Sunumda Ransomware tehditlerinin teknik analizleri ve farklı bir koruma yöntemi ile bu zararlılara karşı dokümanların nasıl korunabileceği anlatılmaktadır.

1. Protect or Pay?

2. İbrahim AKGÜL
• Resmi olarak - Security Researcher
• Hobi olarak – Driver Developer, low-level olan her şey
• Ex olarak – Exploit ve Virüs yazarı (malware değil!)
• Ek gelir olarak – Bug Hunting, Pentest, Kaynak Kod Analizleri
• Sektör Tecrübesi – 2000 - …… (Havacılık ve Finans)
• Blog: kernelturk.blogspot.com - yılda bir kez güncellenir 

3. Ransomware Evrimi
Böyle Başladı
• Symmetric Encryption

4. Ransomware Evrimi
Böyle devam ediyor..
• AES-256 encryption
• Artık .EXE ler’de şifreleniyor
• Yönetici hakkı yoksa dosyaları
Varsa Petya ile MBR’ı şifreliyor

5. Locker Ransomware Encryption Ransomware

6. Sürekli çoğalıyorlar

7. Ne kadar yetenekliler?
Yayılmak için
-Sosyal
Mühendisliği iyi
kullanıyorlar
- Çalıştırılabilmek
için inandırıcılığı
yüksek dosya
biçimlerini
seçiyorlar
Bulaşabilmek İçin
- Evasion
teknikleri
- Shellcode
-Exploit
- Scripting
- Dga
- Tor
Başarılı Şantaj
için
- Güvenilir
Encryption
teknikleri
kullanırlar
- Ödeme işlemleri
takip edilemeyen
kanallar üzerinden
gerçekleşir.

8. • Ransomware yazarlarının kusursuz zararlı üretmek gibi bir dertleri yok. Tek beklentileri şantaj
aşamalarını hızlıca tamamlamak ve güvenilir bir şekilde hedeflenen ödemeyi almak!
• Hedeflerini gerçekleştirebilmek için her yolu mübah görüyorlar. Bazen çok etkili social
engineering, evasion hatta 0 day tekniklerini kullanıyorken, bazen de basit bir standalone
executable ile de encrypt işlemlerini gerçekleştirebiliyorlar.
• Formlarını çok hızlı şekilde değiştirebildiklerinden Process bazlı davranış engelleme sistemlerinden
rahatlıkla kurtulabiliyorlar. Bunu başarabilmek için tüm yönleri ile normal olan bir uygulama gibi
çalışabiliyorlar.
• Sistemlerinzde yer alan hiçbir güvenlik önleyici cihazı dert etmiyorlar. Çünkü bir kez çalıştırıldıktan
sonra dosyalarınıza kavuşmak için tüm yetkileri sizin elinizle alacaklarından gayet eminler.
• - Bir Ransomware salgının başarılı sayılabilmesi için tamamlaması gereken 5 adım vardır. Bunlar;
. Cihaza herhangi bir yolla gir ve çalış
. Cihaz kullanıcısının dikkatini çekip işlemin kesilmesine fırsat vermeden görevini tamamla
. Görev sonrası bilgilendirme yaparak şantaja başla
. Fidyeyi al
. Fidye alındıktan sonra cihazı eski haline getir.
Ransomware ilk iki aşama da başarısız olursa bu tüm görevin başarısızlıkla sonuçlandığı
anlamına gelir
Şayet son 3 adımda başarısız olursa bu Ransomware için kısmi bir başarı sayılır ve zarar verdiği

9. Bilinmeyen bir Encryption zararlısını engelleyebilmenin yöntemlerinden 2’si şöyledir;
• Sızma aşamasındayken Ağ katmanında,
• Injection veya Encryption aşamasındayken, Endpoint katmanında.
Endpoint katmanındayken Encryption Ransomware’ı engellemenin 3 yolu vardır. Bunlar;
• Encryption veya Injection aşamasında kullanılabilecek API’lerin Kernel’de hook’lanması ile (veya Ca
• Encryption için C&C iletişimi aşamasında OS Network katmanında (TDI.sys, NDIS.sys)
• Dosyaların Encryption’ı esnasında File System seviyesinde I/O audit yapılması ile (Fltmgr.sys, Disk.

10. Encryption Ransomware Tehditlerini
Engellemede Bakış Açıları
Process Bazlı davranış analizinde karar faktörleri,
• Yapılan istek Authenticode bir process’den mi geliyor?
• Yapılan istek Whitelist’de yer alan bir process’den mi geliyor?
• Yapılan istek Injecte edilen bir thread üzerinde mi geliyor?
• Yapılan istek Hook edilen blacklistli fonksiyonlardan mı geliyor?
………..
Process bazlı yaklaşım iyi bilinen zararlı davranışları için oldukça etkilidir.
Ancak yüksek oranda normal davranış sergileyen veya potansiyel
bilinmeyen evasion teknikleri karşısında zararlılar için tek başlarına
yetersiz kalmaktadır.
Ağ Tabanlı davranış analizinde karar faktörleri,
• C&C haberleşmesi, key’in alınması, mail gönderimi vs..yapılan ip
• Yeni alınmış bir domain name’den mi geliyor?
• Repütasyon bilgisi black ya da Unknown’mu?
• Honeypot veya Ağ tabanlı analiz sistemlerinden alınan sonuçlar
• «Dosya sistemi seviyesinde engelleme» yaklaşımında process
davranışlarının bir önemi yoktur.
• İsteği yapan process’den ziyade isteğin yapıldığı dosya nesnesinin yapısı risk
faktörü olarak değerlendirilir.
• Korunması hedeflenen dosya tipine ait dosya yapısına karşı yapılacak her türlü IO
isteği denetime tabidir.

12. Ransomware Tehditlerinin
Önlenmesinde
Alternatif Çözüm Önerisi
IOAudit

13. IOAudit Farklı Ne Yapıyor?
Ne Yapar:
1. Zararlılarla ve yaptıkları ile ilgilenmez
2. Koruduğu dosya tiplerine karşı yapılan her türlü aktiviteyi on-Access analiz eder
3. Sadece file monitoring değil I/O Auditing yaparak illegal I/O requestlere karşı bloklama gerçekl
4. Dosya yapısına müdahale etmeyen normal processlerin işleyişine karışmaz!
Açıklama: IOAudit bir Anti değildir. Anti’ler için tamamlayıcı bir endpoint güvenlik
çözümüdür. Desteklediği her dosya tipine yapılan File I/O isteklerini denetleyerek
yapısal bütünlük koruması vaat eder. Şimdiye kadar bilinen bütün Encryption
Ransomware ataklarına karşı koruduğu dosya formatlarında %99 başarı elde etmiştir.

14. SIEM Entegrasyonu ile Kurumsal Yapınızdaki IOAudit Yüklü Tüm
Sistemlerden İstihbararat Alabilirsiniz

15. Cryptolocker saldırısı esnasında IOAudit’in Davranışı

16. APP-1 APP-2 Cryptxxx
Win32 API
Interface
CreateFile WriteFile MoveFile
NtCreateFile NtWriteFile NtSetInformationFile
I/O
Manager
irp_mj_create
irp_mj_write
irp_mj_set_informatio
n
Filter
Manager
Gelen IO isteklerini
Filter Driver’a iletir
ve gelen cevaba
göre File System’e
gönderir.
IOAudit.sys
Filter Driver
Dosya üzerinde
yapılan tüm IO
istekleri önce burada
filtre edilir
File System
Driver
Filter Driver tarafından
işlenen ve modifiye
edilen IO isteğini Disk’e
gönderir
File System
Driver
Filter Driver tarafından
işlenen ve modifiye edilen IO
isteğini Storage Driver’a
gönderir
IOAudit.dll
Yapısal kontrollerin yapıldığı ve
ihlal prosedürünün işletildiliği
interface
IOAudit
Gui.exe

17. The highest technique is to have
no technique
My technique is a result of your technique; my movement
is a result of your movement.