2. Ajanda
• Odinaff Zararlısı Nedir?
• Nasıl Bulaşır?
– Genel Bulaşma Senaryosu
– Hedef Sektörler
• Nasıl Etki Eder?
– SWIFT ile ilişkisi
• Nasıl Korulunur?
3. Odinaff Zararlısı Nedir?
Trojan.Odinaff is a Trojan horse that opens a back door on the compromised computer.
Symantec
• İlk olarak Ocak 2016’da ortaya çıkmıştır.
• Carbanak zararlısıyla ortak yönleri bulunur.
• Finans sektörünü hedef alır.
4. Nasıl Bulaşır? (Atak vektörleri)
• SPAM e-posta eklentileri (Spear Phishing/Hedef
odaklı oltalama)
• Önceden ele geçirilmiş sistemlere botnetler
vasıtasıyla yüklenebilir.
• Zararlı web siteleri
• Parola korumalı RAR arşiv dosyaları
• Bedava yazılımlara enjekte olmuş şekilde
• USB Flash Bellekler
• Çoğunlukla zararlı makrolar içeren Microsoft Ofis
dokümanları ile bulaşır.
• Microsoft Windows işletim sistemini hedef alır.
5. Genel Bulaşma Senaryosu
• Hedef odaklı kimlik avı yapılarak eposta ile kullanıcının
mail adresine kötü amaçlı yazılımlar ek olarak yollanır
ve zararlı kullanılarak sisteme sızılır.
• Kullanıcının tarayıcısındaki zayıf noktalar tespit edilir.
• Ağın içine sızdıklarında ise, siber suçlular sistemdeki
açıkları bulmak için kullanılan test yazılımları ile farklı
katmanlar arasında ilerleyerek Etki Alanı sunucusuna
ulaşır.
• Bu sunucu kullanılarak banka çalışanlarının para
transferleri için kullandıkları bilgisayarlar tespit edip
ele geçirilir.
8. Nasıl Etki Eder?
• 5-30 saniye aralıklarla girdiği sistemin ekran
görüntüsünü alır.
• Komuta kontrol merkezine bu ekran
görüntülerini gönderir.
• RC4 şifreli anahtarlarını ele geçirir ve Shell
komutları çalıştırır.
• Bulaştıktan sonra Backdoor.Batel zararlısını da
yardımcı program olarak kurar.
9. Nasıl Etki Eder? (Devam)
• Ayrıca aşağıdaki yardımcı programlar kullanılıp
sızılan sistem sayısı arttırılır.
Mimikatz, şifre ve hashleri ele geçirmek için.
PsExec, uzaktan komut çalıştırmak için
Netscan, networkü taramak için
Ammyy Admin (Remacc.Ammyy) uzaktan yönetim için
Runas, başka bir kullanıcı yetkisiyle dosya çalıştırmak
için
PowerShell komut satırıyla bütün Windows
servislerine erişmek için
10. SWIFT ile ilişkisi?
• Odinaff zararlısı SWIFT’de kullanılan RC4
şifrelemedeki açıklıktan (CVE-2015-2808) istifade
eder.
• Zararlı uzaktaki bilgisayara bağlanır, RC4 ile
şifrelenmiş dosyaları çekip çalıştırır.
• Saldırganların şifrelenmiş trafiği görebilmeleri
onlara SWIFT mesajları ve IBAN numaralarını
izleyebilmeleri imkanını verir.
11. Nasıl korulunur?
• 20 yıl önce kurulan SWIFT sistemi yeniden
gözden geçirilip tasarımsal hataların ayıklanması
sağlanmalıdır. (Öneri)
• Microsoft Ofis’deki «Macro desteği» kapatılır.
• Windows yamaları zaman kaybetmeden
yapılmalıdır.
• Dosya paylaşımı kapatılmalıdır.
• USB Autorun özelliği kapatılmalıdır.