Thursday, June 11, 2020

Honda'da Ne Oldu?


8 Haziran günü Honda’nın Twitter hesabından yapılan bir duyuruda “bazı teknik sorunlar” yaşadıkları duyuruldu. Otomotiv üreticisinin işlerinin Amerika, Avrupa ve Japonya’da durmasına neden olan şeyin bir fidye yazılım olduğu ortaya çıktı. Endüstriyel kontrol sistemlerini etkilediği bilinen ve “Ekans” veya “Snake” (Ekans’ın tersten okunuşu) olarak adlandırılan fidye yazılımın Honda’nın üretimini rehin aldığı düşünülüyor. Bu zararlı yazılımın bazı özelliklerine ve bu olaydan çıkartılacak derslere bakalım. 

Ekans (Snake) Fidye Yazılımı Nedir? 
Bildiğiniz gibi fidye yazılımlar genellikle bulaştıkları sistem üzerinde bulunan dosyaları şifreleyerek kullanılmaz hale getirdikten sonra dosyaların açılması için kullanıcıdan ara ister. 2019 yılının sonunda tespit edilen Ekans fidye yazılımını diğerlerinden ayıran en önemli özelliklerden birisi endüstriyel kontrol sistemlerini (EKS) de hedef alan bazı işlevlerinin bulunmasıydı. Dosyaları şifrelemeye başlamadan önce; Ekans kaynak kodunda önceden belirlenmiş bazı prosesleri durduruyor. Listede güvenlik yazılımları, veritabanaları ve EKS yönetim yazılımları bulunuyor.
Çeşitli fidye yazılımların EKS’leri etkilediği daha önce görüldü, bu anlamda bir fabrikanın üretiminin fidye yazılım nedeniyle durması yeni bir gelişme değil. Daha önce yaşanan olaylara bakıldığında EKS’lerin etkilenmesinin nedeninin bu sistemleri yöneten bilgisayarların erişim veya hizmet dışı kalmasıydı. Kısaca; fidye yazılım doğrudan EKS’yi hedef almıyor ancak EKS’nin çalışması için gerekli bilgisayarı devre dışı bırakınca EKS’yi ister istemez etkiliyordu. Ekans’ta ise; EKS’leri (başta GE ve Honeywell olmak üzere) doğrudan hedef alan kod parçaları mevcut. Bu anlamda bir ilk olabilir.
İçeriğinde bulunan kodun bir kısmının daha önce Arap yarımadasında bazı ülkelerde tespit edilen ve “Megacortex” olarak adlandırılan zararlı yazılımla aynı olması nedeniyle aralarında bir bağlantı olabilir. Megacortex’in İran çıkarlarını korumak için geliştirildiği iddia edilmişti ancak teknik olarak bunu destekleyen herhangi bir bulgu olmadığı için Megacortex ve Ekans’ın İran kökenli olduğunu söylemek doğru olmaz.
Zararlı yazılımın hedef sisteme nasıl bulaştığı veya yayılmak için hangi yöntemleri kullandığına dair pek bilgi bulunmuyor. 

Ekans (Snake) Fidye Yazılımına Kısa bir Teknik Bakış
Ekans.exe olarak kaydettiğim numuneye bakarsak dosya boyutunun yaklaşım 3.9 MB olduğunu görüyoruz. 

 
Virustotal sonuçlarında ise 49 antivirüsün bu zararlıyı tespit edebildiğini görebiliriz.



 
Bu haliyle güncel bir antivirüsü olan herhangi bir sistem için tehdit oluşturmayacak gibi duruyor.
Bu aşamada kısa bir statik analiz kapsamında dosyanın içerisinde bulunan stringlere bakmak iyi olabilir. Dosyanın ilk 10 satırı bunun bir EXE olduğunu doğruluyor. 


 
Stringlere bakınca zararlı yazılımın GO diliyle yazıldığını düşünmemize sebep olacak birçok ipucuna rastlıyoruz.


 
Herhangi bir hex editörler baktığımızda GO konusundaki şüphelerimizi doğrulayabilecek “Go Build ID” ibaresini görebiliyoruz.


Hex editör bize ek olarak ilginç bir bilgi daha veriyor, göreceğiniz gibi zararlı yazılım içerisinde mds[.]honda[.]com alanadı görülebiliyor.


 
Bu alanadını hangi amaçla kullandığını henüz söylemek zor ancak bu bulgu olayın Honda’da yaşanmasının bir tesadüf olmadığını düşündürüyor. Honda hedef alınmış, hatta Honda’nın kullandığı belli bir sistem hedef alınmış olabilir. 

Bundan sonraki adımda yapılacak şey artık zararlı yazılımı tetikleyip neler yaptığına bakmak.
Aşağıdaki ekran görüntüsünde zararlı yazılımın çalıştırılmış halini görebilirsiniz, sonuç: yok. Kısaca zararlı yazılım hiçbir şey yapmıyor. Masaüstüne bıraktığım dosyayı da şifrelemedi, bilgisayarda başka herhangi bir değişikliğe de neden olmadı.


 
Ekans’ın davranışlarına yakından bakınca bunun nedeni ortaya çıkıyor. Ekans, Honda’nın hedef aldığı kısmında olmadığını anladı ve devreye girmedi. 

Statik analiz sırasında karşımıza çıkan MDS[.]HONDA[.]COM adresi aslında kontrol amaçlı kullanılıyor.  Aşağıda dinamik analiz sırasında ağ geçidine gönderilen DNS sorgularını görebilirsiniz.


 
Zararlı yazılım çalıştığında önce bu alanadına ulaşıp ulaşamadığını test ediyor ve ulaşamıyorsa herhangi bir zarar vermiyor. Bunun sonucunda yukarıdaki alanadını DNS kayıtlarına eklememiş Honda ofislerinin (Örn. Türkiye) bu saldırıdan etkilenmemeleri doğaldır.

Saldırı sadece Honda’yı hedef almakla kalmamış, Honda içerisinde belli bir bölgeyi hedef almış gibi görünüyor. Bu noktada Ekans’ın attığı adımları şöyle özetleyebiliriz;
  1. Doğru hedefte olup olmadığının kontrolü 
  2. Belirlenmiş proseslerin durdurulması
  3. Dosyaların şifrelenmesi
  4. Kullanıcıdan fidye istenmesi
Sonuçta GO dilinde yazılmış basit bir fidye yazılım gibi duran şey aslında belli bir hedefe özel olarak hazırlanmış bir saldırının parçası gibi duyuyor. 


Alınabilecek Teknik Tedbirler Nedir? 

Olayla ilgili henüz bilinmeyen çok şey var. Bunların başında ilk bulaşma vektörü geliyor. Daha önce yaşanan bir veri ihlalinde çalınmış kullanıcılarla RDP üzerinden oluşturulan bir bağlantı mı? USB bellek mi? Oltalama e-postası mı? Açıkçası fikrimiz yok. Bu nedenle önerileri bildiğimiz kadarına veya jenerik noktalarla sınırlı tuttum.


Çok sayıda zararlı yazılımda olduğu gibi Ekans da dijital olarak imzalanmamış. Aşağıdaki örnekte solda Ekans.exe’yi, sağda ise Windows Görev Yöneticisinin özelliklerini görebilirsiniz. 


Kuruluş ağındaki sistemlerde dijital imzası olmayan uygulamaların çalıştırılması engellenmelidir.

Bütün sistemlerde antivirüs olduğundan emin olun. Ağa bağlı tek bir sistemde antivirüs yoksa, hiçbirinde yokmuş gibi düşünülebilir.  
Yedek almanın ve bunu farklı bir yerde tutmanın önemi her geçen gün artıyor. Şaka gibi gelebilir ancak yakın zamanda bir sızma testinde sunucudaki bir diskin yedeğinin AYNI sunucu üzerinde başka bir diske alındığını gördüm. (C:’nin yedeğini D:’ye aldıklarını düşünün). NAS benzeri bir yedekleme çözümü kullanıyorsanız; bunlarda da zafiyetleri çıktığını ve bu sistemlerin de güvenliğinin alınması gerektiğini unutmayın.

Ağ segmentasyonu mutlaka yapılmalıdır. Ağınızı VLAN’lara ayırmak ve bunların arasındaki geçişleri denetlemek bu tür olaylarda zararlı yazılımın veya saldırganın yayılmasını zorlaştıracaktır. 

Olay tespitini hızlandıracak mekanizmalar kurulmalıdır. Fidye yazılım gibi kendini hemen belli etmeyen olayların ortalama tespit sürelerinin yüzlerce gün olarak ifade edildiği düşünülürse bu konu ciddiye alınmalıdır. SIEM yatırımı bu konuda en son yapılması gereken yatırımdır, ondan önceki adımların atıldığından emin olunmalıdır (örn. Log kontrolü, merkezi log yönetimi, vb. ).




No comments:

Post a Comment