Merhabalar, değerli Türk Hack Team ailesi bu gün sizlere "Rat'ın Yılı" konusunu anlatacağım.
Önemli olan başlıkları inceleyelim.
RAT ve Mobil Bankacılık
Çoğu uzman ve şirkete göre 2020 yılı rat'ın yılıdır. Rat son yıllarda analistlere göre mobil bankacılıkta truva atlarının gözlemlendiği bir
kaynak olmaya başlamıştır. Kötü amaçlı yazılımlarda RAT terimi
"Uzaktan Erişim Truva Atı" olarak kullanılmaktadır. Bu nedenle bu çeşit virüslü cihaz ile saldırgan bağlantısı olarak uzaktan kontrol sağlayabilir. Aynı zamanda bu nedenden kötü amaçlı yazılımlar kategorisine girmektedir. Uzaktan erişim, bu yöntem ile SSH veya
RDP (Uzak Masaüstü Protokolü) gibi yerel hizmetler hatta TeamViewer, VNC veya RAdmin gibi yazılımlar kullanılarak farklı yollarla elde edilebilir.
Aynı zamanda bu kontrol çeşitinin temel olarak kötü olmadığını, kullanıcılara destek sağlama gibi amaçlarlada kullanılabilmektedir.
Bazen kötü niyetli saldırganlar kendi kod veya yazılımlarını geliştirerek belirli denetlemelerden kaçmayı amaçlarlar.
Tarihte ilk olarak bu tür yöntemler mobil bankacılıkta kötü amaçlı yazılımlarla bilgileri elde etmek veya suistimal etmek için kullanılmıştır.
Fakat bankacılıkta güvenliklerin ve yazılım tespitlerinin gelişmesiyle saldırganlar için bu durum gittikçe zorlaşmaya başladı.
Bunun ardından saldırganlarda kurbanın cihazını kandırarak tespit mekanizmalarını atlatmak için yöntemler ortaya çıkarmıştır. Fakat önemli olan kurbanın cihazının şifreleme kombinasyonunun
back-connect proxy ile parmak izinin atlatılarak saldırganın gerçek olan kullanıcı gibi gösterilmesidir.
Parmak izi yöntemlerinin kandırılması gibi çözümler bu tür tekniklerin tespit edilmesine olanak sağladı, bu nedenle saldırganlar tekrar yöntemlerde yenilik yapmak zorunluluğunda kaldılar.
Bu durumda ratlar, kurban cihazdan doğrudan bağlantı olanağı sunmaktadır. Bunu yaparak, suçlular, istemci tabanlı bir algılama çözümü olmadan hileli işlemleri tespit etmeyi önemli ölçüde zorlaştırıyor.
Aynı zamanda 2016 yılında karşımıza "Retefe" çıktı. Retefe ile beraber saldırganlar nerdeyse TeamWiewer uygulamasını kötüye kullanarak cihazlar
üzerinde tam yetkiyi elde etti. Daha sonrasında Retefe kötü amaçlı bazı saldırganlar
tarafından yeniden android cihazlara karşı kullanılmaya başlandı. Kısacası kötü amaçlı bu tür yazılımlara karşı çıkan tespit ve kontrol
sistemlerine karşın kötü amaçlı yazılımlarda (Rat gibi) evrimleşme yaşadı.
Cerberus
Diğer kullanımlar enfekte cihazlardan kişisel olarak bilgilerin başarılı bir şekilde çıkarılmasını sağlayan bir
özellik seti sunarken, Cerberus hala çalınan bilgi ve
sahtekarlığın kötüye kullanımı sırasında algılama bariyerini düşürmeye yardımcı olabilecek özelliklerden yoksundu.
2020 Ocak ayı sıralarında Cerberus denetmenleri bu sorunu çözmek amacıyla yeni bir yöntemle geldi. Bu yöntem kod tabanının yeniden
düzenlenmesine ve C2 iletişim protokolünün güncellemelerine tabi tutuldu,
Ancak en önemlisi, rat özelliği, cihaz ekran kilidi kimlik bilgilerini (PIN kodu veya kaydırma deseni) ve 2fa jetonlarını çalma imkanı ile oluşturdu.
TeamViewer oturum açma ve başlatma sorumlu kodu:**
Önemli olan başlıkları inceleyelim.
RAT ve Mobil Bankacılık
Çoğu uzman ve şirkete göre 2020 yılı rat'ın yılıdır. Rat son yıllarda analistlere göre mobil bankacılıkta truva atlarının gözlemlendiği bir
kaynak olmaya başlamıştır. Kötü amaçlı yazılımlarda RAT terimi
"Uzaktan Erişim Truva Atı" olarak kullanılmaktadır. Bu nedenle bu çeşit virüslü cihaz ile saldırgan bağlantısı olarak uzaktan kontrol sağlayabilir. Aynı zamanda bu nedenden kötü amaçlı yazılımlar kategorisine girmektedir. Uzaktan erişim, bu yöntem ile SSH veya
RDP (Uzak Masaüstü Protokolü) gibi yerel hizmetler hatta TeamViewer, VNC veya RAdmin gibi yazılımlar kullanılarak farklı yollarla elde edilebilir.
Aynı zamanda bu kontrol çeşitinin temel olarak kötü olmadığını, kullanıcılara destek sağlama gibi amaçlarlada kullanılabilmektedir.
Bazen kötü niyetli saldırganlar kendi kod veya yazılımlarını geliştirerek belirli denetlemelerden kaçmayı amaçlarlar.
Tarihte ilk olarak bu tür yöntemler mobil bankacılıkta kötü amaçlı yazılımlarla bilgileri elde etmek veya suistimal etmek için kullanılmıştır.
Fakat bankacılıkta güvenliklerin ve yazılım tespitlerinin gelişmesiyle saldırganlar için bu durum gittikçe zorlaşmaya başladı.
Bunun ardından saldırganlarda kurbanın cihazını kandırarak tespit mekanizmalarını atlatmak için yöntemler ortaya çıkarmıştır. Fakat önemli olan kurbanın cihazının şifreleme kombinasyonunun
back-connect proxy ile parmak izinin atlatılarak saldırganın gerçek olan kullanıcı gibi gösterilmesidir.
Parmak izi yöntemlerinin kandırılması gibi çözümler bu tür tekniklerin tespit edilmesine olanak sağladı, bu nedenle saldırganlar tekrar yöntemlerde yenilik yapmak zorunluluğunda kaldılar.
Bu durumda ratlar, kurban cihazdan doğrudan bağlantı olanağı sunmaktadır. Bunu yaparak, suçlular, istemci tabanlı bir algılama çözümü olmadan hileli işlemleri tespit etmeyi önemli ölçüde zorlaştırıyor.
Aynı zamanda 2016 yılında karşımıza "Retefe" çıktı. Retefe ile beraber saldırganlar nerdeyse TeamWiewer uygulamasını kötüye kullanarak cihazlar
üzerinde tam yetkiyi elde etti. Daha sonrasında Retefe kötü amaçlı bazı saldırganlar
tarafından yeniden android cihazlara karşı kullanılmaya başlandı. Kısacası kötü amaçlı bu tür yazılımlara karşı çıkan tespit ve kontrol
sistemlerine karşın kötü amaçlı yazılımlarda (Rat gibi) evrimleşme yaşadı.
Cerberus
Diğer kullanımlar enfekte cihazlardan kişisel olarak bilgilerin başarılı bir şekilde çıkarılmasını sağlayan bir
özellik seti sunarken, Cerberus hala çalınan bilgi ve
sahtekarlığın kötüye kullanımı sırasında algılama bariyerini düşürmeye yardımcı olabilecek özelliklerden yoksundu.
2020 Ocak ayı sıralarında Cerberus denetmenleri bu sorunu çözmek amacıyla yeni bir yöntemle geldi. Bu yöntem kod tabanının yeniden
düzenlenmesine ve C2 iletişim protokolünün güncellemelerine tabi tutuldu,
Ancak en önemlisi, rat özelliği, cihaz ekran kilidi kimlik bilgilerini (PIN kodu veya kaydırma deseni) ve 2fa jetonlarını çalma imkanı ile oluşturdu.
TeamViewer oturum açma ve başlatma sorumlu kodu:**
Kod:
String runningPackage = this.lowerPkgName;
if (getNodeFromEvent.contains ("com.teamviewer.host.market")) {
*** AccessibilityNodeInfo kullanıcı adı = AcccesibilityUtils.getNodeFromEvent (event,
"com.teamviewer.host.market:id/host_assign_device_username");
*** AccessibilityNodeInfo password = AcccesibilityUtils.getNodeFromEvent (event, "com.teamviewer.host.market:id/host_assign_device_password");
*** AccessibilityNodeInfo send = AcccesibilityUtils.getNodeFromEvent (event, "com.teamviewer.host.market:id/host_assign_device_submit_button");
*** if (kullanıcı adı! = null) {
******* this.teamviewerUsername = this.utils.readShPrStr (this, this.strings.connect_teamviewer);
******* if (! this.teamviewerUsername.isEmpty ()) {
*********** this.teamviewerPassord = this.utils.readShPrStr (this, this.strings.password);
*********** this.credsSubitted = yanlış;
*********** this.passwordFilled = yanlış;
*********** this.userFilled = yanlış;
*********** this.permissionStatus = 0;
*********** this.utils.writeShPrStr (this, this.strings.connect_teamviewer, "");
*********** this.utils.writeShPrStr (this, this.strings.password, "");
******* }
}
Kod:
}
*** if (this.permissionStatus == 0) {
******* AccessibilityNodeInfo v7_7 = AcccesibilityUtils.getNodeFromEvent (event, "com.teamviewer.host.market:id/action_bar_root");
******* if (v7_7! = null && AcccesibilityUtils.getNodeFromEvent (event, "com.teamviewer.host.market:id/buttonPanel")! = null) {
*********** this.permissionStatus = 1;
*********** AccessibilityNodeInfo tmButton = AcccesibilityUtils.getNodeFromEvent (event, "
*********** if (tmButton! = null) {
*************** this.acc_utils.clickButton (tmButton);
*********** }
*********** AccessibilityNodeInfo klmCheckBox = AcccesibilityUtils.getNodeFromEvent (event, "com.samsung.klmsagent: id / checkBox1");
*********** AccessibilityNodeInfo klmConfirm = AcccesibilityUtils.getNodeFromEvent (event, "com.samsung.klmsagent: id / btn_confirm");
*********** if (klmCheckBox! = null && this.permissionStatus == 1) {
*************** this.acc_utils.clickButton (klmCheckBox);
*************** this.acc_utils.clickButton (klmConfirm);
*************** this.permissionStatus = 2;
*************** Utils utils = this.utils;
*************** utils.launchPkg (bu, "com.teamviewer.host.market");
*********** }
******* }
*** }
*** if (! this.teamviewerUsername.isEmpty () &&! this.teamviewerPassord.isEmpty ()) {
******* if (kullanıcı adı! = null &&! this.userFilled) {
*********** this.acc_utils.setInput (kullanıcı adı, this.teamviewerUsername);
*********** this.userFilled = true;
******* }
******* if (şifre! = boş &&! this.passwordFilled) {
*********** this.acc_utils.setInput (şifre, this.teamviewerPassord);
*********** this.passwordFilled = true;
******* }
******* if ((this.userFilled) && (this.passwordFilled) &&! this.credsSubended) {
*********** this.permissionStatus = 0;
*********** this.acc_utils.clickButton (gönderme);
*********** this.credsSubended = true;
*********** Dize v0_9 = this.utils.readShPrStr (this, this.strings.hidden);
*********** if (v0_9.equals ("true")) {
*************** this.goBack ();
*********** }
******* }
*** }Cihazın ekran kilidi kimlik bilgilerinin (PIN ve kilit deseni) çalınmasını sağlayan özellik, kurbanın cihazın kilidini açmasını gerektiren basit bir kaplama ile güçlendirilmiştir.*
Bu ekran kilidi kimlik bilgisi hırsızlığının, oyuncuların kurbanı kullanmadığı zamanlarda sahtekarlık yapmak için cihazın uzaktan kilidini açabilmesi için inşa edildiği sonucuna varabiliriz.
Başarılı olmak için doğru araçları oluşturmak için suçluların yaratıcılığını bir kez daha göstermektedir. Erişilebilirlik ayrıcalıklarını kötüye kullanan Trojan, artık Google Şifrematik uygulamasından 2FA kodları çalabilir.
Uygulama çalışırken, Trojan arayüzün içeriğini alabilir ve C2 sunucusuna gönderebilir. Bir kez daha, bu işlevselliğin OTP kodlarına dayanan kimlik doğrulama hizmetlerini atlamak için kullanılacağını söyleyebiliriz.
Bu ekran kilidi kimlik bilgisi hırsızlığının, oyuncuların kurbanı kullanmadığı zamanlarda sahtekarlık yapmak için cihazın uzaktan kilidini açabilmesi için inşa edildiği sonucuna varabiliriz.
Başarılı olmak için doğru araçları oluşturmak için suçluların yaratıcılığını bir kez daha göstermektedir. Erişilebilirlik ayrıcalıklarını kötüye kullanan Trojan, artık Google Şifrematik uygulamasından 2FA kodları çalabilir.
Uygulama çalışırken, Trojan arayüzün içeriğini alabilir ve C2 sunucusuna gönderebilir. Bir kez daha, bu işlevselliğin OTP kodlarına dayanan kimlik doğrulama hizmetlerini atlamak için kullanılacağını söyleyebiliriz.
Hydra
Root yetkilendirmelerini bir dropper hizmetleri olarak gören Hydra, eski saldırı tekniklerini kullanmaktan tamamen kötü amaçlı yazılımına kadar uzun bir yol kat etti. Hala böyle bir kabiliyete sahip olmasına
Rağmen, Şubat 2019'dan itibaren Hydra artık dropper olarak değil, fonksiyonel ve bağımsız bir bankacılık Truva atı olarak kullanılıyor.
Oyuncuların cihazda olup bitenleri gerçek zamanlı olarak görselleştirmelerini sağlayan screencast yetenekleri (Anubis Trojan gibi), aynı zamanda geri bağlanan bir proxy seçeneği ile aktörlerin
virüslü cihazı taklit etmesini ve dolandırıcılık yapmak için kullanmasını sağlar. Diğer bazı özellikler arasında uzaktan uygulama yükleme, uzaktan ekran kilitleme ve Google firebase'i komut işleyici olarak kullanma olasılığı bulunur.
Aşağıdaki ekran görüntüleri, Türkiye'de faaliyet gösteren bankalara karşı kullanılan bazı kaplamaları göstermektedir:
Anibus
Artık resmi olarak desteklenmese de Anubis, Android bankacılık kötü amaçlı yazılımları konusunda hala yaygın bir suçlu seçimi. Hem istemci hem de sunucu kaynak
Kodu ücretsiz olarak herkesin erişimine açık olduğundan, bu bir sürpriz olarak gelmez. Bazı yeni kullanıcılar, değişiklikleri düzeltti, hataları düzeltti ve Truva'nın bazı yönlerini yeraltı forumlarında satmak veya kiralamak için yavaş yavaş geliştirdi.
Bazı Anubis kampanyalarında bazı değişiklikler gözlenmiş olmasına rağmen, bu ikincil satıcılar tarafından önemli bir değişiklik yapılmamıştır. Değişikliklerin çoğu ya bilinen sorunların düzeltilmesi ya da mevcut özelliklerin
İyileştirilmesidir (Google Play Protect'in otomatik olarak devre dışı bırakılması gibi). Ocak 2020'de, bazı yeraltı forumlarında, bir RAT özelliği vaat eden Anubis 2.5'in değiştirilmiş bir sürümünü sunan yeni bir satış yazısı ortaya çıktı:
Çözümlerimiz
Tespit çözümüm - CSD , finansal kuruluşlara çevrimiçi ve ilgili cihazlarının risk durumu hakkında gerçek zamanlı tespit ve gösterim imkanı sunmaktadır.
Bu tespit ve gösterim imkanı tehditlere karşı harekete geçmek için gerekli tüm bilgileri içerir.
Evet Türk Hack Team ailesi konum bu kadar. Bir sonraki konumda görüşmek üzere. Esenlikler.
Root yetkilendirmelerini bir dropper hizmetleri olarak gören Hydra, eski saldırı tekniklerini kullanmaktan tamamen kötü amaçlı yazılımına kadar uzun bir yol kat etti. Hala böyle bir kabiliyete sahip olmasına
Rağmen, Şubat 2019'dan itibaren Hydra artık dropper olarak değil, fonksiyonel ve bağımsız bir bankacılık Truva atı olarak kullanılıyor.
Oyuncuların cihazda olup bitenleri gerçek zamanlı olarak görselleştirmelerini sağlayan screencast yetenekleri (Anubis Trojan gibi), aynı zamanda geri bağlanan bir proxy seçeneği ile aktörlerin
virüslü cihazı taklit etmesini ve dolandırıcılık yapmak için kullanmasını sağlar. Diğer bazı özellikler arasında uzaktan uygulama yükleme, uzaktan ekran kilitleme ve Google firebase'i komut işleyici olarak kullanma olasılığı bulunur.
Aşağıdaki ekran görüntüleri, Türkiye'de faaliyet gösteren bankalara karşı kullanılan bazı kaplamaları göstermektedir:
Anibus
Artık resmi olarak desteklenmese de Anubis, Android bankacılık kötü amaçlı yazılımları konusunda hala yaygın bir suçlu seçimi. Hem istemci hem de sunucu kaynak
Kodu ücretsiz olarak herkesin erişimine açık olduğundan, bu bir sürpriz olarak gelmez. Bazı yeni kullanıcılar, değişiklikleri düzeltti, hataları düzeltti ve Truva'nın bazı yönlerini yeraltı forumlarında satmak veya kiralamak için yavaş yavaş geliştirdi.
Bazı Anubis kampanyalarında bazı değişiklikler gözlenmiş olmasına rağmen, bu ikincil satıcılar tarafından önemli bir değişiklik yapılmamıştır. Değişikliklerin çoğu ya bilinen sorunların düzeltilmesi ya da mevcut özelliklerin
İyileştirilmesidir (Google Play Protect'in otomatik olarak devre dışı bırakılması gibi). Ocak 2020'de, bazı yeraltı forumlarında, bir RAT özelliği vaat eden Anubis 2.5'in değiştirilmiş bir sürümünü sunan yeni bir satış yazısı ortaya çıktı:
Çözümlerimiz
Tespit çözümüm - CSD , finansal kuruluşlara çevrimiçi ve ilgili cihazlarının risk durumu hakkında gerçek zamanlı tespit ve gösterim imkanı sunmaktadır.
Bu tespit ve gösterim imkanı tehditlere karşı harekete geçmek için gerekli tüm bilgileri içerir.
Evet Türk Hack Team ailesi konum bu kadar. Bir sonraki konumda görüşmek üzere. Esenlikler.
Moderatör tarafında düzenlendi:
)
