EN

Kripto Madencilik Zararlısı KingMiner Windows Sunucuları Hedef Alıyor

03 Aralık 2018

 

Bulaştığı sistemlerin CPU kaynaklarını kripto para üretimi için illegal ve gizli bir şekilde kullanan Cryptojacking gibi mining teknikleri son dönemde iş dünyasını da daha fazla hedef almaya başlamış durumda. Her üç kurumdan birinin Cryptojacking saldırılarına maruz kaldığı belirtiliyor.

Ethereum Blockchain platformu ve Monero kripto para sistemi için mining yapan Cryptojacking, CPU kullanımı sınırlı olduğunda tespit edilmesinin zor olması ve kripto paranın gerçek zamanlı olarak saldırganlara aktarılması gibi nedenlerden dolayı son zamanlarda siber suçlular tarafından daha fazla kullanılmaya başladı.

Cryptojacking zararlılarından olan ve ilk defa geçen Haziran ayında ortaya çıkarılan yeni KingMiner varyantı genel olarak Microsoft IIS/SQL sunucularını hedef alıyor. KingMiner zararlısının sunucuyu ele geçirmek için gerekli olan giriş bilgilerini kaba kuvvet (brute-force) saldırıları ile elde ettiği belirtiliyor.

Erişim sağlandığında ise kurban makinenin CPU mimarisini tespit ederek bu CPU’ya özel bir payload’u download etmek gibi işlemleri gerçekleştiren .sct uzantılı bir Windows Scriptlet dosyası indirilip çalıştırılıyor. Malware analizlerinde kullanılan ve zararlının gerçek çalışma ortamında etkileşime geçeceği her türlü bileşeni geçici olarak oluşturan Emulation tekniğini atlatma yöntemlerine de sahip olan bu betik ziplenmiş bir XML dosyasından oluşmaktadır.  Yeni Windows registry anahtarları oluşturan ve Monero kripto sistemi için geliştirilen XMRig miner dosyasını çalıştıran zararlı CPU kaynaklarının %70’ini harcayacak şekilde yapılandırılmış, ancak kod hatalarından dolayı aslında %100’lük bir CPU kullanımı söz konusu.

Atağı gerçekleştiren siber suçluların tespitini zorlaştırmak amacıyla KingMiner zararlısına ait madencilik havuzları(mining pool) kamuya kapalı (private) hale getirilmiş ve API kapatılmış durumda. Ayrıca dijital cüzdanın açık madencilik havuzlarında hiçbir şekilde kullanılmadığı belirtiliyor. Tüm bunlar saldırılarda hangi domainlerin kullanıldığını ve saldırılarda ne kadar Monero coin üretildiğini saptamayı zorlaştırıyor.

Analiz sonuçları dün(29 Kasım 2018) CheckPoint güvenlik firmasına ait blogta[1] yayınlanan KingMiner zararlısının emulation ve tespit sistemlerini atlatma konusunda daha iyileştirilmiş varyantları ile geldiği ve bunun tespit oranlarını düşürdüğü belirtiliyor. Sürekli yenilenme özelliği nedeniyle zararlının gelecekte yaygın görülen bir tehdit haline gelebileceği belirtiliyor.

Kaynak:

[1] https://research.checkpoint.com/kingminer-the-new-and-improved-cryptojacker/

[2]https://www.zdnet.com/article/kingminer-cryptojacker-returns-now-new-and-improved/

Penetrasyon Testi

Sızma testlerinde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılır.

Penetrasyon Testi Paketlerimiz
Penetrasyon Testi Paketlerimiz
Dışarıdan Penetrasyon Testi Pentest RemoteShell, BeyazNet Pentest Standart Pentest Exploit One, BeyazNet Pentest Pro Pentest Injection Plus, BeyazNet Pentest Pro Plus Pentest ZeroDay Enterprise
Farklılıklarımız
Farklılıklarımız
Alanında lider lisanslı test araçları (Acunetix, NetSparker, Nexpose, BurpSuite, Nessus vb.), DB Vulnerability Scanner ürünü ile veri tabanlarının içerden taranması, DNS Firewall ile DNS trafiği izlenerek zararlı yazılım bulaşmış makinaların tespiti
BeyazNet Pentest Hizmetimiz
BeyazNet Pentest Hizmetimiz
Firmamızın uzman ve sertifikalı ekibi detaylı incelemeler yaparak ağ, sistem ve yazılım katmanındaki zayıflıkları maksimum seviyede tespit etmektedir
Penetrasyon Testi
Göç'e Hazır mısınız?

Tüm alışkanlıklarımızdan, tüm bağımlılıklarımızdan, tüm sıkıntılarımızdan, daha güvenli özgür yazılımlara göç etmek için yanınızdayız.

Planlama neden çok önemli?
Planlama neden çok önemli?
Linux sistemler, Windows'tan çok farklı olduğu için ancak sağlıklı bir planlama ile göç mümkündür.
Güncelleme ve Şifre Sunucusu
Güncelleme ve Şifre Sunucusu
Göç için kurduğumuz sunucular sayesinde işletim sistemleri güncel ve güvenli kalıyor.
Linux Göç
Geçmişe dair kuşkularınız mı var?

TaliaStamp kullanarak, geçmişte edindiğiniz belgeleri damgalayabilir, böylece varlıklarını hukuki olarak garanti altına alabilirsiniz. Damgalayarak sunduğunuz belgenin inkar edilmesi halinde, bu belgenin en azından damgalandığı zamanda var olması sebebiyle belgenin geçmiş zamanda varlığını kanıtlayabilirsiniz.

TaliaStamp
TaliaBee ile cihazlarınıza hükmedin

Kullanıcı dostu bir arayüz ve diğer uygulamalarla iletişim kurabilme desteği sağlayan TaliaBee, sizin olmadığınız ortamlarda uzaktan kontrol edilebilir çıkışları sayesinde elleriniz, sensör bağlayabileceğiniz girişleri sayesinde duyularınız olur.

TaliaBee
İnternet Kontrol Altında

TaliaLog kullanarak, internet paylaşımına dair yasanın gerektirdiği kayıtları tutabilir ve internet erişiminizi istediğiniz kişilerle rahatça paylaşabilirsiniz. İnternetinizi paylaştığınız kişiler, erişim bilgileri ile kayıt altına alınır.

TaliaLog