dosyalarında tümleşik) sayısındaki inanılmaz artış ve OpenSSL saldırılarının devam edişi, siber suçluların eski ve bilinen zayıflıklardan faydalanarak kendilerine nasıl sağlam bir yer edinebildiklerini göstermiştir. Ama belki de, geçtiğimiz aylarda bunlara hazırlıksız yakalanan en büyük sektör perakendecilik sektörüydü ve kötü amaçlı satış noktası (PoS) saldırılarının hala devam ettiği düşünüldüğünde, bu ilginç bir durum. Fidye yazılımlarında olduğu gibi, şirketlerin ve müşterilerinin verilerini risk altında bırakan kötü amaçlı PoS yazılımları da görünüşe göre dayanacak. Kendimizi güvenlik tehditlerinden korumak için gerçekten yeterince uğraşıyor muyuz? 2015 yılının ilk üç ayındaki en büyük olayların da gösterdiği gibi, güvenlik konusunda en deneyimli kullanıcılar ve organizasyonlar bile, bu tehlikelere karşı bağışık değildir. Tehdit aktörleri, sonuç olarak istedikleri şeyi elde etmek için, en küçük güvenlik boşluğundan faydalanmaktan çekinmeyecektir. Bugünün bilgi işlem eko sisteminde, hataya yer yoktur. NOT: Metin içinde geçen tüm “algılama” ifadeleriyle, kullanıcıların cihazlarında tehditlerin bulunduğu ve sonuçta herhangi bir Trend Micro güvenlik yazılımı tarafından engellendiği durumlar kastedilmektedir. Aksi belirtilmedikçe, bu raporda yer alan rakamlar, tesis içi ürünleri ve barındırılan hizmetleri desteklemek için bulut içi teknolojiler ile istemci tabanlı teknolojilerin birleşimini kullanan Trend Micro™ Smart Protection Network™ bulut güvenlik altyapısı tarafından toplanan verilerden alınmıştır. TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti Web Reklamcılığı İş Modelindeki Hatalar, Kullanıcı Güvenliğini Risk Altında Bırakıyor Kullanıcılar hangi reklamları göreceklerini kontrol edemeyecekleri için, çevrimiçi reklamlar tercih edilen bir saldırı taşıyıcısı haline gelmiştir. Sitelerinde aslında hangi reklamların gösterildiğini herhangi bir şekilde kontrol edemedikleri için, site ziyaretçileri gibi site sahipleri de bu durumdan olumsuz etkilenmektedir. Kötü amaçlı reklam saldırılarında kullanıldıkları iki tanesini baltalamıştır: sadece güvenilir siteleri için, Adobe yazılımını hedef alan sıfırıncı gün ziyaret etmek ve uygulamaları en son yamalarla saldırıları kısa bir süre önce yükseltilmiştir. Angler güncel tutmak. Saldırı Kitinin parçası haline gelen saldırının (CVE2015-0313) örneği, bu Şubat ayının başlarında İç Güvenlik ve Devlet Meseleleri konulu bir keşfedilmiştir. Bu saldırıda kötü amaçlı reklamlar ABD Senatosu Komitesinde, çevrimiçi reklam kullanıldığından, endüstrisini kurbanların bilgisayarlarına yönlendirmenin zor olduğu virüs bulaşması için kurbanların kötü amaçlı söylenmiştir. “Çevrimiçi reklamcılık endüstrisinin sayfaları ziyaret etmelerine ya da tesadüfen bu karmaşıklığı, sayfalara gitmelerine artık gerek yoktur. sonucu oluşan hasarlardan sorumlu varlıkların kötü amaçlı reklam saldırıları saptanmasını ve bunların sorumlu tutulmasını Son dönemdeki kötü amaçlı reklam saldırıları, zorlaştırmaktadır.”1, 2 Kötü amaçlı reklamlar sadece sıfırıncı gün saldırılarının kullanımıyla beraber, son kullanıcılar açısından değil, site sahipleri daha da ciddi bir tehdit halini almıştır. Kötü amaçlı açısından da bir sorundur. Web siteleri de, reklamlar ve sıfırıncı gün saldırıları birleşimi, sahiplerinin izni ya da bilgisi dahilinde olmadan, bugün genel kabul gören en iyi uygulamalardan kötü amaçlı reklamlarla dolabilir. 4 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti 2015 Yılı 1. Çeyreğindeki Önemli Zayıflıklar CVE-2015-0310 CVE-2015-0311 16.0.0.257 sürümüne kadar tüm Adobe Flash sürümleri 16.0.0.287 sürümüne kadar tüm Adobe Flash sürümleri SWF_ANGZIA.A aracılığıyla yapılan saldırılar (başlangıcı açıklanmamıştır) Kötü amaçlı reklamlar vasıtasıyla SWF_ANGZIA.B, SWF_ANGZIA.C ya da SWF_ANGZIA.F aracılığıyla yapılan saldırılar OCA 22 OCA 22 OCA 24 OCA 27 OCA 22 CVE-2015-0313 OCA 22 OCA 24 ŞUB 2 CVE-2015-0072 16.0.0.296 sürümüne kadar tüm Adobe Flash sürümleri Microsoft™ Internet Explorer® sürümleri 9 - 11 Kötü amaçlı reklamlar vasıtasıyla BEDEP arka kapıları aracılığıyla yapılan saldırılar Kötü amaçlı bağlantılarla desteklenen web enjeksiyonu aracılığıyla yapılan saldırılar ŞUB 2 ŞUB 2 Yaygın Zayıflıklar ve Riskler (CVE) Kimliği ŞUB 4 ŞUB 10 Zayıflığın Ortaya Çıkması ŞUB 5 Saldırının Keşfi ŞUB 5 Zayıflığın Yamanması MAR 10 ŞUB 3 Trend Micro Deep Security Kuralının Yayınlanması Geçtiğimiz çeyrekte ortaya çıkarılan dört sıfırıncı gün saldırısından iki tanesinde, bulaşma vektörü olarak kötü amaçlı reklamlar kullanılmıştır. 5 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti Kötü Amaçlı Reklamlar Nasıl Çalışıyor? Çevrimiçi Reklamlar Nasıl Çalışıyor? Çevrimiçi Kötü Amaçlı Reklamlar Nasıl Çalışıyor? Reklamcılar ürünleri ya da hizmetleri tanıtmak ister. Siber suçlular reklam veren kurumlar gibi davranır ve kötü amaçlı reklamları yayınlatır. Reklam ağları reklamcılar ile çevrimiçi reklamları barındırmak isteyen siteleri bir araya getirir; farklı sitelere teslim etmek üzere birden fazla reklamı derleyip düzenler. Büyük olasılıkla, reklam ağları tarafından gerektiği gibi incelenmediği için, kötü amaçlı reklamlar ile yasal reklamlar birbirlerine karışır. Reklam yayıncıları (site sahipleri) reklamları sitelerinin çevrimiçi içeriğine entegre eder. Farklı formatlarda birden fazla reklam görüntüleyebilir. Kötü amaçlı reklamlar, reklam barındıran sitelerde görüntülenir. Kullanıcılar reklam barındıran siteleri ziyaret ettiklerinde, reklamları görür. Kötü amaçlı reklamlar, kötü amaçlı yazılımı bırakmak için site ziyaretçilerinin bilgisayarındaki zayıflıkları suistimal eder. 6 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti 2014 yılı 4Ç ile 2015 yılı 1Ç arasında Kötü Amaçlı Reklamlarla Dağıtılan BEDEP ve ROZENA Yazılımlarının Sayısı 2014 4Ç TOPLAM: 2503 4 BİN 2015 1Ç TOPLAM: 10.031 3568 2385 2480 2 BİN 1858 1 0 1660 313 106 6 5 152 0 EKİ KAS ARA 2014 OCA ŞUB MAR 2015 BEDEP TOPLAM: 7719 ROZENA TOPLAM: 4815 Kötü amaçlı reklamlar, kurbanları otomatik olarak bilgisayarlarına çeşitli kötü amaçlı yazılımlar bulaştıran sitelere yönlendirmektedir. Bir sıfırıncı gün Adobe Flash saldırısı, kötü amaçlı dizüstü bilgisayar modelinde önceden yüklenmiş reklamlar aracılığıyla kötü amaçlı BEDEP yazılımını bir tarayıcı eklentisi olan Superfish de yer yaymıştır.3 Kötü yazılımını almaktadır.5, 6 Çok fazla disk alanı tüketen gereksiz kullanıcılar, bir yazılım olarak sınıflandırılan ve önceden sahtecilik kurbanı olmanın ve diğer kötü amaçlı yüklenmiş olarak gelen Superfish, kullanıcıların yazılımları yüklemenin yanı sıra, saldırganların tarayıcı botnet faaliyetlerinin habersiz katılımcıları olma sonuçlarını riskiyle karşı karşıya kalmıştır. değiştirme kapasitesine sahiptir. Sadece reklam yüklediğinin amaçlı farkında BEDEP olmayan 4 geçmişlerine (resimler dayalı olarak, olarak arama görüntülenen) 7 yazılımı olarak davranmamış, aynı zamanda siber Bu çeyrekte görülen reklamlarla ilgili tehditler suçluların sözde güvenli iletişimleri gözetlemelerini arasında, Eylül ve Aralık 2014 tarihleri arasında de sağlamıştır. sevkiyatı yapılan en az 52 tüketici sınıfı Lenovo ® 7 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti Superfish Nasıl Çalışır? Superfish belirli Lenovo dizüstü modellerinde önceden yüklenmiş olarak gelir ve bu nedenle, kullanıcıların ne olduğu ve ne yaptığı konusunda kapsamlı bilgileri olmayabilir. Superfish HTTPS'de bile çalışmasını sağlamak için, kendi kök sertifikasını yükler ve bu da, uyarılara neden olmadan güvenli iletişimleri engellemesini sağlar. Superfish Görsel Arama, arama sonuçlarıyla ilgili olarak reklam bağlantılı resimler görüntüleyen bir tarayıcı eklentisidir. Superfish sertifikaları tüm dizüstü bilgisayarlardan sızan aynı özel anahtarı kullanır ve bu da olası bir suistimale karşı zayıf şifreleme ve güvenlik demektir. Superfish, bilgisayarlara önceden yüklenmesi ve reklam yazılımı gibi davranmasının yanı sıra ciddi bir tehdit teşkil etmektedir. Zayıf sertifikası güvenli iletişimleri bile büyük bir risk altında bırakmaktadır. Reklam yazılımı sadece kullanıcıların peşine kaldırılmadan düşmekle kalmamış, MDash yazılım geliştirme ADMDASH.HRX) kitini (SDK) kullanan çok sayıda Google Play etkilediği uygulaması da etkilenen mobil cihazlarda zararlı davranışlar sergileyen 2000'den fazla uygulama da reklamlar görüntülemiştir. bulunmuştur. oluşturulan 8 uygulamalar Bu kit kullanılarak Google önce, MDash kitinin söylenmiştir. (ANDROIDOS_ milyonlarca Mağazada cihazı benzeri Play'den 8 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti Uygulamalar Kaldırıldıktan Sonra Google Play'de Bulunan, MDash Bağlantılı Uygulama Sayısı ŞUB 3 ŞUBAT 11 MART Google, reklam yazılımı oldukları anlaşılan üç uygulamayı resmi olarak mağazasından kaldırdı Analizin yapıldığı tarihte, araştırmacılarımız tarafından Google Play'de 2377 adet uygulama SHA-256 karma saptandı MAR 26 MART 31 MART Google sorun hakkında bilgilendirildi ve ayrıntılı inceleme yapacağını duyurdu Araştırmacılarımız kontrol ettiklerinde, mağazada 682 uygulama kalmıştı NİS 2 NİSAN 15 NİSAN MDash blog girişi yayınlandı Araştırmacılarımız yine kontrol ettiklerinde, Google Play'de 85 uygulama kalmıştı MAY Bu Mart ayının başında, Google Play'de yaklaşık 2000 MDash bağlantılı uygulama bulunmuş ve bunların çoğu bildirimden sonra bir ay içinde mağazadan kaldırılmıştır. Geçtiğimiz bu çeyrekte görülen tehditler, güvenli iletişimleri, saldırganların ellerine düşme kullanıcıların ve site sahiplerinin veri güvenliğini tehlikesiyle bile karşı karşıya bırakmaktadır. tehdit etmek için çevrimiçi reklamcılık platformunu Saldırganlar hiçbir cihazın tehditlerden uzak suistimal etmiştir. En son yaşanan Adobe sıfırıncı olmadığını kanıtlayacak şekilde kurbanlardan gün saldırılarında da görüldüğü gibi, kötü amaçlı değerli bilgiler çalmak için MDash ve benzeri reklamların, sıfırıncı gün saldırıları için etkili uygulamaları kullanmaktadır. araçlar olduğu kanıtlanmıştır. Superfish sözde 9 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti “Sıradan insanlar için, kötü amaçlı reklamlar en kötü tehditlerden biridir. Diğer tehditlerden farklı olarak kötü amaçlı reklamlar, doğru şeyleri yapsalar da insanlara zarar verebilir. Kötü amaçlı reklamlar bağlantıları tıklamayan, tam güncellenmiş güvenlik çözümlerine sahip olan ve sadece güvenilir siteleri ziyaret eden insanları etkileyebilir. Kısacası, sizi kötü amaçlı reklamlara karşı koruyabilecek düzeyde bir önlem yoktur; sadece şans.” —Christopher Budd, Tehdit İletişimleri Yöneticisi “Kullanıcılar hem çevrimiçi, hem de geleneksel medyadaki risk teşkil eden reklam materyallerinden uzaklaşıyor. Reklamcılık suistimali eğilimi devam ederse, tarayıcı üreticilerinin bugün için sadece üçüncü şahıs eklentileri olarak sunulan reklam engelleme işlevini doğrudan ürünlerine dahil etmelerini bekleyebiliriz. Bu büyük değişimi engellemenin olası tek yolu, söz konusu olan ön sürüm halindeki kum havuzu analizini kullanarak ve siteleri etkili bir şekilde yetkilendirerek sundukları içeriği doğrulamak olduğunda, reklam ağlarının oyuna girmeleridir.” —Rik Ferguson, Güvenlik Araştırmaları Başkan Yardımcısı 10 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti Şifreli Fidye Yazılımı Bulaşma Sayısında Patlama, Tehdit Altındaki Kurumlar Hedef tabanlarını genişleten şifreli fidye yazılımları, artık sadece tüketicilerin değil, kurumların ve niş kullanıcı türlerinin de peşine düşmüştür. 2015 yılının ilk çeyreğinde fidye yazılımı kurbanların bilgisayarlarını kilitlememektedir. bulaştıran saldırganların neredeyse yarısı, daha Daha ölümcül ardılları olan şifreli fidye yazılımları, ölümcül bir tür olan şifreli fidye yazılımı olarak ödeme yapılacağından emin olmak için fidye için sınıflandırılmaktadır. Bugünün daha güçlü fidye tutulan dosyaları şifreler ve kullanıcıları daha da yazılımları, Police Truva atı öncülleri gibi, sadece büyük bir risk altında bırakır. Bilinen Şifreli Fidye Yazılımı Türevlerinin Karşılaştırması 1 2 (Bandarchor) 3 CryptoFortress Eski teknikleri kullanır ama yeni türevler sık sık yayınlanır (daha çok sayıda dosya türünü hedef alır; artık fidye notları Rusça değil, İngilizcedir) TorrentLocker’ın kullanıcı arayüzünü (UI) taklit eder; dosya adı uzantılarını aramak için jokerler kullanır; ağ paylaşımlarında dosyaları şifreler İstenmeyen e-posta ve zayıflık suistimali ile dağıtılmaktadır Nuclear Saldırı Kitinde yer alır 4 TeslaCrypt 5 VaultCrypt 6 Troidesh CryptoLocker'ınkine benzer bir kullanıcı arayüzü kullanır; belgelerin yanı sıra, oyunla ilgili dosyaları şifreler Dosyaları şifrelemek için GnuPG'yi kullanır; tarayıcının ön belleğinde yer alan oturum açma bilgilerini çalmak için korsan araçlarını indirir; kurbanların yedeklemedeki dosyalarını kurtarmalarını önlemek için 16 kezs sDelete'i kullanır; genellikle Rusları hedef alır Dosyaları {şifrelenmiş dosya adı}.xtbl olarak yeniden adlandırır; IP adreslerini çalar GulCrypt TROJ_GULCRYPT.A Arşivlenen dosyaları parolayla korumak için .RAR uzantılı dosyaları kullanır; parola PGP şifrelidir Diğer bileşenlerle birlikte, TROJ_CRYPTOP.KLS tarafından indirilir TROJ_CRYPAURA.F Angler Saldırı Kitinde yer alır TROJ_CRYPAURA.F BAT_CRYPVAULT.A İçinde bir JavaScript™ yükleyicinin bulunduğu istenmeyen e-posta aracılığıyla dağıtılır TROJ_CRYPFORT.A TROJ_CRYPSHED.A Nuclear Saldırı Kitinde yer alır 11 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti ÖZELLİKLER 1 2 3 4 5 6 Yeni bir aile mi? Evet Hayır Evet Evet Evet Çalınan veriler Geçerli değil Bilgisayar adı ve makinenin genel benzersiz tanımlayıcısı (GUID) Geçerli değil IP adresi “Browser IP adresi Password Dump by Security Xploded” (HKTL_ BROWPASS) adıyla bilinen bir bilgisayar aracı kullanarak tarayıcının ön belleğinde yer alan oturum açma bilgilerini çalma C&C iletişim Hayır Evet (sabit kodlanmış komuta ve kontrol [C&C] sunucusuna) Hayır Evet (Tor2web aracılığıyla) Evet (Onion City Tor2web aracılığıyla) Fidye notu dosya adı {kullanıcı adı}_ fud.bmp (duvar dosyalar kağıdı olarak) DOSYALARINIZI İSTİYORSANIZ OKUYUN.html DOSYALARINIZI_ KASA.txt KURTARMAK_ İÇİN_YARDIM.txt; DOSYALARINIZI_ KURTARMAK_ İÇİN_YARDIM. bmp (duvar kağıdı olarak) BENİOKU{1 - 10}. txt Şifrelenen dosyalarda uzantı adı değiştirilir .rar .id-{id#}_fud@ india.com* .frtrss .ecc .VAULT Dosyaları {şifrelenmiş dosya adı}.xtbl olarak yeniden adlandırır Gölge kopyaları siler mi? Hayır Hayır Evet Evet Evet Hayır Hedef alınan dosya sayısı 11 102 (eski sürümlerde 39) 132+ 185 15 342 İstenen fidye 300 € 500 $ değerinde Bitcoin (BTC) 1 BTC 1,5 BTC (PayPal ile ödeniyorsa 1000 $) 247 $ değerinde BTC (yedi günden sonra artar) Kurbanların önce tehdit aktörleriyle e-posta aracılığıyla iletişim kurmaları gerektiği için bilinmiyor; fidye ödediği rapor edilen kimse olmamıştır Ödeme siteleri için Deep Web'i kullanır Mail2Tor (Tor e-posta servisi) Hayır (e-posta aracılığıyla) Tor Tor Tor Hayır (e-posta aracılığıyla) Freemium özellikleri var mı? Evet (e-posta aracılığıyla) Hayır Evet Evet Evet Hayır Evet Evet (Tor aracılığıyla) (* kimlik numarası, şifre çözme işlemleri esnasında, kurbanları tanımlayan numaradır.) Farklı talep ciddiyeti ve gelişmişlik düzeylerine sahip, önemli şifreli fidye yazılımlarının büyüyen listesine altı aile daha eklendi. 12 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti Bulaşan Fidye Yazılımlarının Sayısı 20 BİN 13 BİN 8 BİN 12 BİN Fidye yazılımı 9 BİN 10 BİN 6 BİN 6 BİN Şifreli fidye yazılımı 8 BİN 3 BİN 3 BİN 3 BİN 3 BİN 2014 2Ç 2014 3Ç 2014 4Ç 2 BİN 0 2013 4Ç 2014 1Ç 2015 1Ç Büyük olasılıkla, Blackhole Saldırı Kitinin yazarı (Paunch) 2013'ün sonlarına doğru tutuklandığı için, 2014 yılının ilk ve üçüncü çeyreği arasında sayıları azaldıktan sonra, fidye yazılımları 2014 sona ermeden önce yine hız kazanmıştır. (Blackhole Saldırı Kitinin fidye yazılımı yaydığı biliniyordu.) 2015 1Ç'te En Çok Fidye Yazılımının Bulaştığı Ülkeler ABD Avustralya Japonya Türkiye İtalya Fransa Almanya Hindistan Kanada Filipinler Diğerleri %34 %6 %6 %5 %5 %4 %3 %3 %2 %2 %30 Bu yılın başında eklenen ve ABD'de yaşayanları hedef alan CTB-Locker gibi yeni şifreli fidye yazılımlarının eklenmesine bağlı olarak, yaşanan fidye yazılımı bulaşma olaylarının büyük bölümü Amerika Birleşik Devletleri'nde gerçekleşmiştir. 13 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti Önde Gelen Fidye Yazılımı Aileleri CRYPCTB %25 REVETON KOVTER %20 %17 CRYPWALL %11 RANSOM CRILOCK %10 %6 CRYPTOPHP %5 VIRLOCK MATSNU %1 %1 CRYPTWALL %1 Diğerleri %3 Tüm fidye yazılımı pastasının %25'ine karşılık gelen CRYPCTB, Trend Micro'nun bu yılın ilk iki ayında kullanıcıları canından bezdiren CTB-Locker türevleri için kullandığı algılama adıdır. 2013 yılında Paunch’ın tutuklanması, fidye Daha da tehlikeli olan şey ise, fidye yazılımlarının yazılımı bulaşma olaylarının sayısında azalmalara artık sadece tüketicileri değil, kurumları da tehdit neden olsa da, bu olay diğer siber suçluların, etmesidir. Bir CryptoLocker “taklidi” (TROJ_ tehdidin daha ölümcül türevlerini yaymalarını CRYPFORT.A) olan CryptoFortress, paylaşılan önlememiştir. Aslına bakılırsa, bugün kullanıcılar klasörlerdeki dosyaları şifreleyebilir.10 Bu arada, daha ölümcül fidye yazılımı türevleriyle mücadele CRYPWEB etmektedir. şifreleyebilir. 9 Web 11 sunucusu Kurumların fidye veritabanlarını yazılımlarını altyapılarına ve işlerine yönelik, ciddi bir tehdit olarak almaları gerekir. 14 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti 2014 yılı 4Ç ve 2015 yılı 1Ç'de Segmentlere Göre Bulaşan Fidye Yazılımlarının Sayısı 16.433 15.532 2014 4Ç 2015 1Ç %72 Tüketici %52 %16 Kurum %28 %6 s Küçük ve orta ölçekli işletme (KOBİ) %14 s %6 Diğerleri %6 Kurumları etkileyen fidye yazılımı olaylarının sayısı, geçtiğimiz çeyrekte neredeyse iki kat artmıştır. Bu, normal kullanıcılara karşılık, şirketleri hedef alan fidye yazılımlarının sayısındaki artışa bağlanabilir. Kurumların yanı sıra, çevrimiçi oyun tutkunları CRYPAURA fidye için toplamda 102 dosya türünü da, şifreli fidye yazılımının hedefleri listesine (normalde 39) rehin tutmuştur. katılmıştır. Teslacrypt (TROJ_CRYPTESLA.A) oyununu ve yazılım verilerini olduğu Bilgisayarlarına ve dosyalarına yeniden erişmek kadar, kullanıcıların ortam ve yedekleme verilerini için birilerini korkutarak para ödemek zorunda ve belgelerini şifreleyebilir. Oyun tutkunlarını bırakması anlamında, fidye yazılımları FAKEAV ile Massachusetts'teki kıyaslanabilir. Fidye yazılımlarının FAKEAV kadar polis memurlarını bile, şifrelenen dosyalarına büyük sorunlara yol açıp açmayacağını zaman yeniden erişebilmek için, 500 $ ödemek zorunda gösterecektir. Kullanıcı eğitiminin (kullanıcılar bırakmıştır. can sıkıcı açılır mesajları göz ardı ettikleri sürece, Steam hedef ® almanın yanı 12, 13 sıra, 14 güvende kalıyorlardı) çok etkili olduğu FAKEAV Avustralya ve Yeni Zelanda'daki (ANZ) kullanıcılar örneğinde anlaşılmıştı ama aynısı fidye yazılımları da, fidye yazılımı saldırılarından etkilenmiştir. Bu için söylenemez. Fidye yazılımları kullanıcılara Ocak ayında görülen TorrentLocker saldırıları, seçenek vermez. Tek umutları, rehin tutulan pazardan pazara sıçramıştır. Geçtiğimiz çeyrekte dosyaları, güvenli yedekleme konumlarından geri görülen diğer şifreli fidye yazılımı türevleri yükleyebilmeleridir. de, önemli gelişmeler göstermiştir. Örneğin, 15 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti “Şifreli fidye yazılımları siber suçlulara, saldırılardan para kazanmaları için harika bir araç sunuyor. İlk türevlerin ardındakiler sadece birkaç ay içinde milyonlarca dolar kazandı. Fidye yazılımlarının şifre kitaplıklarının eklenmesiyle kolayca şifreli fidye yazılımlarına dönüştürülebilmesi, bu tehdidin daha da büyümesine katkı sağlayabilir. Şifreli algoritmalar tersine döndürülemez. Yedekleme yapmayan kurbanların, önemli dosyalarını geri almak için, ödeme yapmaktan başka seçenekleri olmaz.” —Anthony Melgarejo, Tehdit Tepkisi Mühendisi 16 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti Kötü Amaçlı Makro Yazılımlar, Eski ama Hala Etkili Kötü amaçlı makro yazılımların yeniden canlanmasının nedeni, siber suçluların kullanıcılardaki bilinç eksikliğinden yararlanmaları olabilir. Sadece çok az kullanıcı makroların gerçekten ne olduklarını ve nasıl çalıştıklarını bilmektedir. Kötü amaçlı makroların yüklü olduğu eklere sahip istenmeyen e-postaların sayısındaki artıştan ve yeni türevlerin ortaya çıkışından da anlaşılacağı üzere, 2014'ün sonlarına doğru kötü amaçlı makro yazılımlarının yeniden canlanmasına şahit olduk. Kötü amaçlı makro yazılımları sıkça kendilerini indirmeleri ve çalıştırmaları için hedefleri kandırmak üzere anahtar terimleri ve popüler arama terimlerini kullandılar.15 Ünlü kötü amaçlı bankacılık yazılımı VAWTRAK bile, bilinen ulaşma yöntemlerinden farklı olarak, bilgisayarlara bulaşmak için kötü amaçlı makroları kullanmıştır. Özel olarak hazırlanmış Word dosya eklerini düzgün şekilde görüntülemek amacıyla alıcıları makroları etkinleştirmeleri için kandıran istenmeyen e-postalar kullanmıştır. Bu yapıldığında, kötü amaçlı makro (W2KM_VLOAD.A) çalışır ve VAWTRAK türevlerini yükler.16 Daha önce kötü amaçlı makroları kullanan diğer tehditler arasında veri çalma uygulamaları, DRIDEX ve ROVNIX yer almaktadır.17, 18 Siber suçlular kullanıcıları habersiz yakalamak ve dolayısıyla da, kötü amaçlı makro saldırılarının başarısını artırmak ister. Kullanıcıların makroların ne oldukları ve ne işe yaradıkları hakkında bilgi sahibi olmamalarından yararlanırlar. Bu yüzden, ikna edici bir e-postada eklentileri doğru görüntülemek için makroları etkinleştirmeleri istendiğinde, kullanıcılar bunu yaparlar. Geleneksel kötü amaçlı yazılımları atlatabilmeleri nedeniyle, makrolar her geçen gün daha çok tercih edilen saldırı vektörleri haline gelmektedir. Kötü amaçlı makroları çalıştırmak için manuel müdahale gerektiği için, kum havuzu analizi teknolojileri bu tehdidi etkili bir şekilde durduramayabilir. E-posta tarama çözümlerini kullananlar, kötü amaçlı makro yazılımlarına daha az maruz kalabilir; çünkü bunlar kolayca kafa karıştırabilecek ve kötü amaçlı yazılımlardan koruma çözümleri tarafından fark edilmeden kalabilen gömülü kötü amaçlı makroları taramak yerine, yürütülebilir dosyaları algılar. Kötü Amaçlı Makrolar Nasıl Çalışır? İstenmeyen e-posta, kullanıcıları genellikle boş ya da içinde sadece okunamayan içeriğin yer aldığı ekleri indirmeye ve açmaya zorlar Mesajlarda alıcılardan “İçeriği görüntülemek için makroları etkinleştirmeleri” istenir ve nasıl yapılacağına dair yönergeler verilir Makro etkinleştirildikten sonra, yük yürütülür Son dönemdeki kötü amaçlı yazılım saldırılarında sosyal mühendislik önemli bir rol oynadı. Kullanıcılar arka planda kötü amaçlı yazılımlar çalıştırdıklarını bilmeden, ekleri doğru olarak görüntülemek amacıyla makroları etkinleştirmeleri için kandırıldılar. 17 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti 2015 Yılı 1. Çeyreğinde Bulunan Yeni Makro Kötü Amaçlı Yazılım Sayısı 436 500 250 180 79 29 0 2011 2012 19 2013 2014 2015 2014 yılından beri, kötü amaçlı makro yazılımların yeniden canlandığına şahit olunmaktadır. Bankacılık Truva atı VAWTRAK bile bunları kullanmaya başlamıştır. 2015 Yılı 1. Çeyreğinde Bulaşan Makro Kötü Amaçlı Yazılım Sayısı 93 BİN 100 BİN 48 BİN 50 BİN 32 BİN 20 BİN 22 BİN 2014 2Ç 0 1Ç 3Ç 4Ç 2015 1Ç Bulaşan kötü amaçlı makroların sayısı, 2014 yılı ilk çeyreğinden beri sürekli artmaktadır. Bu yeni türevlerin yayılmasına ve kötü amaçlı makro yüklü ekler taşıyan istenmeyen e-posta sayısındaki artışa bağlanabilir. 18 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti 2015 1Ç'de En Çok Kötü Amaçlı Makronun Bulaştığı Ülkeler Çin ABD İngiltere Japonya %22 %14 %12 %7 Avustralya Fransa İtalya Tayvan %5 %5 %4 %3 Almanya Hindistan Diğerleri %3 %2 %23 2015 yılının ilk üç ayında, kötü amaçlı makroların bulaştığı bilgisayarların sayısının en yüksek olduğu ülkeler listesinin en üst sırasında Çin yer almaktadır. Microsoft, Office yazılımında varsayılan olarak devre dışı bıraksa da, eski sürümleri kullananlar hala risk altındadır. 2015 1Ç'de Önde Gelen Kötü Amaçlı Makro Türevleri W97M_MARKER.BO %8 X97M_OLEMAL.A %5 W2KM_DLOADR.JS %3 X2KM_DLOADR.C %2 W97M_SATELLITE %2 W97M_DLOADR.XTRZ %2 W2KM_DLOAD.NB %2 W97M_DLOADER.GHV %2 X2KM_DLOAD.A %2 X97M_LAROUX.CO %2 Diğerleri %70 19 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti 2015 1Ç'de Kötü Amaçlı Makroları Taşımaları için En Çok Suistimal Edilen Uygulamalar Word %75 Excel® %21 PowerPoint® %1 Diğerleri %3 Microsoft Word belgeleri ve Excel tablolarının, siber suçluların en çok tercih ettikleri taşıyıcılar olduğu kanıtlandı. 2015 1Ç'de Önde Gelen Kötü Amaçlı Makro Aileleri DLOADR %30 DLOAD MARKER BARTALEX DLOADER DLOADE OLEMAL LAROUX BURSTED MDROP Diğerleri %10 %8 %8 %6 %5 %4 %4 %3 %2 %20 Birçok bilgisayarda yüklü olan kötü amaçlı yazılımlara karşı bağımsız çözümleri kolayca atlatabildikleri için, kötü amaçlı makrolar en çok tercih edilen saldırı vektörleri haline gelmiştir. Önde gelen kötü amaçlı makro aileleri yükleyicilerdir ve bu da, diğer kötü amaçlı yazılımların, bunları sistemlere bulaşmak için araç olarak kullandığını gösterir. 20 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti “Kötü amaçlı makroların son dönemdeki başarısı, etkili sosyal mühendislik hilelerini kullanabilmelerine ve kolayca kafa karıştırabilmelerine bağlanabilir. Bu makrolar normal şartlarda Office dosyalarında gömülüdür ve bu nedenle de, kötü amaçlı yazılım tarama çözümleri tarafından daha yumuşak şekilde işleme alınır. Daha da kötüsü, makrolar kötü amaçlı yazılım algılamasını atlatabilen yığın ve komut dosyaları aracılığıyla etkinleştirilebilir.” —Anthony Melgarejo, Tehdit Tepkisi Mühendisi 21 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti On Yıllık FREAK Güvenlik Hatası Yama Yönetiminde Sorunlara Neden Oldu FREAK ve GHOST, zayıflıkları olan bilgisayar ve uygulamaları kullananları korkutmuştur. Korunması gereken platform ve cihaz çeşitliliği nedeniyle, bu durum beraberinde BT yöneticileri için döngü dışı yama yönetimi sorunları getirmiştir. Yıl boyunca platformlar ve cihazlar genelinde, daha fazla sayıda suistimal edilebilir açığın ortaya çıkması beklenmektedir. “Factoring RSA Export Keys” için kullanılan bir Güvenli Yuva Katmanı kısaltma ve güvenli siteleri ve uygulamaları daha iki nokta arasındaki bağlantıyı izinsiz izleyen zayıf bir şifreleme kullanmaya zorlayan bir zayıflık (MiTM) saldırılara karşı savunmasız oldukları olan FREAK, bu Mart ayında keşfedilmiştir. 1.0.1k belirlenmiştir.19 Etkilenen Windows® kullanıcıları, sürümünden önceki tüm OpenSSL sürümleri gizli verilerinin çalınması riskiyle karşı karşıya ve Apple Aktarım Katmanı Güvenliği (TLS)/ kalmıştır.20 Şu An İçin Savunmasız (SSL) istemcilerinin 3 Mart'tan Beri Değişim Alexa'nın ilk 1 milyon etki alanı adı içindeki HTTPS sunucuları %8,5 %9,6'dan düşmüştür Tarayıcının güvendiği sertifikalara sahip HTTPS sunucuları %6,5 %36,7'den düşmüştür Tüm HTTPS sunucuları %11,8 %26,3'ten düşmüştür FREAK zayıflığından etkilenen sunucuların sayısı, hatanın bu Mart ayında keşfedildiğinden beri azalmıştır.21 Linux™ işletim sistemindeki (2.2 sürümünden edilmeden önce yamanmaları gerekir. Sonuç önceki glibc ya da GNU C Library sürümleri) olarak, bunlar büyük olasılıkla savunmasız arka uç bellek aşım zayıflığı olan GHOST da, bu Ocak veritabanlarında depolanan işle ilgili verileri risk ayında ortaya çıkmıştır. Hata rastgele bir kodun altında bırakabilir. çalıştırılmasına izin veren glibc'de belirli işlevlerin çağırılmasıyla tetiklenir. Neyse ki bunu suistimal Trend Micro Deep Security verileri siteler arası script etmek kolay değildir ve sadece çok az sayıda sistemi yazma (XSS) ve SQL püskürtme saldırılarının en etkileyebilmiştir.22 çok kurumsal sunuculardaki Web uygulamalarını hedef almak için kullanıldığını ortaya çıkarmıştır. Aynı istemci ve sunucu tarafındaki zayıflıklar Açık Web Uygulaması Güvenlik Projesi (OWASP) gibi, verileri bu bulguyu desteklemektedir. web uygulaması hatalarının suistimal 22 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti 2015 Yılı 1. Çeyreğinde Bulunan En Önemli Web Uygulaması Zayıflıkları SQL Ekleme KRİTİK Veritabanı ile çalışan tüm Web uygulamaları açısından ciddi tehditler teşkil eder; kullanıcılar tarafından etkilenen Web uygulamaları aracılığıyla SQL komutları biçiminde veritabanı sunucularına aktarılan yetersiz ya da doğrulanmamış girişlerden kaynaklanır; saldırganların veritabanındaki verileri okumalarına, değiştirmelerine, ekleme yapmalarına ya da silmelerine izin verebilir ve bunun da yıkıcı sonuçları olabilir Kısa ömürlü XSS Saldırganların Web uygulamalarına kötü amaçlı komutlar (genellikle istemci tarafı) eklemelerini sağlar; XSS kullanıcı tarafından sağlanan verileri doğrulamayan, filtrelemeyen ya da şifrelemeyen uygulamalardan yararlanır; genellikle aslında saldırılar başlatmak için gerekli ek verileri sağlayan, yasal görünümlü bağlantıları tıklamaları için kurbanların kandırılmasını kapsar Saldırganların sunucuların dosya sistemlerinde gezinerek sınırlandırılmış sistem yollarından dosyalara erişebilmeleri için Web uygulamalarındaki yetersiz güvenlik doğrulamasını suistimal eder; “nokta nokta eğik çizgi” ya da “dizin geçişi” saldırıları olarak da bilinir YÜKSEK Yol Geçişi Olası hassas kaynak bulundu Daha karmaşık saldırılar yapabilmeleri için saldırganların eski yedek, sunucu yapılandırması, sunucu ya da veritabanı günlüğü, veritabanı yapılandırması, veritabanı dökümü ya da hassas uygulama dosyaları gibi, uygulamaların yapısıyla ilgili olabilen ya da olmayabilen kaynaklarla ilgili bilgi edinmelerini sağlar Dizin endeksleme Kullanıcı aracılar tarafından erişildiğinde, sanal dizinlerinin ya da alt dizinlerinin endeks sayfasını görüntüleyen Web sunucularını etkiler; saldırganların zayıf Web uygulamalarının dizin yapısını ve içeriğini analiz ederek başka saldırılar başlatmalarını ya da dizin dosyalarına yetkisiz erişmelerini sağlar Kullanıcıların Web uygulaması hataları ya da istisnaları oluştuğunda gördükleri HTML kodla paketlenmiş dahili Web uygulaması mantığı da dahil olmak üzere, saldırganların önemli bilgilere erişmelerini sağlar ORTA Ayrıntılı uygulama hata mesajları SSL olmadan aktarılan önemli form verileri Saldırganların SSL kullanmayan uygulamalar aracılığıyla iletilen önemli verileri elde etmelerini sağlar İçerik dosyası kaynak kodu ifşası Saldırganların kaynak kodlarında bulunan önemli uygulama mantığı bilgilerine erişmelerini ve bunları suistimal etmelerini sağlar Beklenmedik çıkışların olması sonucunda ortaya çıkarlar; yerel yolları açıklayan Web uygulamaları, saldırganlara webroot klasörleri ile ilgili fikir verebilir ve bu fikri, dahili sistem dosyalarına erişmek için özelleştirilmiş saldırılar tasarlamak için kullanabilirler DÜŞÜK Yerel yolun ifşa olması Sızdırılan dahili IP adresi Özelleştirilmiş saldırılar tasarlamak için kullanılabilen dahili ağların IP adresi düzeni ile ilgili bilgileri açığa çıkarabilir Kısa ömürlü XSS en yaygın Web uygulaması zayıflığıdır. OWASP'a göre, “Bir uygulama güvenilmeyen verileri alıp bunu düzgün bir şekilde doğrulatmadan bir Web tarayıcısına gönderdiğinde, XSS hataları ortaya çıkar.” Bu, kullanıcıları özel olarak tasarlanmış bağlantıları tıklamaları için kandırarak saldırganların kötü amaçlı komutları yürütmelerine olanak verebilir. 23 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti Deep Security verileri, PHP sunucu zayıflıklarının, ve bazen de, genel amaçlı programlama diliyle organizasyonlar arasında en yaygın sorun olduğunu bağlantıları vardır. “Yüksek” ile “kritik” arasında da ortaya çıkarmıştır. Aslına bakılırsa, önde derecelendirilen bu zayıflıkların birçoğu, en son gelen 10 sunucu zayıflığının Web geliştirmeleri PHP sürümünde yamanmıştır. için tasarlanan PHP sunucu taraflı betik dili 2015 Yılı 1. Çeyreğinde Bulunan En Önemli Platform Zayıflıkları Önem Derecesi Etkilenen Yazılım CVE-20122688 Kritik PHP Belirtilmemiş PHP 5.3.15 ya da 5.4.5 ya da sonraki sürüme yükseltme CVE-20122376 Kritik PHP Saldırganların rastgele bir kod yürütmelerine olanak tanır Bunu hedef alan yamalar ya da yükseltmeler henüz yayınlanmamıştır CVE-20113268 Kritik PHP Saldırganların rastgele bir kod yürütmelerine ya da etkilenen uygulamaları çökertmelerine olanak tanır PHP 5.3.7 ya da sonraki sürüme yükseltme CVE-20149427 Yüksek PHP Saldırganların etkilenen uygulamaları çökertmelerini, php-cgi süreç belleğindeki önemli bilgileri elde etmelerini ya da beklenmedik kodları yürütmelerini sağlar Bu hatanın giderilmesi ile ilgili bilgi edinmek için uygulama satıcılarına başvurun CVE-20131635 Yüksek PHP Saldırganların amaçlanan erişim sınırlandırmalarını aşmalarını sağlar PHP 5.3.22 ya da 5.4.13 ya da sonraki sürüme yükseltme CVE-20111092 Yüksek PHP Saldırganların etkilenen uygulamaları çökertmelerini sağlar PHP 5.3.6 ya da sonraki sürüme yükseltme CVE-20121823 Yüksek PHP Saldırganların rastgele bir kod yürütmelerine olanak tanır PHP 5.4.2 ya da sonraki sürüme yükseltme CVE-20122311 Yüksek PHP Saldırganların rastgele bir kod yürütmelerine olanak tanır PHP 5.3.13 ya da 5.4.3 ya da sonraki sürüme yükseltme CVE-20122386 Yüksek PHP Saldırganların etkilenen uygulamaları çökertmelerini sağlar PHP 5.3.14 ya da 5.4.4 ya da sonraki sürüme yükseltme CVE-20111153 Yüksek PHP Saldırganların önemli bilgileri ele geçirmelerini ve hizmet reddi (DoS) saldırıları düzenlemelerini sağlar PHP 5.3.6 ya da sonraki sürüme yükseltme CVE No Açıklama Çözüm Betik dilinin farklı sürümlerinde hatalar keşfedildiği için, geçtiğimiz çeyreğin en zayıf platformu PHP olmuştur. Kullanıcıların ve aynı şekilde BT yöneticilerinin uygulamalarını en son yamalarla güncel tutmaları ya da en son sürümlere yükseltmeleri gerekmektedir. Deep Security'nin ilgili zayıflıkları hedef almak için kullanılan çözümleri olduğunu unutmayın. 24 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti Açık kaynaklı İS'ler ve uygulamalarda keşfedilen ya da yamanması konusunda doğrudan sorumlu zayıflıkların sayısı artıkça, BT yöneticilerinin de birilerinin olmayışıdır ve bu da, olası tüm bunlarla ilişkili riskleri hafifletmeleri her geçen savunmasız İS'leri ve uygulamaların güvenliğini gün biraz daha zorlaşmaktadır. Temelde yatan sağlama konusunu zorlaştırmaktadır. önemli sorunlardan biri de, hataların açıklanması “FREAK saldırısı, sistemlerimizin ve ağlarımızın ne kadar güvenli olduğunu düşünürsek düşünelim, daima keşfedilecek yeni bir şeyler olduğunu gösteren bir başka uyarıdır. Eski sistemler mümkün olabildiğince yükseltilmelidir. Şirketlerin satıcıların onlar için oluşturdukları özel uygulamaların kaynak kodlarını muhafaza etmeleri gerekir. Heartbleed gibi, FREAK de OpenSSL'in kırılganlığını anımsatmalıdır. Bu eski bir teknolojidir ve çok daha iyi şifreleme kitaplıklarıyla değiştirilmelidir. Açık kaynaklı yazılımlara ve kitaplıklara güvenen organizasyonların güvenlik ilkelerini gözden geçirmeleri ve sıkılaştırmaları gerekmektedir. IP ve etki alanı itibarını değerlendiren, ihlal algılama sistemleri aracılığıyla ağ trafiğini izleyen ve diğerlerinin yanı sıra, bilinen ve bilinmeyen tehditleri algılamak için sızıntı önleme sistemlerini kullanan güvenlik çözümlerini kullanmalıdırlar.” —Pawan Kinger, Deep Security Laboratuvarları Direktörü 25 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti Sağlık Hizmetleri Endüstrisi Önemli İhlallerden Etkilendi, Diğer Endüstriler Kötü Amaçlı PoS Saldırılarıyla Sarsıldı Sağlık hizmetleri sağlayanların ağlarında depolanan gizli verilerin inanılmaz boyutuna karşın güvenliğin gevşek oluşu ve türünün en iyisi çözümlerin kullanılmayışı, tercih edilen saldırı hedefleri haline gelmelerinin ana nedenleri olabilir. Bu Mart ayında, önde gelen sağlık hizmetleri darbeyi alan sağlık hizmetleri sağlayıcısı olan ve sağlayıcılarından Premera Blue Cross ve Anthem, kayıtlarının 8,6 milyonu açığa çıkan NHS'in yerini milyonlarca müşterinin mali ve tıbbi kayıtlarını almıştır.25 açığa çıkaran veri ihlalleri yaşadılar.23 Anthem ihlalinin 80 milyon müşteriyi ve çalışanı etkilediği Sağlık hizmeti sağlayıcılar, müşterileriyle ilgili söylenmektedir.24 Bu arada, bu Ocak ayında olarak diğer organizasyonlardan daha fazla bilgi keşfedilen, Premera Blue Cross'a yönelik saldırıda, barındırır ama verilerini korumak için en etkili 11 milyon müşterinin kayıtları açığa çıkmıştır. araçları kullanmaz.26 Her iki veri ihlali de, 2011 yılından beri en kötü Sağlık Hizmeti Sağlayıcıların 2009 ile 2015 Yılları Arasında Yaşadıkları En Önemli Veri İhlali Saldırıları Virginia Department of Health | ABD National Health Services | İngiltere Hasta kayıtları, reçeteler Şifrelenmemiş hasta kayıtları 2009 Kaybedilen kayıt sayısı: 8,3 milyon Kaybedilen kayıt sayısı: 8,6 milyon 2010 Advocate Medical Group | ABD Adlar, adresler, doğum tarihleri, sosyal güvenlik numaraları Community Health Systems | ABD 2011 Beş yıllık hasta verileri, adlar, adresler, sosyal güvenlik numaraları Kaybedilen kayıt sayısı: 4 milyon 2012 Kaybedilen kayıt sayısı: 4,5 milyon Premera Blue | ABD 2013 Anthem | ABD Adlar, doğum tarihleri, e-posta adresleri, adresler, telefon numaraları, sosyal güvenlik numaraları, üye kimlik numaraları, banka hesap bilgileri, şikayet bilgileri, klinik bilgiler Kaybedilen kayıt sayısı: 11 milyon 2014 Adlar, doğum tarihleri, üye kimlik numaraları, sosyal güvenlik numaraları, adresler, telefon numaraları, e-posta adresleri, istihdam bilgileri 2015 Kaybedilen kayıt sayısı: 80 milyon Her ikisi de bu yılın başlarında keşfedilen Anthem ve Premera veri ihlalleri bugüne kadar saptananlar arasında en kötü olanlarıydı.27 Bu türde bir veri ihlali, 2011 yılında, içinde şifrelenmemiş hasta kayıtlarının bulunduğu dizüstü bilgisayarlar, NHS'den çalındığında yaşanmıştı. (Not: Kapsam en az 4 milyon kayıt kaybeden organizasyonlarla sınırlandırılmıştır.) 26 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti 2005 ile 2014 Arasında Gerçekleşen Veri İhlallerinin Kaç Tanesi Sağlık Hizmetleriyle Bağlantılıydı? %10 %14 %14 %15 2005 2006 2007 2008 %14 %25 %24 %36 2009 2010 2011 2012 %44 %43 2013 2014 Sağlık hizmetleriyle ilgili veri ihlalleri Veri ihlali kurbanı olan sağlık hizmetleri sağlayıcılarının sayısı, 2005 ile 2014 yılları arasında dört kat artmıştır. Sağlık hizmetleri endüstrisi 2012 ile 2014 yılları arasında, iş, askeri ve kamu sektörlerinden bile daha çok sorun yaşamıştır.28 Perakendecilik ve hizmet sektörlerinde, PoS Çeşitli eski ve yeni PoS RAM scraper, kullanıcıların RAM scraper'ların sayısı artmaya devam etmiştir. başına dert olmaya devam etmektedir. Ünlü Zayıf PoS sistemi güvenliği, RAM scraper'ların kötü amaçlı PoS yazılımları listesine bu Şubat'ta hedefe yönelik saldırılar düzenlemek için olmasa FighterPoS da katılmıştır ve toplam bulaşma da, ağları ihlal etmek için geçerli araçlar haline olaylarının önemli bir bölümünü teşkil eden gelmesine olanak vermiştir. Kötü amaçlı PoS eskilerden BlackPOS, şirketleri bezdirmeye devam yazılımı, saldırganlara yüksek kar biçiminde, etmektedir.29 anında memnuniyet sağlamıştır. 27 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti PoS Ram Scraper Bulaşan Sistemlerin Sayısı 116 259 300 120 86 65 156 150 124 123 3Ç 4Ç 60 73 0 2014 1Ç 2Ç 0 2015 OCA ŞUB MAR 1Ç Algılanan PoS RAM scraper'larının sayısı, geçen yıl bunları izlemeye başladığımızdan beri iki katın üzerinde artmıştır ve bu da, BlackPOS örneğinde de olduğu gibi, mevcut kötü amaçlı PoS yazılımlarda yapılan geliştirmelere bağlanabilir.30 2015 1Ç'de En Çok PoS RAM Scraper'ın Bulaştığı Ülkeler ABD %23 Avustralya %10 Tayvan Avusturya İtalya %8 %7 %5 Brezilya %4 Kanada Filipinler Fransa %4 %4 %3 Japonya Diğerleri %2 %30 Olası kurban tabanı çok geniş olduğu için, kötü amaçlı PoS saldırıları tarafından en çok hedef alınan ülke Amerika Birleşik Devletleri olmuştur. Aslına bakılırsa, ülke nüfusunun %80'i nakit ödeme yapmak yerine, sürekli olarak kredi kartı kullanmaktadır.31 28 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti 2015 1Ç'de Önde Gelen PoS Ram Scraper Aileleri POCARDL %20 DEXTR POSLOGR %14 %11 POSNEWT %7 JACKPOS POCARDLER %7 %6 POSLUSY %6 ALINAOS %5 POSHOOK %5 ALINA Diğerleri %5 %14 Kredi kartı bilgilerini çalan ve ilk kez Ekim 2012'de görülen POCARDL, 2015 yılının ilk üç ayındaki en göze çarpan PoS RAM scraper ailesiydi.32 “Korku saçan yazılımlar FAKEAV ve fidye yazılımlarında olduğu gibi, kötü amaçlı PoS yazılımları da güvenlik endüstrisinin geçim kaynaklarından biri olacaktır. Bu özellikle insanların nakit ödeme yapmak yerine, kredi kartlarını tercih ettikleri Amerika Birleşik Devletleri gibi ülkeler için geçerlidir.” —Jay Yaneza, Siber Tehdit Araştırmacısı 29 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti Eski Tehdit Aktörleri Yeni Saldırı Kampanyası Araçları, Taktikleri ve Prosedürleriyle Yeniden Ortaya Çıktı Rocket Kitten ve Pawn Storm Operasyonunun ardındakiler, gözlerini yeni hedeflere dikti ve bu da hedefe yönelik saldırıların devam edeceği ve değişeceğinin bir kanıtıdır. Devam eden bir ekonomik ve politik siber casusluk operasyonu olan Pawn Storm Operasyonu, hedef ağlara sızmak için savunmasız iOS™ cihazları suistimal etmiştir.33 Hedefe yönelik saldırılar düzenlemek için kötü amaçlı mobil yazılımlar kullanan ilk kampanya olmasa da, Pawn Storm gözünü özellikle iOS'ye diken ilk kampanya olmuştur. Bunun ardındaki aktörler Windows bilgisayarlardaki SEDNIT türevleriyle karşılaştırılabilecek, iki adet kötü amaçlı iOS uygulaması (XAgent (IOS_XAGENT.A) ve MadCap'in (IOS_ XAGENT.B) sahte sürümü) kullandı. Hedefe yönelik saldırılar krallığındaki sürekli gelişmelere ayak uyduran Rocket Kitten, araçlarını taktiklerini ve prosedürlerini (TTP'ler) geliştirdi.34 Operasyonun ardındaki aktörler, WOOLERG tuş kaydedicilerini barındırmak için OneDrive®'ı suistimal etti. 2011 Yılından Beri Görülen Mobil Cihazlarla İlgili Önemli Hedefe Yönelik Saldırılar Özellikle Amerika Birleşik Devletleri ve müttefiklerindeki askeri, elçilik ve savunma şirketlerinin personelini hedef alan bir grup tehdit aktörü tarafından başlatılan ekonomik ve politik casusluk saldırıları; hedef ağlara sızmak için kötü amaçlı iOS yazılımını ilk kullanan kampanyadır Japonya ve Hindistan'da çeşitli endüstrilere ve/veya topluluklara yönelik 90 saldırıyla bağlantılıdır; bilgi toplayan ve virüslü cihazlardan ya da cihazlara dosyalar indiren ya da karşıya yükleyen kötü amaçlı Android™ yazılımları gibi uzaktan erişim aracı (RAT) kullanır Tibetli ve Uygur eylemcilerini hedef almıştır; zayıf Windows ve Mac OS X sistemlerini suistimal etmek için sosyal mühendislik numaraları kullanmıştır; hedef eylemcilerin ele geçirilen hesaplarını kullanarak ANDROIDOS_CHULI.A'yı yaymıştır 2013 Chuli 2012 Luckycat 2011 Pawn Storm Xsser mRAT Regin 2014 Çince konuşanlar tarafından Çinli protestoculara karşı başlatılan bir kampanya olduğuna inanılmaktadır; platformlar arası bir kampanya olan Xsser mRAT (ANDROIDOS_Code4HK.A) Android ve iOS cihazları etkilemiştir; ANDROIDOS_Code4HK.A kurbanların SMS, e-posta ve anlık mesajlarını, konum verilerini, kullanıcı adlarını ve parolalarını, çağrı kayıtlarını ve iletişim listelerini ifşa etmiştir Çeşitli ülkelerde hükümetleri, finans kuruluşlarını, telekomünikasyon operatörlerini, araştırma organizasyonlarını ve diğer kuruluşları hedef almıştır; bir Orta Doğu ülkesindeki GSM şebekesini manipüle etmek için gerekli bilgileri toplamak amacıyla Mobil İletişimler için Küresel Sistem (GSM) baz istasyonu denetleyicilerini suistimal etmiştir Saldırganlar mobil cihazları hedef alıyor; çünkü herkes akıllı telefon kullanıyor. Kendi cihazını getir (KCG) eğilimi nedeniyle, kişisel zamanda sergilenen güvensiz mobil alışkanlıklar, kolayca iş yerine sızabilir.35 30 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti Pawn Storm Aktörleri Uygulama Mağazalarının Kurumsal Güvenlik Önlemlerini Nasıl Atlattı? Saldırganlar kurumsal sertifikaya sahip, kötü amaçlı yazılım oluşturur Saldırganlar kötü amaçlı yazılımı bir sunucuda barındırır ve yükleme bağlantısı oluşturmak için itms-services'i kullanır Bağlantı kurnaz sosyal mühendislik taktikleri aracılığıyla tıklamaları için kandırılan hedef kişilere gönderilir Bağlantı tıklandığında, kötü amaçlı yazılım yüklenir XAgent kötü amaçlı yazılımlarının tam yüklenme yöntemi hala bilinmiyor olsa da, taşıyıcı uygulamaları Apple'ın kurumsal sertifikası ile imzalanmışsa, bu yazılımlar jailbreak işlemi yapılmamış cihazları bile etkileyebilmektedir. Sosyal mühendislik hileleri de, cihaza bulaşma olasılığını artırmaktadır. 31 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti Saldırı Kitleri Karmaşıklaşmaya Devam Etti Saldırı kitleri daima paralarının karşılığını en iyi şekilde almanın yolunu arayan her türden saldırganı cezbedecek şekilde, cephaneliklerine daha da fazla sayıda zayıflığı suistimal etmenin yollarını ekler. Geçtiğimiz çeyrekte kötü amaçlı reklam saldırılarına dahil oluşları, gerçek bir risk yaratma aracı olduklarını kanıtlamıştır. Hala kullanılmakta olan 70’ten fazla saldırı kiti, yılının ilk üç ayında en çok kullanılan kit olmuştur. 100'ün üzerinde zayıflıktan faydalanmaktadır.36 beri, Özellikle Japon kullanıcılara yönelik düzenlenen kullanılan saldırı kitlerinin sayısı önemli ölçüde çok sayıda kötü amaçlı reklam saldırısından da azalmıştır. Ancak, sayıca ortaya çıkan eksikliklerini, anlaşılacağı üzere, saldırganların en çok tercih kitleri geliştirerek telafi etmektedirler. Her geçen ettikleri hedef ülke Japonya olmuştur.37 Paunch 2013 yılında tutuklandığından gün daha fazla sayıda zayıflıktan faydalanabilmek için, saldırı kitleri sürekli olarak güncellenmektedir. Eskiden olduğu gibi, yazılımların muazzam kullanıcı tabanları nedeniyle, en popüler saldırı Örneğin Hanjuan Saldırı Kiti daha önce bahsedilen Adobe Flash sıfırıncı gün saldırısında kitleri Adobe Flash ve Internet Explorer'a saldırmaktadır. kullanılmıştır. Bu arada, Nuclear Saldırı Kiti 2015 Saldırı Kitlerinde Kullanılan Zayıflıklar Nuclear Sweet Orange FlashPack Rig Angler Magnitude Fiesta Styx Hanjuan Internet Explorer CVE-2013-2551 CVE-2013-2551 CVE-2013-2551 CVE-2014-0322 CVE-2013-3918 CVE-2013-2551 CVE-2013-2551 CVE-2013-2551 CVE-2013-2551 CVE-2013-2551 CVE-2014-6332 CVE-2014-0322 Microsoft Silverlight® CVE-2013-0074 Adobe Flash CVE-2014-0515 CVE-2013-0634 CVE-2014-0515 CVE-2014-0497 CVE-2014-0569 CVE-2014-0515 CVE-2014-0497 CVE-2014-0569 CVE-2014-0569 CVE-2014-0515 CVE-2014-0569 CVE-2014-0515 CVE-2015-0313 CVE-2014-8439 CVE-2014-0569 CVE-2014-0515 CVE-2015-0311 CVE-2015-0311 CVE-2015-0311 CVE-2015-0311 CVE-2014-0569 Adobe Acrobat® Reader CVE-2010-0188 Oracle JavaTM CVE-2012-0507 XMLDOM ActiveX CVE-2013-7331 CVE-2013-0074 CVE-2013-0074 CVE-2013-0074 CVE-2013-0074 CVE-2010-0188 CVE-2013-2460 CVE-2013-5471 CVE-2013-2465 CVE-2013-7331 CVE-2013-7331 CVE-2012-0507 CVE-2014-2465 CVE-2013-7331 2015 yılının ilk çeyreğindeki tüm önemli saldırılarda Adobe Flash'a yönelik saldırılar yapılmıştır 32 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti 2014 yılı 4Ç ve 2015 yılı 1Ç Arasında Saldırı Kiti Sunucularına Erişme Sayısı Sweet Orange Angler 2014 4Ç 1.077.223 363.982 155.816 140.604 14.671 26.943 25.133 Veri yok 1.804.372 2015 1Ç 264.897 590.063 255.593 42.424 740.037 321.712 61.952 103.924 2.380.602 Artış -%75,4 %62,1 %64,0 -%69,8 %4944,2 %1094 %146,5 Veri yok Magnitude Rig Nuclear Neutrino Fiesta Hanjuan Toplam %31,9 2015 yılı 1Ç'de Kullanıcılar Tarafından En Çok Erişilen Saldırı Kitleri Nuclear Angler Neutrino Sweet Orange Magnitude Hanjuan Fiesta Rig %31 %25 %13 %11 %11 %4 %3 %2 Bu çeyrekte, saldırı kiti ile ilgili etkinliklerde %30'luk bir artış görülmüştür. Kötü amaçlı reklamlarla ilgili olarak görülen saldırılar nedeniyle, en çok kullanıcı tarafından erişim sayısına Nuclear Saldırı Kiti ulaşmıştır. Bu arada, Sweet Orange Kitine erişme sayısındaki azalma, belirli reklam ağlarının platformlarında gerçekleştirdikleri kötü amaçlı reklam temizliğine bağlanabilir. 33 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti Saldırı Kitiyle Bağlantılı Saldırılardan En Çok Etkilenen Ülkeler Japonya %52 ABD Avustralya %31 %5 Kanada %1 Danimarka Fransa %1 %1 İngiltere %1 İtalya Brezilya %1 %1 İspanya %1 Diğerleri %5 Bu yılın başında, özellikle Japon kullanıcıları hedef alan saldırı kiti ile bağlantılı kötü amaçlı reklam saldırılarının çokluğu nedeniyle, en çok etkilenen ülke Japonya olmuştur. Yeni yayınlanan saldırı kitlerinin sayısı azalsa da, önemli sayıda kit bu çeyrekte aktif kalmıştır. Bu fırtınadan önceki sessizlik olabilir mi? Yoksa saldırı kiti geliştiriciler gizleniyor ve pazara girmeden önce sessizce tekliflerini mi geliştiriyorlar? 2015 Yılı 1Ç'de Bilinen Günlük Saldırı Kiti Etkinliği 5 100K Nuclear Angler 4 Neutrino Sweet Orange 2 50K Magnitude Hanjuan 3 Fiesta 1 Rig 0 OCA ŞUB MAR (Not: Yukarıdaki tabloda yer alan artışlar, aşağıdaki numaralandırılmış ayrıntılara karşılık gelmektedir.) AOL tarafından platformunu kötü amaçlı reklam yazılımlardan temizlemek için alınan önlemler, Sweet Orange Saldırı Kitinin (1) etkinliğinde azalmaya neden olmuştur. Ocak ayı sonundan Şubat başına kadar bilgisayarlara sıfırıncı gün kötü amaçlı BEDEP yazılımını göndermek için Angler (2 ve 4) ve Hanjuan (2) kitleri kullanılmış ve bu da, bu kitlerin sunucularına erişme sayısının artmasına neden olmuştur. Bu arada, Nuclear Saldırı Kiti (3 ve 5) pornografik siteler aracılığıyla yapılan bir kötü amaçlı reklam saldırısında kullanılmıştır. 34 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti “Her geçen gün daha fazla sayıda saldırıda, virüslü siteler ya da istenmeyen e-postalar yerine, kötü amaçlı reklamlar kullanılmaktadır. Sonuçta, yasal reklam ağlarını suistimal etmek, kötü amaçlarını gizlemelerini sağlamaktadır. Saldırganlar kampanyalarının daha da etkili olmalarını sağlamak ve işlerini büyütmek için araçlarını ve taktiklerini sürekli olarak geliştirmektedir. 2015 yılının ilerleyen bölümlerinde, büyük olasılıkla bu gibi saldırılarla karşılaşacağız.” —Joseph C. Chen, Mühendis 35 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti Tehdit Manzarasına Genel Bakış 2014 yılı dördüncü çeyreğinde kaydedilen e-posta sayısı tavan yapmıştır. Bu, zayıf rakamlarla kıyaslandığında, genel tehdit hacminde bilgisayarlara kötü amaçlı makro yazılımları gibi genellikle bir düşüş olmuştur. Kullanıcı erişimini eski tehditleri bulaştırmak için, en çok tercih edilen engellediğimiz kötü amaçlı etki alanı ve cihazlara bulaşma vektörü olarak e-postaya geri dönüş bulaşmasını önlediğimiz kötü amaçlı yazılım olduğunu gösteriyor olabilir. sayısının düşük olmasının aksine, istenmeyen 2015 Yılı 1Ç'de Engellenen Toplam Tehdit Sayısı 6 MİLYAR Trend Micro Algılama Oranı: 2015 Yılı 1Ç'de Saniyede Engellenen Tehdit Sayısı 2 BİN/sn 1931 5,2 5 MİLYAR 1858 1595 MİLYAR 3,9 MİLYAR 3 MİLYAR 1 BİN/sn 0 0 OCA ŞUB MAR Geçtiğimiz çeyrekte, her ay ortalama 4,7 milyar tehdit engelledik ve bu da, 2014 yılı son çeyreğinde kaydedilen rakamda 1,5 milyarlık bir artış olduğunu göstermektedir. OCA ŞUB MAR Geçtiğimiz çeyrekte, saniyede ortalama 1800 tehdit engelledik. Daha önce kaydedilen saniyede 1200 tehdit ile kıyaslandığında, saniyede 600 tehditlik bir artış olduğunu göstermektedir. 36 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti 2015 Yılı 1Ç'de İstenmeyen E-posta Olarak Engellenen E-posta İtibarı Sorgularının Sayısı 2015 Yılı 1Ç'de Kullanıcıların Ziyaret Etmelerinin Engellendiği Kötü Amaçlı Sitelerin Sayısı 350 MİLYON 5 MİLYAR 4,6 315 MİLYAR MİLYON 4,1 MİLYAR 236 3,3 MİLYON MİLYAR 2,5 MİLYAR 252 MİLYON 175 MİLYON 0 0 OCA ŞUB OCA MAR İstenmeyen e-posta gönderen IP adreslerinden gönderilen toplam 12 milyar e-postanın, kullanıcıların gelen kutularına ulaşmasını engelledik. ŞUB MAR Geçtiğimiz çeyrekte, ay be ay artacak şekilde, 800 milyondan fazla kullanıcının kötü amaçlı siteleri ziyaret ettiğini kayıt altına aldık. 2015 Yılı 1Ç'de Engellenen Kötü Amaçlı Dosyaların Sayısı 600 MİLYON 522 MİLYON 361 300 MİLYON 351 MİLYON MİLYON OCA ŞUB 0 MAR Geçtiğimiz çeyrekte, bir milyardan fazla kötü amaçlı dosyanın, cihazlara bulaşmasını önledik. Bu Şubat ve Mart ayları arasında, kötü amaçlı yazılımların sayısı neredeyse iki kat arttı. 37 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti Çoğunlukla tüketicileri etkileyen KRYPTIK Truva Geçtiğimiz çeyrekte, kullanıcı erişimini engel atı ailesi, geçtiğimiz çeyrekte önde gelen kötü lediğimiz önde gelen etki alanı adlarının çoğu, amaçlı yazılımlar listesine katılmıştır. Daha önce, reklam yazılımlarıyla bağlantılıydı. Bu, pekala kötü ekranlarında uyarılar görüntüleyerek kullanıcıları amaçlı reklam saldırıları sayısında görülen artışla istenilen şeyi yapmaları için korkuttuğu bilinen bağlantılı olabilir. Şans eseri, kötü amaçlı reklam bu Truva atları, bulaştıkları bilgisayarlara diğer yazılımları da, mobil tehdit türleri listesinin kötü amaçlı dosyaları da yüklemeye çalışmaktadır. zirvesinde yer almıştır. Bugüne kadar, toplamda Ancak SALITY ve DOWNAD'i kuruldukları ilk 5 milyonun üzerinde Android tehdidi kaydettik 2 sıradan indirmeyi başaramamışlardır. ve bu da 2015 yılının sonuna kadar toplam 8 milyonluk tahminimize yaklaştığımızı gösteriyor. 2015 Yılı 1Ç'de Kullanıcıların Ziyaret Etmelerinin Engellendiği, Önde Gelen Kötü Amaçlı Etki Alanları Etki Alanı Erişimin Engellenme Nedeni files-download-131.com Büyük olasılıkla istenmeyen dosyalar (PUA'lar) yüklüyor38 enhizlitakip.com Türk Twitter takipçi dolandırıcılığıyla ilgili cnfg.toolbarservices.com Tarayıcı araç çubuğu gibi davranan kötü amaçlı reklam yazılımıyla ilgili s.trk-u.com Tarayıcı araç çubuğu gibi davranan kötü amaçlı reklam yazılımıyla ilgili s.ad120m.com Bir TROJ_GEN türevinin iletişim kurduğu site sso.anbtr.com PE_SALITY.RL'nin iletişim kurduğu site f0fff0.com Kötü amaçlı reklam yazılımı yükleyen, açılan sayfalar açar fa8072.com Kötü amaçlı reklam yazılımı yükleyen, açılan sayfalar açar creative.ad120m.com Bir TROJ_GEN türevinin iletişim kurduğu site lovek.info Tıklama sahteciliği ile bağlantıları vardır Geçtiğimiz çeyrekte kullanıcı erişimini engellediğimiz kötü amaçlı etki alanlarının çoğu, kötü amaçlı reklam yazılımı dağıtılmasına karışmıştı ve diğer dolandırıcılıklarla bağlantıları vardı. 38 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti 2015 1Ç'de En Çok Kötü Amaçlı URL Barındıran Ülkeler ABD %29 Hollanda Çin %7 %6 Rusya %3 Kosta Rika Almanya %2 %1 İngiltere %1 Portekiz %1 Japonya Güney Kore %1 %1 Diğerleri %48 Amerika Birleşik Devletleri en çok kötü amaçlı URL barındıran ülkeler listesinin zirvesindeki yerini koruyor. Fransa ve Macaristan ise, Kosta Rika ve Portekiz tarafından liste dışı bırakıldılar. 2015 1Ç'de Kötü Amaçlı URL'leri En Çok Tıklayan Kullanıcı Sayısına Sahip Ülkeler ABD Japonya Avustralya Tayvan Hindistan Çin Fransa Almanya Kanada İtalya Diğerleri %33 %24 %5 %4 %3 %3 %3 %2 %2 %2 %19 En çok kötü amaçlı URL barındıran ülke olmasıyla uyumlu olarak, Amerika Birleşik Devletleri kötü amaçlı bağlantıları en çok tıklayan kullanıcıya sahip ülke unvanının da sahibidir. 39 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti 2015 Yılı 1Ç'de En Çok Kullanılan İstenmeyen E-posta Dilleri İngilizce Çince %84,49 %1,86 Almanca Japonca Rusça %1,27 %1,15 %0,70 Portekizce İspanyolca Lehçe %0,61 %0,54 %0,43 Fransızca İtalyanca Diğerleri %0,38 %0,09 %8,48 İngilizce istenmeyen e-postalarda en çok kullanılan dil olmaya devam etti. 2015 Yılı 1Ç'de En Çok İstenmeyen E-posta Gönderilen Ülkeler ABD Rusya Çin Japonya Vietnam İtalya İspanya Arjantin İran Almanya Diğerleri %16 %5 %5 %5 %5 %4 %4 %4 %3 %3 %46 En çok kullanılan istenmeyen e-posta dilinin İngilizce olmasına uygun olarak, en çok istenmeyen e-posta gönderilen ülkeler listesinin zirvesinde Amerika Birleşik Devletleri yer almaktadır. İran Ukrayna'yı liste dışında bırakmıştır. 40 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti 2015 1Ç'de Önde Gelen Kötü Amaçlı Yazılım Aileleri Algılama Adı Sayı SALITY 86 BİN DOWNAD 83 BİN KRYPTIK 71 BİN BROWSEVIEW 69 BİN GAMARUE 65 BİN DUNIHI 49 BİN VIRUX 42 BİN UPATRE 41 BİN FORUCON 39 BİN RAMNIT 29 BİN 2015 1Ç'de Segmentlere Göre Önde Gelen Kötü Amaçlı Yazılım Aileleri Segment Kurum KOBİ Tüketici Algılama Adı Sayı DOWNAD 62 BİN SALITY 35 BİN DUNIHI 29 BİN DOWNAD 12 BİN DLOADR 11 BİN UPATRE 10 BİN KRYPTIK 61 BİN GAMARUE 38 BİN SALITY 36 BİN KRYPTIK geçtiğimiz çeyrekte önde gelen kötü amaçlı yazılımlar listesine hızlı bir giriş yapsa da, uzun süredir listenin zirvesinde yer alan SALITY ve DOWNAD'nin ayaklarını kaydıramamıştır. 41 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti 2015 1Ç'de Önde Gelen Kötü Amaçlı Reklam Yazılımı Aileleri Algılama Adı Sayı OPENCANDY 454 BİN DEALPLY 224 BİN MYPCBACKUP 183 BİN MYPCBaACKUP 142 BİN PULSOFT 122 BİN TOMOS 113 BİN MULTIPLUG 109 BİN INSTALLCORE 102 BİN ELEX 90 BİN SPROTECT 67 BİN 2015 1Ç'de Segmentlere Göre Önde Gelen Kötü Amaçlı Reklam Yazılımı Aileleri Segment Kurum KOBİ Algılama Adı OPENCANDY 68 BİN DEALPLY 46 BİN TOMOS 18 BİN OPENCANDY 29 BİN DEALPLY 23 BİN MYPCBACKUP Tüketici Sayı 8 BİN OPENCANDY 346 BİN MYPCBACKUP 156 BİN DEALPLY 135 BİN Önde gelen kötü amaçlı reklam yazılımı OPENCANDY, tüm kullanıcı segmentlerinde en çok cihaza bulaşan yazılımlar listesinin daima zirvesindedir. 42 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti 2015 1Ç'de Önde Gelen Kötü Amaçlı Android Yazılım Aileleri Danpay %14 Inoco Youm %12 %6 Agent %6 AdultPlayer Jxt %4 %4 Gexin %2 Guidead %2 AppInst FakeApp %1 %1 Diğerleri %48 Geçtiğimiz çeyrekteki en ünlü kötü amaçlı Android yazılımı Danpay olmuştur. Yöntemleri arasında zaten virüs bulaşmış cihazlara sessizce başka uygulamalar yüklerken, kötü amaçlı komutları beklemek için C&C sunucularına erişmek yer alır. 2015 1Ç'de Önde Gelen Kötü Amaçlı Android Reklam Yazılımı Aileleri AdLeak Igexin AdFeiwo Noiconads FeiwoDown Appquanta Arpush RevMob SnailCut GoYear Diğerleri %8 %7 %6 %5 %5 %4 %4 %4 %3 %3 %51 Kullanıcı gizliliğini risk altında bırakabilen uygulamalar için kullanılan genel bir Trend Micro algılama adı olan AdLeak, geçtiğimiz çeyrekte kötü amaçlı mobil yazılımlar listesinin zirvesinde yer almıştır. 43 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti 2015 1Ç'de Önde Gelen Diğer Android Tehdit Türleri %50 %48 %25 %18 %14 %14 %4 %2 0 REKLAM YAZILIMI VERİ ÇALMA UYGULAMALARI TİCARİ YAZILIM PREMIUM KÖTÜ AMAÇLI HİZMET UYGULAMA SUİSTİMALLERİ YÜKLEYİCİLER DİĞERLERİ Kötü amaçlı reklam yazılımları Android cihazlara yönelik en önemli tehdit türü olmaya devam etmiştir. Ticari yazılımlar kullanıcıları sahtekarlara para ödemeleri için kandıran PUA'lara başvurur. PUA'lar doğaları gereği kötü amaçlı değildir ama kullanıcının veri güvenliğini suistimal edebilecek ya da kullanıcının mobil deneyimini engelleyebilecek işlevlere sahip olabilir. 2015 Yılı 1Ç'de Android Tehditlerindeki Toplam Büyüme 5,4 MİLYON 6 MİLYON 4,9 MİLYON 3,8 MİLYON 4,1 MİLYON 4,3 MİLYON 4,6 MİLYON 3 MİLYON 0 EYL 2014 KAS ARA OCA 2015 ŞUB MAR Geçtiğimiz çeyrekte algıladığımız Android tehditlerinin büyük bölümü PUA olmuştur. 44 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti 2015 Yılı 1Ç'de En Çok Sayıda C&C Sunucusunun Barındırıldığı Ülkeler ABD %29 Ukrayna %9 Almanya Rusya %7 %7 Fransa %4 İngiltere Hollanda Çin Güney Kore Portekiz Diğerleri %4 %4 %3 %3 %2 %28 C&C sunucuları genel olarak Amerika Birleşik Devletleri, Ukrayna ve Almanya gibi ülkelerde yer almaktadır. C&C sunucuları uzaktan kontrol edilebildiği için, saldırganların C&C sunucularına erişmek için bu ülkelerde ikamet etmek zorunda olmadıklarını unutmayın. Bu listede yer alan ülkelerin birçoğu, kötü amaçlı URL barındıran ülkeler listesinde de yer almaktadır. Bu, söz konusu ülkelerde barındırma hizmeti ve altyapısının suistimal edildiğini gösteriyor olabilir. 2015 Yılı 1Ç'de En Çok Sayıda C&C Sunucusu Bağlantısı Olan Ülkeler ABD Japonya Avustralya %51 %9 %5 Tayvan Almanya Hindistan %4 %4 %4 Kanada Fransa Malezya %2 %2 %2 İtalya Diğerleri %1 %16 En yüksek sayıda C&C bağlantısı olan ülke Amerika Birleşik Devletleri'dir. Ne tesadüf ki, kötü amaçlı URL'leri en çok tıklayan kullanıcıya sahip ülke listesinin zirvesinde de Amerika Birleşik Devletleri yer almaktadır. Bu, kaydedilen erişim denemelerinin çoğunun, botnet bağlantılı olduğunun bir göstergesi olabilir. 45 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti 2015 Yılı 1Ç'de En Çok Sayıda İlgili C&C Sunucusuna Sahip Kötü Amaçlı Yazılım Aileleri 1,5 BİN 1316 0,75 BİN 745 385 379 TROJAN GOZEUS 348 0 CRILOCK DUNIHI ZEUS Fidye yazılımı türevleri olan CRILOCK, geçtiğimiz çeyrekte en yüksek C&C sunucu sayısına ulaşmıştır. 2015 Yılı 1Ç'de En Yüksek Kurban Sayısına Sahip Kötü Amaçlı Yazılım Aileleri 350 BİN 349 BİN 379 175 BİN 36 BİN 31 BİN PUSHDO/ WIGON CLACK 18 BİN 0 POWELIKS BADUR Büyük olasılıkla, virüslü sistemlerde gizli kalmasını sağlayan gizlilik mekanizması sayesinde, POWELIKS geçtiğimiz çeyrekteki en yüksek kurban sayısına ulaşmıştır. 46 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti Referanslar 1. U.S. Senate Committee on Homeland Security & Governmental Affairs. (14 Mayıs 2014). U.S. Senate Committee on Homeland Security & Governmental Affairs. “Permanent Subcommittee on Investigations Releases Report: ‘Online Advertising and Hidden Hazards to Consumer Security and Data Privacy.’” En son 7 Mayıs 2015 tarihinde erişilmiştir, http://www.hsgac.senate.gov/media/ permanent-subcommittee-on-investigations-releases-report-online-advertising-and-hidden-hazards-to-consumer-security-and-data-privacy. 2. Brooks Li ve Joseph C. Chen. (16 Mart 2015). TrendLabs Security Intelligence Blog. “Exploit Kits and Malvertsing: A Troublesome Combination.” En son 16 Nisan 2015 tarihinde erişilmiştir, http://blog.trendmicro.com/trendlabs-security-intelligence/exploit-kits-andmalvertising-a-troublesome-combination/. 3. Peter Pi. (2 Şubat 2015). TrendLabs Security Intelligence Blog. “Trend Micro Discovers New Adobe Flash Zero-Day Exploit Used in Malvertisements.” En son 16 Nisan 2015 tarihinde erişilmiştir, http://blog.trendmicro.com/trendlabs-security-intelligence/trend-microdiscovers-new-adobe-flash-zero-day-exploit-used-in-malvertisements/. 4. Alvin Bacani. (5 Şubat 2015). TrendLabs Security Intelligence Blog. “BEDEP Malware Tied to Adobe Zero Days.” En son 16 Nisan 2015 tarihinde erişilmiştir, http://blog.trendmicro.com/trendlabs-security-intelligence/bedep-malware-tied-to-adobe-zero-days/. 5. Trend Micro Incorporated. (20 Şubat 2015). TrendLabs Security Intelligence Blog. “Superfish Adware in Lenovo Consumer Laptops Violates SSL, Affects Companies via BYOD.” En son 16 Nisan 2015 tarihinde erişilmiştir, http://www.trendmicro.com/vinfo/ us/security/news/cybercrime-and-digital-threats/superfish-adware-in-lenovo-consumer-laptops-violates-ssl. 6. Lenovo. (19 Şubat 2015). Lenovo. “Lenovo Statement on Superfish.” En son 16 Nisan 2015 tarihinde erişilmiştir, http://news.lenovo. com/article_display.cfm?article_id=1929. 7. Vangie Beal. (2015). Webopedia. “Bloatware.” En son 20 Nisan 2015 tarihinde erişilmiştir, http://www.webopedia.com/TERM/B/ bloatware.html. 8. Seven Shen. (2 Nisan 2015). TrendLabs Security Intelligence Blog. “The Fine Line Between Ad and Adware: A Closer Look at the MDash SDK.” En son 16 Nisan 2015 tarihinde erişilmiştir, http://blog.trendmicro.com/trendlabs-security-intelligence/the-fine-linebetween-ad-and-adware-a-closer-look-at-the-mdash-sdk/. 9. Trend Micro Incorporated. (13 Şubat 2013). TrendLabs Security Intelligence Blog. “Key Figure in Police Ransomware Activity Nabbed.” En son 23 Nisan 2015 tarihinde erişilmiştir, http://blog.trendmicro.com/trendlabs-security-intelligence/key-figure-in-policeransomware-activity-nabbed-2/. 10. David John Agni. (2015). Tehdit Ansiklopedisi. “TROJ_CRYPFORT.A.” En son 16 Nisan 2015 tarihinde erişilmiştir, http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/TROJ_CRYPFORT.A. 11. Francis Xavier Antazo. (2015). Tehdit Ansiklopedisi. “PHP_CRYPWEB.A.” En son 16 Nisan 2015 tarihinde erişilmiştir, http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/PHP_CRYPWEB.A. 12. Anthony Joe Melgarejo. (1 Nisan 2015). TrendLabs Security Intelligence Blog. “Crypto-Ransomware Sightings and Trends for 1Q 2015.” En son 16 Nisan 2015 tarihinde erişilmiştir, http://blog.trendmicro.com/trendlabs-security-intelligence/crypto-ransomwaresightings-and-trends-for-1q-2015/. 13. David John Agni. (2015). Tehdit Ansiklopedisi. “TROJ_CRYPTESLA.A.” En son 16 Nisan 2015 tarihinde erişilmiştir, http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/TROJ_CRYPTESLA.A. 14. Shirley Siluk. (13 Nisan 2015). CIO Today. “Ransomware Hackers Hitting Police Departments.” En son 16 Nisan 2015 tarihinde erişilmiştir, http://www.cio-today.com/article/index.php?story_id=033001297WKR. 15. Maydalene Salvador. (24 Mart 2015). TrendLabs Security Intelligence Blog. “Macro-Based Malware Increases Along with Spam Volume, Now Drops BARTALEX.” En son 16 Nisan 2015 tarihinde erişilmiştir, http://blog.trendmicro.com/trendlabs-securityintelligence/macro-based-malware-increases-along-with-spam-volume-now-drops-bartalex/. 16. Trend Micro Incorporated. (16 Şubat 2015). TrendLabs Security Intelligence Blog. “Banking Malware VAWTRAK Now Uses Malicious Macros, Abuses Windows PowerShell.” En son 17 Nisan 2015 tarihinde erişilmiştir, http://blog.trendmicro.com/trendlabssecurity-intelligence/banking-malware-vawtrak-now-uses-malicious-macros-abuses-windows-powershell/. 47 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti 17. Rhena Inocencio. (5 Kasım 2014). TrendLabs Security Intelligence Blog. “Banking Trojan DRIDEX Uses Macros for Infection.” En son 6 Mayıs 2015 tarihinde erişilmiştir, http://blog.trendmicro.com/trendlabs-security-intelligence/banking-trojan-dridex-uses-macrosfor-infection/. 18. Joie Salvio. (19 Kasım 2014). TrendLabs Security Intelligence Blog. “ROVNIX Infects Systems with Password-Protected Macros.” En son 6 Mayıs 2015 tarihinde erişilmiştir, http://blog.trendmicro.com/trendlabs-security-intelligence/rovnix-infects-systems-with-passwordprotected-macros/. 19. Trend Micro Incorporated. (4 Mart 2015). TrendLabs Security Intelligence Blog. “FREAK Vulnerability Forces Weaker Encryption.” En son 17 Nisan 2015 tarihinde erişilmiştir, http://blog.trendmicro.com/trendlabs-security-intelligence/freak-vulnerability-forces-weakerencryption/. 20. Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Cédric Fournet, Markulf Kohlweiss, Alfredo Pironti, Pierre-Yves Strub, Santiago Zanella-Béguelin, Jean-Karim Zinzindohoué ve Benjamin Beurdouche. (2015). MiTLS. “SMACK: State Machine AttaCKs.” En son 17 Nisan 2015 tarihinde erişilmiştir, https://www.smacktls.com/#freak. 21. Tracking the FREAK Attack.” (2015). En son 30 Nisan 2015 tarihinde erişilmiştir, https://freakattack.com/. 22. Pawan Kinger. (28 Ocak 2015). TrendLabs Security Intelligence Blog. “Not So Spooky: Linux ‘GHOST’ Vulnerability.” En son 17 Nisan 2015 tarihinde erişilmiştir, http://blog.trendmicro.com/trendlabs-security-intelligence/not-so-spooky-linux-ghost-vulnerability/. 23. Trend Micro Incorporated. (20 Mart 2015). Trend Micro Security News. “Premera Blue Cross Admits to Data Breach, Exposes Records of 11 Million Patients.” En son 17 Nisan 2015 tarihinde erişilmiştir, http://www.trendmicro.com/vinfo/us/security/news/cyberattacks/premera-blue-cross-data-breach-exposes-11m-patient-records. 24. Christopher Budd. (5 Şubat 2015). Trend Micro Simply Security. “The Anthem Data Breach: What You Need to Know.” En son 17 Nisan 2015 tarihinde erişilmiştir, http://blog.trendmicro.com/what-you-need-to-know-about-the-anthem-hack/. 25. Jack Clark. (15 Haziran 2011). ZDNet. “NHS Laptop Loss Could Put Millions of Records at Risk.” En son 30 Nisan 2015 tarihinde erişilmiştir, http://www.zdnet.com/article/nhs-laptop-loss-could-put-millions-of-records-at-risk/. 26. Trend Micro Incorporated. (10 Şubat 2015). Trend Micro Security News. “Millions Affected in Anthem Breach, Healthcare Companies Prime Attack Targets.” En son 17 Nisan 2015 tarihinde erişilmiştir, http://www.trendmicro.com/vinfo/us/security/news/ cyber-attacks/millions-affected-in-anthem-breach-healthcare-companies-prime-attack-targets. 27. Miriam Quick, Ella Hollowood, Christian Miles ve Dan Hampson. (30 Mart 2015). Information Is Beautiful. “World’s Biggest Data Breaches.” En son 23 Nisan 2015 tarihinde erişilmiştir, http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breacheshacks/. 28. Identity Theft Resource Center. (2015). ITRC. “2008 Data Breaches.” En son 23 Nisan 2015 tarihinde erişilmiştir, http://www.idtheftcenter.org/ITRC-Surveys-Studies/2008-data-breaches.html. 29. Jay Yaneza. (3 Mart 2015). TrendLabs Security Intelligence Blog. “PwnPOS: Old Undetected PoS Malware Still Causing Havoc.” En son 17 Nisan 2015 tarihinde erişilmiştir, http://blog.trendmicro.com/trendlabs-security-intelligence/pwnpos-old-undetected-posmalware-still-causing-havoc/. 30. Rhena Inocencio. (29 Ağustos 2014). TrendLabs Security Intelligence Blog. “New BlackPOS Malware Emerges in the Wild, Targets Retail Accounts.” En son 23 Nisan 2015 tarihinde erişilmiştir, http://blog.trendmicro.com/trendlabs-security-intelligence/new-blackposmalware-emerges-in-the-wild-targets-retail-accounts/. 31. American Consumer Credit Counseling. (2015). ConsumerCredit.com. “Infographic: Cash Vs. Card.” En son 23 Nisan 2015 tarihinde erişilmiştir, http://www.consumercredit.com/financial-education/infographics/infographic-cash-vs-card.aspx. 32. Trend Micro Incorporated. (2014). Trend Micro Güvenlik İstihbaratı. “Cybercrime Hits the Unexpected: TrendLabs 1Q 2014 Security Roundup.” En son 23 Nisan 2015 tarihinde erişilmiştir, http://www.trendmicro.co.uk/media/misc/cybercrime-hits-theunexpected-en.pdf. 33. Lambert Sun, Brooks Hong ve Feike Hacquebord. (4 Şubat 2015). TrendLabs Security Intelligence Blog. “Pawn Storm Update: iOS Espionage App Found.” En son 17 Nisan 2015 tarihinde erişilmiştir, http://blog.trendmicro.com/trendlabs-security-intelligence/pawnstorm-update-ios-espionage-app-found/. 48 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor TREND MICRO | TrendLabs 1Ç 2015 Güvenlik Özeti 34. Cedric Pernet. (18 Mart 2015). TrendLabs Security Intelligence Blog. “Operation Woolen-Goldfish: When Kittens Go Phishing.” En son 17 Nisan 2015 tarihinde erişilmiştir, http://blog.trendmicro.com/trendlabs-security-intelligence/operation-woolen-goldfish-whenkittens-go-phishing/. 35. Trend Micro Incorporated. (27 Şubat 2015). Trend Micro Security News. “Pawn Storm in iOS Apps and Other Cases of Mobile Links in Targeted Attacks.” En son 23 Nisan 2015 tarihinde erişilmiştir, http://www.trendmicro.com/vinfo/us/security/news/mobilesafety/pawn-storm-in-ios-apps-and-other-cases-of-mobile-links-in-targeted-attacks. 36. Trend Micro Incorporated. (16 Mart 2015). Trend Micro Security News. “Exploit Kits: Past, Present and Future.” En son 17 Nisan 2015 tarihinde erişilmiştir, http://www.trendmicro.com/vinfo/us/security/news/vulnerabilities-and-exploits/exploit-kits-past-present-andfuture. 37. Peter Pi. (20 Mart 2015). TrendLabs Security Intelligence Blog. “Freshly Patched Adobe Exploit Added to Nuclear Exploit Kit.” En son 23 Nisan 2015 tarihinde erişilmiştir, http://blog.trendmicro.com/trendlabs-security-intelligence/freshly-patched-flash-exploit-addedto-nuclear-exploit-kit/. 38. Trend Micro Incorporated. (2015). Tehdit Ansiklopedisi. “Potentially Unwanted Application.” En son 30 Nisan 2015 tarihinde erişilmiştir, http://www.trendmicro.com/vinfo/us/security/definition/potentially-unwanted-app. 49 | Kötü Reklamlar ve Sıfırıncı Gün Saldırıları: Yeniden Ortaya Çıkan Tehditler Tedarik Zincirlerine ve En İyi Uygulamalara Güveni Sarsıyor Hazırlayan: TREND MICRO Küresel Teknik Destek ve Ar-Ge Merkezi TREND MICRO TM Küresel bulut güvenliği liderlerinden biri olan Trend Micro Incorporated, şirketlere ve tüketicilere yönelik Internet içeriği güvenliği ve tehdit yönetimi çözümleri ile dijital bilgi alışverişi için güvenli bir dünya yaratmaktadır. Sunucu güvenliğinde 20 yılı aşkın bir deneyime sahip öncü bir kuruluş olarak, müşterilerimizin ve ortaklarımızın gereksinimlerine uyan, yeni tehditleri daha hızlı durduran ve fiziksel, sanallaştırılmış ve bulut ortamlarındaki verileri koruyan, en iyi istemci, sunucu ve bulut tabanlı güvenlik çözümlerini sunuyoruz. Trend Micro™ Smart Protection Network™ altyapısı tarafından desteklenen endüstri lideri bulut bilgi işlem güvenlik teknolojimiz, ürünlerimiz ve hizmetlerimiz tehditleri ortaya çıktıkları yer olan İnternet'te durdurur ve dünyanın farklı yerlerindeki 1000'in üzerinde tehdit istihbarat uzmanı tarafından desteklenir. Daha fazla bilgi için, www.trendmicro.com adresini ziyaret edin. ©2015 Trend Micro, Incorporated. Tüm hakları saklıdır. Trend Micro ve Trend Micro t-ball logosu, Trend Micro, Incorporated'ın ticari markaları ya da tescilli ticari markalarıdır. Tüm diğer şirket veya ürün isimleri sahiplerinin ticari markaları ya da tescilli ticari markaları olabilirler.