Siber korsanlar, çalışanlarınızın bilgisayarlarına ait işlemci gücünü kullanarak kripto para madenciliği yapmak için fidye yazılım benzeri taktikler ve zararlı web siteleri kullanıyor. İşte bunu durdurmak için yapabilecekleriniz!
Cryptojacking nedir?
Cryptojacking, bir başkasının bilgisayarının kripto para madenciliği yapmak için yetkisiz kullanımıdır. Bilgisayar korsanları, mağdurun e-postalardaki kötü amaçlı bir bağlantıya tıklamasıyla birlikte bu bağlantıdan bilgisayara cripto mining kodunu yükleyerek veya mağdurun tarayıcısına bir kez yüklendiğinde otomatik olarak çalıştırılan JavaScript kodunu bir web sitesine veya çevrimiçi bir reklama bulaştırarak bunu yapar.
Her iki durumda da mağdurların bilgisayarlarını normal şekilde kullanmaya devam etmelerine rağmen, cripto mining kodu arka planda çalışmaya devam eder ve bunu fark edebilecekleri tek işaret, yavaş performans veya uygulamada yaşanan gecikmedir.
Cryptojacking neden hızla artıyor?
Cryptojacking’den ne kadar kripto para madenciliği yapıldığını kimse kesin olarak bilmiyor, ancak uygulamanın oldukça yaygın olduğu konusunda hiç şüpheniz olmasın.
Tarayıcı tabanlı cryptojacking hızla büyüyor. Geçtiğimiz günlerde Adguard, tarayıcı içi cryptojacking için yüzde 31'lik bir büyüme bildirdi. Araştırmalara göre kripto madenciliği senaryoları çalıştıran 33.000 web sitesi buldu. Adguard, bu sitenin aylık bir milyar ziyaretçisi olduğunu tahmin ediyor. WatchGuard Technologies'de ağ güvenliği çözümleri sağlayıcısı Marc Laliberte’ye göre, kripto madenciliği henüz başlangıç aşamasında ve büyüme ve gelişimi için çok fazla alan var.
Geçtiğimiz yıl ocak ayında araştırmacılar, çoğunlukla Rusya, Hindistan ve Tayvan'da yarım milyondan fazla makineye bulaşan Smominru kripto madenciliği botnetini keşfetti. Botnet, Windows sunucularını Monero'ya götürmeyi hedefledi ve siber güvenlik firması Proofpoint, Ocak ayının sonunda 3,6 milyon dolar kazandığını tahmin etti.
Cryptojacking, önemli teknik beceriler gerektirmez. Araştırmalara göre, dark web üzerinde 30 dolara kadar criptojacking kitleri mevcut.
Cryptojacking’in hackerler için daha popüler hale gelmesinin nedeni, daha az risk ile daha fazla para elde etmeleridir. CTO ve SecBI'nin kurucu üyesi Alex Vaystikh, “Hacker'lar Cryptojacking’i fidye yazılımlarına göre daha ucuz, daha karlı bir alternatif olarak görüyorlar.” diyor. Fidye yazılımı ile bir korsan, virüs bulaşmış her 100 bilgisayardan üç kişinin parasını alabileceğini söylüyor. Cryptojacking ile birlikte ise, bu virüs bulaşmış makinelerin 100'ü de hackerın kripto para madenciliği yapabilmesi için çalışıyor. Hackerlar, fidye yazılımıyla da aynı miktarda para kazanabilir, ancak kripto madenciliği sürekli para üretir.
Yakalanma ve tespit edilme riski de fidye yazılıma göre çok daha azdır. Kripto madenciliği kodu gizlice çalışır ve genellikle uzun süre tespit edilemez. Keşfedildikten sonra, saldırı kaynağını bulmak çok zordur. Hackerlar Monero ve Zcash gibi isimsiz kripto para birimlerini daha popüler olan Bitcoin yerine tercih etme eğilimindeler, çünkü yasadışı aktivitelerde arkada iz bırakmamak önemlidir.
Crytojacking nasıl çalışır?
Bilgisayar korsanlarının, bir kurbanın bilgisayarını gizlice kullanmalarını sağlamak için iki temel yol vardır. Birincisi, kurbanları kandırarak bilgisayarlarına şifreli kod yüklemektir. Bu, kimlik avı benzeri taktikler aracılığıyla yapılır: mağdurlara, bir bağlantıya tıklamaları için onları teşvik eden meşru görünümlü bir e-posta gönderilir. Bağlantı, bilgisayara yerleştiren kodu çalıştırır ve daha sonra kurban çalıştığı sırada da program arka planda çalışır.
Diğer yöntem, bir web sitesine komut dosyası enjekte etmek veya birden fazla web sitesine yönlendiren bir reklam yerleştirmektir. Mağdurlar web sitesini ziyaret ettiklerinde veya virüslü reklam tarayıcılarında göründüğünde, komut dosyası otomatik olarak yürütülür. Hangi yöntem kullanılırsa kullanılsın, kod mağdurların bilgisayarlarında kaydedilmeden bilgisayarlarında karmaşık matematik problemleri çalıştırır ve sonuçları bilgisayar korsanının kontrol ettiği bir sunucuya gönderir.
Hackerlar genellikle getirilerini en üst düzeye çıkarmak için her iki yöntemi de kullanır. Örneğin, bir bilgisayar korsanı için cryptojacking yapan 100 cihazdan 10'u mağdurun makinelerinde koddan gelir elde ederken yüzde 90'ı web tarayıcıları aracılığıyla gelir.
Diğer kötü amaçlı yazılım türlerinin aksine, cryptojacking komut dosyaları bilgisayarlara veya mağdurların verilerine zarar vermez. CPU işlem kaynaklarını çalarlar. Bireysel kullanıcılar için daha yavaş bilgisayar performansı yalnızca bir sıkıntı olabilir. Cryptojacklenmiş sistemlerdeki performans sorunlarının izlenmesi, parça değişimi veya yalnızca sistemdeki problemi çözme umuduyla harcanan zaman bile yardım masası ve BT ekibi açısından ciddi maliyetlere neden olabilir.
Gerçek Dünyadan Şifreleme Örnekleri
Cryptojackerlar başkalarının bilgisayarlarından kripto para madenciliği yapmak için bir takım programlar geliştirdiler.
Kripto madenciliği dağıtım yöntemlerinin çoğu yeni yöntemler değildir. Genellikle, fidye yazılımı veya reklam yazılımı gibi diğer kötü amaçlı yazılım türleri için kullanılanlardan türetilir. Güvenlik stratejisi direktörü Travis Farral, “Kötü yazarların geçmişte yaptıkları birçok geleneksel şeyi görmeye başlıyorsunuz” diyor.
İşte gerçek dünya örneklerinden bazıları:
Balık avı PowerGhost, Windows kimlik bilgilerini çaldı.
Siber Tehdit İttifakı'nın (CTA) Yasadışı Kripto Para Birimi Madenciliği Tehdit raporunda, ilk olarak Fortinet tarafından analiz edilen ve çeşitli şekillerde tespit edilmesini önleyebilen gizli kötü amaçlı yazılım olarak PowerGhost açıklanmaktadır. PowerGhost ilk önce bir sistemde yer kazanmak için mızrak avcılığı kullanır ve ardından Windows kimlik bilgilerini çalar ve yaymak için EternalBlue ve Windows Yönetim Araçları’ndan yararlanır. Daha sonra antivirüs yazılımı ve rakip şifreli yazılımları devre dışı bırakmaya çalışır.
MinerGate varyantı, mağdurun bilgisayarı kullanımdayken yürütmeyi askıya aldı.
CTA raporuna göre, Palo Alto Networks, MinerGate kötü amaçlı yazılım ailesinin bir türünü analiz etti ve ilginç bir özellik buldu. MinerGate fare hareketleri ile tespit edebilir ve madencilik faaliyetlerini askıya alabilir. Bu, performansta bir düşüş olduğunu görebilecek kurbanlara bir ipucu olabilir.
BadShell, kirli işlerini yapmak için Windows işlemlerini kullanıyor.
Birkaç ay önce Comodo Cybersecurity, müşterinin sisteminde kripto para birimi için meşru Windows işlemlerini kullanan kötü amaçlı bir yazılım buldu ve BadShell ismini verdi:
- Komutları çalıştırmak için: bir PowerShell komut dizisi kötü amaçlı yazılım kodunu mevcut çalışan bir işleme enjekte eder.
- Kalıcılığı sağlamak için: görev zamanlayıcı
- Kötü amaçlı yazılımın ikili kodunu tutmak için: kayıt defteri
Yaramaz çalışanların ele geçirdiği şirket sistemleri
Geçen yıl yapılan EmTech Digital konferansında Darktrace, hizmetlerinde alışılmadık trafik düzenleri deneyimleyen bir müşterisinin hikayesini anlattı. Gece işlemleri yavaş çalışıyordu ve bankanın tanılama araçları hiçbir şey bulamadı. Darktrace, o sırada yeni sunucuların çevrimiçi olduğunu keşfetti - ki bankanın var olmadığını söylediği sunucular. Veri merkezinin fiziksel olarak denetlenmesi, döşeme tahtalarının altında bir cryptomining sistemi kurulduğunu ortaya koydu.
GitHub üzerinden cryptominerlara hizmet vermek
Avast Software mart ayında, cryptojackerların kötü amaçlı yazılımları şifrelemek için GitHub kullandığını bildirdi.
Bir rTorrent güvenlik açığından yararlanma
Cryptojackerlar, bazı rTorrent istemcilerinin XML-RPC iletişimlerinin kimlik doğrulaması olmadan erişilebilir olmasını sağlayan bir rTorrent güvenlik açığı buldular. Buna maruz kalmış müşteriler için interneti tarayıp, ardından bir Monero cryptominerı görevlendirdiler. F5 Networks bu güvenlik açığını geçtiğimiz şubat ayında bildirdi ve rTorrent kullanıcılarına, müşterilerinin dış bağlantıları kabul etmediklerinden emin olmalarını tavsiye etti.
Facexworm: Kötü Amaçlı Chrome uzantısı
İlk olarak 2017 yılında Kaspersky Labs tarafından keşfedilen bu kötü amaçlı yazılım, kullanıcıların bilgisayarlarına bulaşmak için Facebook Messenger kullanan bir Google Chrome uzantısıdır. Başlangıçta Facexworm, bir adware (reklam destekli bilgisayar yazılımı) yayınladı. Geçen yıl, Trend Micro, kripto para birimlerinin değişimini hedefleyen ve şifreleme kodu sağlama yeteneğine sahip çeşitli Facexworm'lar buldu. Bunlar kötü amaçlı bağlantılar sağlamak için virüslü Facebook hesaplarını kullanıyor, ancak web hesaplarını ve kimlik bilgilerini de çalabiliyor. Bu da şifreli kodları bu web sayfalarına enjekte etmesini sağlıyor.
WinstarNssmMiner: Yakılmış dünya politikası
Mayıs ayında 360 Total Security, hızlı bir şekilde yayılan ve şifreleyiciler için etkili olduğunu kanıtlayan bir cryptominer belirledi. WinstarNssmMiner olarak adlandırılan bu kötü amaçlı yazılımın, onu kaldırmaya çalışanlar için kötü bir sürprizi de var: Kurbanın bilgisayarı çöküyor. WinstarNssmMiner bunu önce bir svchost.exe işlemi başlatarak ve ona kod enjekte ederek ardından, ortaya çıkan işlemin özelliğini CriticalProcess olarak ayarlar. Bilgisayar kritik bir işlem olarak gördüğü için, işlem kaldırıldıktan sonra kilitleniyor.
CoinMiner rakipleri araştırıyor ve yok ediyor
Cryptojacking, bilgisayar korsanlarının kötü amaçlı yazılımlarını bulaştıkları sistemdeki zaten çalışıyor olan cryptominerları bulmak ve öldürmek için tasarlayabilecek kadar yaygın hale geldi. CoinMiner ise buna bir örnek.
Comodo'ya göre CoinMiner, Windows sistemlerinde bir AMDDriver64 işleminin varlığını kontrol eder. CoinMiner kötü amaçlı yazılımında iki liste vardır: $malwares ve $malwares2. Bunlar diğer cryptominerların bir parçası olarak bilinen işlemlerin adlarını içerir. Daha sonra bu süreçleri tamamen durdurur.
Cryptojacking yazı dizimiz “Cryptojacking Nasıl Önlenir, Tespit Edilir ve Engellenir?” yazısı ile devam edecek. Karel Blog’u takipte kalın!
Bu yazıyı okuyanlar, bunları da okudu;
Devletlerin Siber Saldırı Önlemleri
Hacklenmenize Sebep Olabilecek 5 Şifre Hatası
Her BT Uzmanının Bilmesi Gereken 12 Güvenlik Kuralı
