SlideShare a Scribd company logo

Odinaff Zararlısı Analizi

Leylim Damla Çetin
Leylim Damla Çetin

Odinaff

Technology
1 of 11
Download to read offline
Odinaff Zararlısı Analizi Leylim Damla ÇETİN
Ajanda • Odinaff Zararlısı Nedir? • Nasıl Bulaşır? – Genel Bulaşma Senaryosu – Hedef Sektörler • Nasıl Etki Eder? – SWIFT ile ilişkisi • Nasıl Korulunur?
Odinaff Zararlısı Nedir? Trojan.Odinaff is a Trojan horse that opens a back door on the compromised computer. Symantec • İlk olarak Ocak 2016’da ortaya çıkmıştır. • Carbanak zararlısıyla ortak yönleri bulunur. • Finans sektörünü hedef alır.
Nasıl Bulaşır? (Atak vektörleri) • SPAM e-posta eklentileri (Spear Phishing/Hedef odaklı oltalama) • Önceden ele geçirilmiş sistemlere botnetler vasıtasıyla yüklenebilir. • Zararlı web siteleri • Parola korumalı RAR arşiv dosyaları • Bedava yazılımlara enjekte olmuş şekilde • USB Flash Bellekler • Çoğunlukla zararlı makrolar içeren Microsoft Ofis dokümanları ile bulaşır. • Microsoft Windows işletim sistemini hedef alır.
Genel Bulaşma Senaryosu • Hedef odaklı kimlik avı yapılarak eposta ile kullanıcının mail adresine kötü amaçlı yazılımlar ek olarak yollanır ve zararlı kullanılarak sisteme sızılır. • Kullanıcının tarayıcısındaki zayıf noktalar tespit edilir. • Ağın içine sızdıklarında ise, siber suçlular sistemdeki açıkları bulmak için kullanılan test yazılımları ile farklı katmanlar arasında ilerleyerek Etki Alanı sunucusuna ulaşır. • Bu sunucu kullanılarak banka çalışanlarının para transferleri için kullandıkları bilgisayarlar tespit edip ele geçirilir.
Genel Bulaşma Senaryosu (Carbanak)
Hedef Sektörler Organizasyonel 44% Finans 34% Bireysel 16% Diğer 6% Çoğunlukla finansal program kullanan bilgisayarların hedef alındığı görülmüştür. -Symantec
Nasıl Etki Eder? • 5-30 saniye aralıklarla girdiği sistemin ekran görüntüsünü alır. • Komuta kontrol merkezine bu ekran görüntülerini gönderir. • RC4 şifreli anahtarlarını ele geçirir ve Shell komutları çalıştırır. • Bulaştıktan sonra Backdoor.Batel zararlısını da yardımcı program olarak kurar.
Nasıl Etki Eder? (Devam) • Ayrıca aşağıdaki yardımcı programlar kullanılıp sızılan sistem sayısı arttırılır.  Mimikatz, şifre ve hashleri ele geçirmek için.  PsExec, uzaktan komut çalıştırmak için  Netscan, networkü taramak için  Ammyy Admin (Remacc.Ammyy) uzaktan yönetim için  Runas, başka bir kullanıcı yetkisiyle dosya çalıştırmak için  PowerShell komut satırıyla bütün Windows servislerine erişmek için
SWIFT ile ilişkisi? • Odinaff zararlısı SWIFT’de kullanılan RC4 şifrelemedeki açıklıktan (CVE-2015-2808) istifade eder. • Zararlı uzaktaki bilgisayara bağlanır, RC4 ile şifrelenmiş dosyaları çekip çalıştırır. • Saldırganların şifrelenmiş trafiği görebilmeleri onlara SWIFT mesajları ve IBAN numaralarını izleyebilmeleri imkanını verir.
Nasıl korulunur? • 20 yıl önce kurulan SWIFT sistemi yeniden gözden geçirilip tasarımsal hataların ayıklanması sağlanmalıdır. (Öneri) • Microsoft Ofis’deki «Macro desteği» kapatılır. • Windows yamaları zaman kaybetmeden yapılmalıdır. • Dosya paylaşımı kapatılmalıdır. • USB Autorun özelliği kapatılmalıdır.

Recommended

ESET Antivrus Trends 2011
ESET Antivrus Trends 2011ESET Antivrus Trends 2011
ESET Antivrus Trends 2011Erkan Tugral
 
Ransomware Nedir, Nasıl Korunulur?
Ransomware Nedir, Nasıl Korunulur?Ransomware Nedir, Nasıl Korunulur?
Ransomware Nedir, Nasıl Korunulur?Ibrahim Akgul
 
Yapılan ağ saldırılarına karşı önlemler
Yapılan ağ saldırılarına karşı önlemlerYapılan ağ saldırılarına karşı önlemler
Yapılan ağ saldırılarına karşı önlemlerIlkin Azizov
 
Threat intelligence ve siem
Threat intelligence ve siemThreat intelligence ve siem
Threat intelligence ve siemErtugrul Akbas
 
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıSüleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıKasım Erkan
 
Güvenli internet Testi
Güvenli internet TestiGüvenli internet Testi
Güvenli internet TestiAbdullah Aktaş
 
Güvenli̇k duvari nedi̇r s
Güvenli̇k duvari nedi̇r sGüvenli̇k duvari nedi̇r s
Güvenli̇k duvari nedi̇r sCelal Karaca
 
Güvenlikyazılımları
GüvenlikyazılımlarıGüvenlikyazılımları
Güvenlikyazılımlarımsbasarici
 

Recommended

ESET Antivrus Trends 2011
ESET Antivrus Trends 2011ESET Antivrus Trends 2011
ESET Antivrus Trends 2011Erkan Tugral
 
Ransomware Nedir, Nasıl Korunulur?
Ransomware Nedir, Nasıl Korunulur?Ransomware Nedir, Nasıl Korunulur?
Ransomware Nedir, Nasıl Korunulur?Ibrahim Akgul
 
Yapılan ağ saldırılarına karşı önlemler
Yapılan ağ saldırılarına karşı önlemlerYapılan ağ saldırılarına karşı önlemler
Yapılan ağ saldırılarına karşı önlemlerIlkin Azizov
 
Threat intelligence ve siem
Threat intelligence ve siemThreat intelligence ve siem
Threat intelligence ve siemErtugrul Akbas
 
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıSüleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıKasım Erkan
 
Güvenli internet Testi
Güvenli internet TestiGüvenli internet Testi
Güvenli internet TestiAbdullah Aktaş
 
Güvenli̇k duvari nedi̇r s
Güvenli̇k duvari nedi̇r sGüvenli̇k duvari nedi̇r s
Güvenli̇k duvari nedi̇r sCelal Karaca
 
Güvenlikyazılımları
GüvenlikyazılımlarıGüvenlikyazılımları
Güvenlikyazılımlarımsbasarici
 
Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)Alper Başaran
 
Kötü Niyetli Programlar ve Bu Programları Engelleyici Programlar.pptx
Kötü Niyetli Programlar ve Bu Programları Engelleyici Programlar.pptxKötü Niyetli Programlar ve Bu Programları Engelleyici Programlar.pptx
Kötü Niyetli Programlar ve Bu Programları Engelleyici Programlar.pptxAbbasgulu Allahverdili
 
Bilgisayar Virusleri
Bilgisayar VirusleriBilgisayar Virusleri
Bilgisayar Viruslerikurtayfun
 
Hacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıHacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıMustafa
 
G.yazlimlari
G.yazlimlariG.yazlimlari
G.yazlimlariHamza Şentürk
 
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıBilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıRaif Berkay DİNÇEL
 
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Bilgisayar virusleri
Bilgisayar virusleriBilgisayar virusleri
Bilgisayar virusleriSafa nuri Ekici
 
SİBER GÜVENLİK
SİBER GÜVENLİKSİBER GÜVENLİK
SİBER GÜVENLİKgereksizlerim
 
Virusler
ViruslerVirusler
ViruslerRamadan ŞANLI
 
WannaCry - NotPetya Olayları
WannaCry - NotPetya OlaylarıWannaCry - NotPetya Olayları
WannaCry - NotPetya OlaylarıAlper Başaran
 
5.modül
5.modül5.modül
5.modülburakerdem1970
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBGA Cyber Security
 
Virüsler ve çeşitleri
Virüsler ve çeşitleriVirüsler ve çeşitleri
Virüsler ve çeşitleriSlide Sharer
 
Threat data feeds
Threat data feedsThreat data feeds
Threat data feedsDoukanksz
 
Jetico personal firewall 2
Jetico personal firewall 2Jetico personal firewall 2
Jetico personal firewall 2Mutlu
 
Virüsler veçeşitlerisunum
Virüsler veçeşitlerisunumVirüsler veçeşitlerisunum
Virüsler veçeşitlerisunumCelal Karaca
 
Bilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptx
Bilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptxBilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptx
Bilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptxmemrah2955
 
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...CypSec - Siber Güvenlik Konferansı
 
Internet.ppt_4
Internet.ppt_4Internet.ppt_4
Internet.ppt_4Rahme Latif Gündoğan
 

More Related Content

Similar to Odinaff Zararlısı Analizi

Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)Alper Başaran
 
Kötü Niyetli Programlar ve Bu Programları Engelleyici Programlar.pptx
Kötü Niyetli Programlar ve Bu Programları Engelleyici Programlar.pptxKötü Niyetli Programlar ve Bu Programları Engelleyici Programlar.pptx
Kötü Niyetli Programlar ve Bu Programları Engelleyici Programlar.pptxAbbasgulu Allahverdili
 
Bilgisayar Virusleri
Bilgisayar VirusleriBilgisayar Virusleri
Bilgisayar Viruslerikurtayfun
 
Hacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıHacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıMustafa
 
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıBilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıRaif Berkay DİNÇEL
 
WannaCry - NotPetya Olayları
WannaCry - NotPetya OlaylarıWannaCry - NotPetya Olayları
WannaCry - NotPetya OlaylarıAlper Başaran
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBGA Cyber Security
 
Virüsler ve çeşitleri
Virüsler ve çeşitleriVirüsler ve çeşitleri
Virüsler ve çeşitleriSlide Sharer
 
Threat data feeds
Threat data feedsThreat data feeds
Threat data feedsDoukanksz
 
Jetico personal firewall 2
Jetico personal firewall 2Jetico personal firewall 2
Jetico personal firewall 2Mutlu
 
Virüsler veçeşitlerisunum
Virüsler veçeşitlerisunumVirüsler veçeşitlerisunum
Virüsler veçeşitlerisunumCelal Karaca
 
Bilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptx
Bilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptxBilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptx
Bilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptxmemrah2955
 
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...CypSec - Siber Güvenlik Konferansı
 

Similar to Odinaff Zararlısı Analizi (20)

Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)
 
Kötü Niyetli Programlar ve Bu Programları Engelleyici Programlar.pptx
Kötü Niyetli Programlar ve Bu Programları Engelleyici Programlar.pptxKötü Niyetli Programlar ve Bu Programları Engelleyici Programlar.pptx
Kötü Niyetli Programlar ve Bu Programları Engelleyici Programlar.pptx
 
Bilgisayar Virusleri
Bilgisayar VirusleriBilgisayar Virusleri
Bilgisayar Virusleri
 
Hacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıHacking Uygulamaları ve Araçları
Hacking Uygulamaları ve Araçları
 
G.yazlimlari
G.yazlimlariG.yazlimlari
G.yazlimlari
 
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıBilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
 
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
 
Bilgisayar virusleri
Bilgisayar virusleriBilgisayar virusleri
Bilgisayar virusleri
 
SİBER GÜVENLİK
SİBER GÜVENLİKSİBER GÜVENLİK
SİBER GÜVENLİK
 
Virusler
ViruslerVirusler
Virusler
 
WannaCry - NotPetya Olayları
WannaCry - NotPetya OlaylarıWannaCry - NotPetya Olayları
WannaCry - NotPetya Olayları
 
5.modül
5.modül5.modül
5.modül
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
 
Virüsler ve çeşitleri
Virüsler ve çeşitleriVirüsler ve çeşitleri
Virüsler ve çeşitleri
 
Threat data feeds
Threat data feedsThreat data feeds
Threat data feeds
 
Jetico personal firewall 2
Jetico personal firewall 2Jetico personal firewall 2
Jetico personal firewall 2
 
Virüsler veçeşitlerisunum
Virüsler veçeşitlerisunumVirüsler veçeşitlerisunum
Virüsler veçeşitlerisunum
 
Bilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptx
Bilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptxBilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptx
Bilgi Güvenliği Farkındalık Bilgilendirme Sunumu.pptx
 
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...
 
Internet.ppt_4
Internet.ppt_4Internet.ppt_4
Internet.ppt_4
 

Odinaff Zararlısı Analizi

  • 2. Ajanda • Odinaff Zararlısı Nedir? • Nasıl Bulaşır? – Genel Bulaşma Senaryosu – Hedef Sektörler • Nasıl Etki Eder? – SWIFT ile ilişkisi • Nasıl Korulunur?
  • 3. Odinaff Zararlısı Nedir? Trojan.Odinaff is a Trojan horse that opens a back door on the compromised computer. Symantec • İlk olarak Ocak 2016’da ortaya çıkmıştır. • Carbanak zararlısıyla ortak yönleri bulunur. • Finans sektörünü hedef alır.
  • 4. Nasıl Bulaşır? (Atak vektörleri) • SPAM e-posta eklentileri (Spear Phishing/Hedef odaklı oltalama) • Önceden ele geçirilmiş sistemlere botnetler vasıtasıyla yüklenebilir. • Zararlı web siteleri • Parola korumalı RAR arşiv dosyaları • Bedava yazılımlara enjekte olmuş şekilde • USB Flash Bellekler • Çoğunlukla zararlı makrolar içeren Microsoft Ofis dokümanları ile bulaşır. • Microsoft Windows işletim sistemini hedef alır.
  • 5. Genel Bulaşma Senaryosu • Hedef odaklı kimlik avı yapılarak eposta ile kullanıcının mail adresine kötü amaçlı yazılımlar ek olarak yollanır ve zararlı kullanılarak sisteme sızılır. • Kullanıcının tarayıcısındaki zayıf noktalar tespit edilir. • Ağın içine sızdıklarında ise, siber suçlular sistemdeki açıkları bulmak için kullanılan test yazılımları ile farklı katmanlar arasında ilerleyerek Etki Alanı sunucusuna ulaşır. • Bu sunucu kullanılarak banka çalışanlarının para transferleri için kullandıkları bilgisayarlar tespit edip ele geçirilir.
  • 7. Hedef Sektörler Organizasyonel 44% Finans 34% Bireysel 16% Diğer 6% Çoğunlukla finansal program kullanan bilgisayarların hedef alındığı görülmüştür. -Symantec
  • 8. Nasıl Etki Eder? • 5-30 saniye aralıklarla girdiği sistemin ekran görüntüsünü alır. • Komuta kontrol merkezine bu ekran görüntülerini gönderir. • RC4 şifreli anahtarlarını ele geçirir ve Shell komutları çalıştırır. • Bulaştıktan sonra Backdoor.Batel zararlısını da yardımcı program olarak kurar.
  • 9. Nasıl Etki Eder? (Devam) • Ayrıca aşağıdaki yardımcı programlar kullanılıp sızılan sistem sayısı arttırılır.  Mimikatz, şifre ve hashleri ele geçirmek için.  PsExec, uzaktan komut çalıştırmak için  Netscan, networkü taramak için  Ammyy Admin (Remacc.Ammyy) uzaktan yönetim için  Runas, başka bir kullanıcı yetkisiyle dosya çalıştırmak için  PowerShell komut satırıyla bütün Windows servislerine erişmek için
  • 10. SWIFT ile ilişkisi? • Odinaff zararlısı SWIFT’de kullanılan RC4 şifrelemedeki açıklıktan (CVE-2015-2808) istifade eder. • Zararlı uzaktaki bilgisayara bağlanır, RC4 ile şifrelenmiş dosyaları çekip çalıştırır. • Saldırganların şifrelenmiş trafiği görebilmeleri onlara SWIFT mesajları ve IBAN numaralarını izleyebilmeleri imkanını verir.
  • 11. Nasıl korulunur? • 20 yıl önce kurulan SWIFT sistemi yeniden gözden geçirilip tasarımsal hataların ayıklanması sağlanmalıdır. (Öneri) • Microsoft Ofis’deki «Macro desteği» kapatılır. • Windows yamaları zaman kaybetmeden yapılmalıdır. • Dosya paylaşımı kapatılmalıdır. • USB Autorun özelliği kapatılmalıdır.