ABD hükümet kurumları, Taidoor zararlı yazılımının 2008’ den beridir var olduğunu ve bu zararlının uzaktan erişim trojanı (RAT) türünde olduğunu söylemektedir.
RAT Nedir?
Açılımı Remote Access Trojan olan siber korsanların hedef aldıkları kullanıcılara bulaştırdıktan sonra, o kullanıcının cihazında uzaktan erişime sahip olmalarını, cihazın kontrolünü ele geçirmelerine sebep olan bir zararlı türüdür. Bu zararlı sayesinde saldırganlar, kullanıcı bilgisayarındaki hassas bilgileri ele geçirebilir, tüm diskini şifreleyerek kullanıcıdan para talep edebilir veya kullanıcının tıkladığı her tuşu kayıt ederek kullanıcıya ait kişisel hesaplarına erişim sağlayabilirler. RAT’lar genellikle sosyal mühendislik saldırı yöntemleri ile kullanıcı bilgisayarına bulaşır ve amacını gerçekleştirir. Bu sebeple, siber dünyada karşılaşılan en yaygın zararlı türlerinden biridir.
Taidoor Zararlısı Nasıl Çalışıyor?
ABD hükümetine ait üç ajans şirketi, Çin devleti destekli bilgisayar korsanlarıyla ilişkilendirilmiş kötü amaçlı bir yazılım türü olan Taidoor’ un yeni sürümleri hakkında uyaran ortak bir haber yayınladı. Taidoor RAT zararlısı, kullanıcı işletim sistemine (32 bit veya 64 bit fark etmeksizin) 2 aşamalı olan bir DLL dosyası olarak bulaşıyor. Sisteme indirilmesinin ardından, ilk dosya bir servis olarak başlıyor ve ikinci dosyanın şifresini çözerek sisteme yüklüyor ve çalıştırıyor.
FBI, Taidoor RAT zararlı yazılımının kendi menşeisini gizlemek için proxy (vekil sunucular) sunucularla birlikte çalıştırıldığını ve iletişim kurduğunu söylüyor. Taidoor RAT sistem üzerinde çalışmasının ardından Çinli bilgisayar korsanları virüslü sistemlere erişebiliyor ve hassas verileri internet ortamına sızdırabiliyor. Ayrıca bu zararlı yazılım kullanılarak, diğer kötü amaçlı zararlı yazılımlarıda yayabiliyorlar.
Görsel 1. Taidoor zararlı yazılım Virustotal analiz sonucu
USA Cyber Command, ayrıca VirusTotal’ dört adet [1,2,3,4] Taidoor kötü amaçlı yazılımın örneğini yükledi. Siber güvenlik firmaları veya bağımsız zararlı yazılım analistleri buradaki inceleyebilir, indirebilir ve ek ipucu araştırabilirler.
RAT zararlılarına karşı alınabilecek önlemler
Farkındalık Çalışmaları
Siber korsanlar, RAT, keylogger veya cryptolocker türündeki zararlı yazılımları çoğunlukla sosyal mühendislik saldırı yöntemi ile kullanıcılara göndermektedir. Farkındalığı düşük kullanıcıların, farkındalıklarının ölçümlenmesi ve farkındalığı düşük kullanıcıların eğitilmesi saldırı henüz ilk aşamasındayken engellenmesini sağlamaktadır. Kullanıcılarınızın farkındalıklarını Keepnet Labs oltalama simülatörü yazılımı ile ölçümleyebilir, Awareness Educator modülü içerisindeki birçok eğitim içeriği arasından tek tıkla eğlenceli ve bir o kadar eğitici eğitimler gönderebilirsiniz.
Son Kullanıcı Antivirüs Yazılımları
Zararlı yazılımların işletim sistemi üzerinde çalışmalarına en çok engel olabilecek ürünler arasında olan antivirüs yazılımları, kullanıcı bilgisayarında yüklü değil veya yüklü ancak devre dışı durumda ise koruma sağlayamaz. Bu yüzden kullanıcılara en güncel sürüme sahip olan bir antivirüs yazılımı yüklenmeli ve sürekli güncel tutulmalıdır. E-posta içerisindeki saldırı vektörlerine karşı ne kadar önlem alınsa da, bazı durumlarda kullanıcıların bu politikaları ve kuralları almaları zaman alabilmektedir. Bu sebeple anında müdahele etmek ve zararlı içerik barındıran e-postaları kullanıcılarınızın posta kutularından temizlemek istiyor iseniz, Keepnet Labs Incident Responder modülü ile bu işlemi anında gerçekleştirebilirsiniz. Detaylı bilgi için bu adresi ziyaret edebilirsiniz.
Ayrıca diğer haber kategorisindeki tüm yazılarıma bu adresten ulaşabilirsiniz.
