(Kaynak : Security Affairs | Orjinal Makale | Yazan : Pierluigi Paganini  | Çeviri : Bilge Kaya )

Petrol ve gaz şirketleri önemli ölçüde siber atakların hedefi durumundalar. Her geçen gün siber suçlular, devlet destekli saldırganlar ve hacktivisitler enerji sektörünün alt yapı güvenliğini tehdit etmekte.

Dünya çapında petrol ve gaz şirketlerine yapılan siber casusuluk ve sabotaj saldırılarının sayısı düzenli olarak artmakta. Fikri mülkiyet hırsızlığı ve zararlı yazılımların sebep olduğu zararlar ile birlikte maddi kayıplar da büyümekte.

Körfez İşbirliği Konseyi (GCC) üyesi petrol ve gaz şirketleri, kritik üretim süreçlerinin kontrolünde teknolojinin kullanımının yüksek seviyede olması nedeniyle siber ataklar karşısında çok savunmasız olduğu düşünülüyor.

Enerji sektöründe meydana gelmiş en bilindik zararlı yazılım olaylarından biri, petrol üreticisi Saudi Aramco’nun ağındaki yaklaşık 30.000 bilgisayara bulaşmış bir vürüs olan Shamoon isimli zararlı yazılım kaynaklıdır.

energy-industry

Güvenlik uzmanları, Shamoon zararlı yazılımının, İranlı siber birimler tarafından enerji sektörüne darbe vurmak için tasarlanmış bir siber silah olduğuna inanmaktadır.

Saudi Aramco, siber saldırı sonucu darbe almış olan tek enerji şirketi değildir. Katar RasGas da hackerlar tarafından saldırıya uğramıştır.

 

Bugünlerde Booz Allen Hamilton’da başkan yardımcısı olan, Birleşik Devletler eski milli istihbarat yöneticisi (Director of National Intelligence – DNI) McConnell şu açıklamayı yapmıştır:

“Büyük olasılıkla her büyük bilgisayar sistemi kendi içerisinde rakiplerce yerleştirilmiş bir zararlı yazılım barındırır.” “Dünyadaki petrol üretiminin büyük bir kısmı bu bölgede yapılmaktadır ve teknolojilerin amacı bu üretimi daha verimli hale getirmektir.” “Otomasyon seviyesini ve bilgi teknolojilerinin kullanımını arttırmak, sadece güvenlik zafiyetlerini arttırmaktadır.” “Dünyada 180’den fazla ulus var, bunların 150 ila 160 tanesinde zafiyetleri istismar kabiliyeti mevcut.” “Ulus devletler, tehdit düzeylerini anlamak için birbirlerinin açıklarını istismar ediyorlar. Çoğu kendi etki alanlarına ve etraflarındaki ülkelere bakıyorlar. Pakistanlılar, en çok Hintlilere ve Afganlılara saldırmakla ve onların zafiyetlerini istismar etmekle ilgileniyor.”

 

Kaspersky araştırmacıları, Temmuz ve Eylül ayları arasında Birleşik Arap Emirlikleri’ndeki kullanıcıların %26.4 ünü etkileyen 1.2 milyon adet internet kaynaklı zararlı yazılım olayı tespit etmiştir.

Enerji altyaplarını korumak ortak bir problem. Bir nükleer santrale ya da rafineriye hasar verildiğini düşünelim, siber saldırıların çevre üzerinde ciddi etkileri olabilir.

Temmuz ayında US ICS-CERT, özellikle enerji sektöründe yer alan kontrol sistemlerini hedefleyen saldırılarda büyük bir artış olduğunu ortaya koyan bir rapor yayınladı.  CERT tarafından toplanan verilerde, saldırıların %53 (111)’ünün enerji sektörünü hedef aldığı ve genellikle kontrol sistemlerini vurduğu görülmektedir. Rapora göre, saldırganlar saldırıları gerçekleştirirken “watering hole” (sızdırma), SQL enjeksiyonu, “spear phishing” (nokta hedefli oltalama) gibi çok çeşitli teknikleri saldırılarına dahil etmişler.

ICS-CERT-Monitor-Report-Energy-sector

Anonymous bir ay önce, Batı’nın dünya kaynaklarına hakimiyetini protesto eden OpPetrol adını verdiği bir kampanya yürüttü. Hactivistler enerji sektörünü hedef aldılar ve petrol piyasasında para birimi olarak Amerikan dolarının kabul görmesini protesto ettiler, fakat saldırıların ciddi sonuçları olmadı.

Enerji sektörüne yönelik siber saldırıların bir çoğu fark edilemeyebilir. Bir çok olayda saldırganlar ilerideki saldırıları için uzun bir süre boyunca sadece kurbanlarını gözetleyerek değerli bilgiler toplayabilir. Enerji sektörünün ağlarına sızan zararlı yazılımlar fark edilmemek üzere tasarlanmıştır. Örneklerin bir çoğunda hedefin Orta Doğu’da faaliyet gösteren firmaların fikri mülkiyet haklarının çalınması ve bilgilerinin istismar edilmesi olduğu görülmektedir.

Çinli hackerlar, özellikle siber casusuluk profilinde, enerji sektörünün karşı karşıya olduğu en ısrarlı ve tehlikeli tehdit.

Kaspersky tarafından hazırlanan rapora göre hedefli saldırılar bir firmayı 2.4 milyon dolara varan zararlara uğratabilmekte. Bu korkutucu seneryoya rağmen şirketler hala güvenlik önlemlerini azaltılması gereken bir maliyet olarak düşünmekteler. Conell, bir firmanın IT bütçesinin en az  %5 ila %10’unu siber güvenlik önlemlerine ayırması gerektiğini belirtmiştir.

“Yerel tehditler – genellikle zararlı yazılımın USB, CD ve DVD’ler aracılığyla yayılmasını sağlayan çevrimdışı metodlar – Birleşik Arap Emirliklerindeki bilgisayarların %40’tan fazlasını etkilemiş, 17.4 milyon zararlı yazılım olayına neden olmuştur.”

 

Rusya, ABD ve İngiltere dünyadaki en güçlü siber sistemlere sahip ülkeler fakat bu ülkelerin hükümetleri siber saldırılara ilişkin risklerin ve enerji sektörünün kritik altyapılarına daha çok yatırım yaparak korunması gerektiğinin farkındalar.

Giriş: Zararlı Kod Analizi

Zararlı Yazılımlar (virus, worm, rootkit vb.) komplike saldırılarda yer alan en önemli unsurlardan biridir. Özellikle APT (Advanced Persistent Threat) adı verilen ve bir çok farklı vektörün kullanıldığı saldırılarda “Zararlı Yazılımlar” saldırgan tarafından kullanılan vazgeçilmez araçlardandır.

Zararlı Yazılımlar, çoğunlukla organize suç şebekeleri tarafından konu hakkında ileri seviye bilgisi olan kişilere hazırlatılmaktadır. Hedefe yönelik hazırlanan zararlı yazılımlar, belli bir amaca ulaşabilmek için çeşitli güvenlik mekanizmalarını atlatabilmelidir.

Bu durum, zararlı yazılımların içerisinde kullandıkları teknik ve yapıların karmaşık olduğu anlamına gelmektedir. Bu neden zararlı kod analizi zor ve meşakatli bir iş olmakla birlikte, ileri seviye teknik bilgi gerektirmektedir.

APT ve Hedef

HIKIT, Mandiant tarafından keşfedilen ve uzaktan sistemin kontrolünü ele geçirmeye yarayan bir tür zararlı yazılımdır. HIKIT, gelişmiş bir zararlı yazılım olan ve işlevselliğini tamamen çekirdek seviyesinde gerçekleştiren istihbarat toplama amaçlı bir yazılımdır.

Burada ilginç olan bu zararlı yazılımın “istihbarat” amacının tamamen Amerika Birleşik Devletleri Savunma Bakanlığının anlaşmalı/müteahhit firmalarına ait verilerin toplanmasıdır. Aralarında SBIR/STTR listesinde yer alan bazı firmalarında bulunduğu organizasyonlar hakkında çeşitli verilerin toplanmasına yönelik faaliyetler yürütmektedir.

Teknik Analiz

HIKIT üzerinde teknik analiz yapmak için elimizde sadece “oci.dll” isimli tek bir obje var. “oci.dll” isimli dosyanın herhangi bir sıkıştırılma sürecinden geçmediğini teyit ettik. Bu obje üzerinden gittiğimizde karşımıza mevcut çalıştırılabilir dosya içerisinde farklı isimlerde dosya olduğunu görüyoruz. Öncesinde zararlı yazılımın içerisinde bulunan ilginç bir "string" veri dikkatimizi çekiyor.

h:\\JmVodServer\\hikit\\bin32\\RServer.pdb

Yukarıdaki veri, zararlı yazılımı geliştiren kişinin bilgisayarında bulunan ve zararlı yazılıma ait "debug" sembolleri içeren dosyadır. Zararlı yazılıma geliştirici tarafından verilen isimin "RServer" olduğunu ve geliştiricinin bilgisayarındaki lokasyonu görebiliyoruz. Bu bilgiden sonra zararlı yazılımın geliştirilme sürecine ait adımlar aşağıdaki gibidir.

  • Zararlı yazılım ilk adım olarak bir “dropper” sayesinde “oci.dll”  isimli dosyayı yükler.
  • DLL imzalanmış (driver) modülü sisteme çekirdek (kernel-level) seviyesinde yükler.
  • Çekirdek (kernel-level) seviyesinden yüklenen modül saldırgandan komut bekler.

image003

Yukarıdaki adımların nasıl gerçekleştiği şekilde görüntülenmiştir. Kullanıcılara çeşitli yollarla bulaşan zararlı yazılım “proxy” arkasından bağlanan saldırgan ile haberleşmeyi beklemektedir.

Tüm bu süreçlerin ardından elimizde bulunan veriler ile analiz işlemine başlayabiliriz. Herşeyden önce çalıştırılabilir dosya hakkında en temel bilgilere ihtiyacımız var. Tüm bunları gerçekleştirmek için zararlı yazılımı, en temel adımlardan başlayarak analiz etmeye başlayabiliriz.

image004

Yukarıdaki resimde görüldüğü gibi “oci.dll” dosyası “w2fw.sys” isimli bir dosya barındırıyor. Böylece zararlı yazılımın bir rootkit içerdiğini daha net olarak görebiliyoruz. Rootkit yazılımları çekirdek seviyesinde çalışmaktadır analiz süreci diğer (use-mode) zararlı yazılımlara kıyasla daha zordur.

image005

Kod İmzalama Mekanizması

Aşağıdaki aktivitelerden bahsetmeden önce bilinmesi gereken konu kod imzalama (code signing) mantığıdır. Microsoft, çekirdek (kernel level) seviyesinde çalıştırılacak modüllerin güvenilir olduğunu belirlemek için kod imzalama denen tekniği kullanır. Bunun anlamı çekirdeğe yüklenen modülün güvenilir bir modül olduğunu ve onaylandığını bildirmektir.

image006

Analiz süreincde rastladığımız ilginç olay, *.inf uzantılı dosyaların, GlobalSign sertifikaları sayesinde imzalanmış olmasıdır. GlobalSing 2011 yılında bir “hack” iddiası ile gündeme gelmiştir. Sunucularından sertifikarların çalındığı şüphesi ile hizmetlerini bir süreliğine durdurmuştur. GlobalSign hakkında “hack edildi” iddiaları 2011 Eylül ayı başlarında çıkmıştır, mevcut dosyanın “timestamp” bilgileri incelendiğinde dosyanın son derlenme tarihi olarak Ekim ayı işaret ediliyor.

image007 image008

Rootkit sınıfında incelenen bu zararlı yazılımın kernel seviyesinde işlem gördüğünü belirtmiştik. Bilindiği gibi inf uzantılı dosyalar, driver yazılımlarının nasıl kurulacağı bilgisini içermektedir. GlobalSign sertifikalarının zararlıya implement edildiği bilgisi elimizde olduğuna göre,  zararlı yazılımın kernel-level işlem yürütebilmek için kendisini imzalı olarak sisteme eklediğini görebiliyoruz.

image009

Zararlı yazılım Register defteri içerisinde çeşitli kayıtlar veya modifikasyonlar yapabilmek adına yukarıda görüldüğü gibi bir fonksiyon barındırmaktadır. Bu işlev tamamlandığında enfeksiyon süreçlerine ait diğer rutinler işletilmeye başlamaktadır.

image010

Zararlı – Saldırgan Komünikasyonu

Zararlıyı incelemek için açtığımızda bu bilginin yanı sıra daha ilginç veriler elde etmiş oluyoruz. Örneğin, zararlı yazılım, enfeksiyon süreçlerini tamamladığında dışarıdan gelecek komutlar için saldırgan ile bir bağlantı kurabiliyor.

image011

Yukarıda görülen “disassembly” çıktısı saldırganın hedef sisteme bağlanması için işletilen rutine aittir. Bağlantının tamamlanabilmesi için bir takım süreçlerin işletildiğini görüyoruz. Eğer bağlantı kurulduğunda gelen paketler içerisinde belli bir anahtar kelime varsa  saldırganın bağlanması süreci tamamlanıyor.

Daha teknik olarak zararlı yazılım, gelen packetleri monitör edebilmek için kendisini NDIS-Level yüklemekte ve bir “sanal network adaptor” olarak sisteme eklemektedir. Böylece tüm network’e gelen paketleri dinleyerek gelen paketler arasında belli bir “pattern” arar.

Bu bağlanma süreci esnasında saldırgan 80 ve 443 numaralı portlar üzerinden hedef ile bağlantı kuruyor. Firewall kuralları içerisinde  80 (HTTP) ve 443(HTTPS) portları izin verilmiş portlar arasında yer alır. Bu durum, zararlının firewall yazılım veya cihazlarını by-pass ederek hedefe erişim sağlayabilmesi anlamına gelir.

Bu aşamada ilginç olan şey zararlı yazılımın herhangi bir (command and control) sunucuya ya da saldırganın makinesine bağlantı kurmuyor olması. Bunun yerine HIKIT bulaştığı makine üzerinde tüm ağı monitor ederek belli bir anahtar kelime gelmesi durumunda saldırgan ile bağlantı kuruyor.

Söz konusu rutinlerin hangi değerleri aldığı ve nereye gittiği konusunda görsel bir sonuç elde edebiliriz. Aşağıda görülen şekilde hangi fonksiyonun -- hangi sonuca gittiği daha net olarak görülebilmektedir. Buna göre bağlantının kurulması işleminde hangi rutinlerin etkili olduğu bilgisi bu diyagramda mevcuttur.

image012

Zararlı yazılım uzaktan erişim için bağlantı kurduğunda bir kaç komutun işletilmesine izin veriyor. Bu tanım sadece zararlının işlettiği komutlar içindir ve saldırganın hedef üzerinde işleteceği komutlar işletim sisteminin tanımladığı komutlardır. Makine kodu içerisinde ilerleken bağlantı kurulduktan sonra işletilecek komutlar arasında rastladığımız “shell” komutu uzaktaki makine üzerinden bir komut satırı açmaya olanak sağlıyor.

image013

Bunun anlamı işletim sistemi üzerinde sıradan veya yetkili bir kullanıcının işletebileceği tüm komutları, saldırgan işletebilmesi için sisteme yüklediği arka kapıya direktif verebilir. Kısacası saldırgan için bir “command prompt” açarak sistem üzerinde amacı doğrultusunda komut çalıştırabilir.

image014

Aşağıda görülen ”file” komutu çalıştırıldığı anda driver ile iletişim halindedir. Saldırgan bu sayede dosya okuma, dosya izinlerini değiştirme, dizin oluşturma ve dizin listeleme işlemlerini gerçekleştirebilir. Böylece zararlı, enfeksiyon süreçlerini tamamladığında saldırgan sisteme tam yetki ile erişim sağlamayı başarabilir.

Yukarıdaki “disassembly” daha önce bahsedilen işlemlerin yapılmasıyla ilişkilidir. Zararlının bir başka özelliklerden biri ise saldırganın SOCKS5 yani bir proxy üzerinden bağlantı kurabilmesi özelliğidir.

image015

Disassembler ile zararlının incelenmesi aşamasında gözümüze çarpan bu özellik, saldırgan proxy üzerinden bağlantı kurabilmek için zararlının içerisine gömdüğü bir fonksiyondur. Böylece iletişimin daha güvenli belirsiz hale gelerek saldırgan hakkında iz sürmek zorlaşmaktadır.

Aşağıda programa ait "string" veriler mevcuttur, yazının en başında elde edilen bazı veriler burada bulunmaktadır. Programın içerisinde barındırdığı tüm "string" değerlere aşağıdaki analiz raporundan ulaşabilirsiniz.

1-1

1-2

1-3 1-4 1-5 1-6

Sonuç

Mandiant tarafından yayınlanan ve tespit edilen bu zararlı yazılımın, APT saldırısının bir parçası olduğu neredeyse kesindir. Amacinin tamamen istihbarat toplamak olduğu ve ABD Savunma Bakanlığı ile anlaşmalı olan firmalar hakkında bilgi toplamak olduğu belirtilmiştir. HIKIT bulaştığı sistemde tamamen kalıcı olmak ve  bu sure zarfında sistemleri saldırganın kölesi haline getirmek üzere programlanmıştır. APT saldırılarının benzeri örnekleri günümüzde gittikçe artmaktadır. Daha önce bahsedildiği üzere NDIS Driver seviyesinde bir zararlının ve hizmet ettiği APT saldırısının tespiti oldukça zordur.

Yukarıda bahsedilen ve saldırganın belli bir “pattern” doğrultusunda sisteme bağlantı kurabilmesine yarayan teknik oldukça eski olmak ile birlikte tespiti zordur. Bu tip bir saldırının tespitinin yapılabilmesi bazı durumlarda “network trafik analizi” ile mümkündür. Analiz boyunca görüldüğü gibi Firewall, Anti-virüs gibi yazılım veya cihazların bu tip ataklar karşısında yetersiz kamıştır.

Bu ataklardan mağdur olan kurumlar ve güvenlik ürünleri geliştiren firmalar durumun farkındadır. Firewall, anti-virüs gibi klasik güvenlik ürünlerinin yanı sıra kurumların APT ataklarının tespitine yönelik daha farklı çözümlere yönelmeye ehemmiyet göstermelidir.

Attachment :pdf HIKIT Zararlısı Analizi

 image002

 

Yasin SÜRER
Bilgi Güvenliği Uzmanı
yasin.surer@boateknoloji.com